Шифрование, аутентификация и аллигаторы – Как Google защищает свои ЦОД
Если вы захотите проникнуть в центр обработки данных Google, вам придется задуматься о том, как пройти незамеченным мимо системы обнаружения нарушителей с лазерными датчиками движения, взломать независимые терминалы биометрической идентификации, которые подключены к большинству дверей, не попасть в объектив старых добрых видеокамер безопасности, благополучно пройти через несколько металлодетекторов и миновать острозубых аллигаторов.
Если после прочтения все этого, вы решите отказаться от физического вторжения в дата-центр Корпорации добра в пользу взлома серверов Google с помощью хакерских навыков, помните, что обходной путь в облако поискового гиганта (оно же Google Cloud Platform) может быть намного сложнее и тернистее.
Американская корпорация опубликовала официальный документ под названием Infrastructure Security Design Overview, описывающий используемые ею подходы к обеспечению физической безопасности и кибербезопасности своих серверных ферм, а также хранящихся в них пользовательских данных. Скорее всего, целью Google в данном случае было маркетинговое продвижение Google Cloud Platform и привлечение внимания потенциальных корпоративных клиентов к своей облачной платформе. Так или иначе, в этом документе поискового гиганта содержатся ценные сведения о подходах инженеров Google к противодействию физическим и кибер-угрозам для ЦОД.
В частности, в документе есть раздел, посвященный обеспечению безопасности серверного оборудования. В нем говорится, что Google использует микрочипы собственной разработки, чтобы обеспечить безопасность собственных серверов внутри своих дата-центров и внутри серверных ферм сторонних колокейшн-провайдеров.
В частности, в документе говорится, что для защиты IT-оборудования внутри серверных ферм сторонних колокейшн-провайдеров поисковый гигант использует целый ряд специализированных мер безопасности, многие из которых являются прямо таки показательными. Например, служба безопасности корпорации изучают устройства сотрудников, чтобы убедиться в том, что на них установлены актуальные обновления безопасности для всего софта.
Из документа также следует, что Google разрабатывает «собственные чипы, в том числе чипы для обеспечения безопасности аппаратных средств, которые в настоящее время размещаются на серверах и периферийных устройствах». В его тексте говорится, что «эти чипы позволяют надежно идентифицировать и подтверждать аутентичность устройств Google на аппаратном уровне «.
Инженеры Google используют эту и другие технологии, «чтобы гарантировать загрузку правильного программного стека на серверные системы». В частности, специалисты поискового гиганта используют «криптографические подписи при организации взаимодействия низкоуровневых компонентов таких как BIOS, загрузчик операционной системы, ядро и образ базовой операционной системы». Эти подписи «могут быть проверены во время каждой загрузки или обновления».
Каждый конкретный сервис настраивается и конфигурируется таким образом, чтобы доступ к нему был разрешен только конкретным инженерам Google. Каждому серверу, каждому сервису и каждому инженеру присваивается индивидуальный идентификатор. И связи между отдельными серверами / сервисами и инженерами содержатся в глобальном пространстве имен.
Напомним, что в 2013 году репутация корпорации Google была запятнана после публикации Эдвардом Сноуденом информации о том, что Агентство национальной безопасности США (АНБ) может без проблем получать доступ к серверам внутри корпоративных и коммерческих дата-центров поискового гиганта.
Примерно год назад специалисты Google сообщили о ведении специалистами американской корпорации разработки процессоров типа TPU (Tensor Processing Unit) для проектов в сфере машинного обучения. Эти чипы, как оказалось в последствии, используются американской корпорацией своих дата-центрах уже более двух лет, обгоняя примерно на порядок классические микрочипы с точки зрения параметра производительности на 1 ватт использованной электроэнергии. Особенностью новых чипов является то, что они используются для обработки задач, при решении которых высокая точность вычислений не критична. Как следствие, чипы могут обрабатывать больше операций в секунду при меньшем транзисторном бюджете.
Недавно стало известно, что на аналогичный путь встала и корпорация Apple, создав собственный завод по производству полностью укомплектованных оборудованием серверных стоек на опасениях по поводу риска покупки у сторонних вендоров IT-оборудования со специально оставленными бэкдорами, которыми пользуются спецслужбы АНБ.
Всего комментариев: 0