Как Google защищает инфраструктуру своих облачных ЦОД
Чтобы привлечь дополнительных корпоративных клиентов, которым нужны облачные сервисы, Google нужно завоевать их доверие. Для этого американская корпорация использует такой важный инструмент как гарантированно высокие уровни безопасности и надежности.
Компания хочет, чтобы пользователи доверяли ей свой контент и свои бизнес-процессы. Поэтому облачные сервисы Google должны быть надежнее и безопаснее конкурирующих решений. Такое заявление сделал инженер поискового гиганта Нильс Провос во время вступления на конференции Google Cloud Next, подчеркнув, что облачная платформа Google Cloud, предлагает управляемую и безопасную инфраструктуру для бизнеса.
Но как именно поисковый гигант стремится обезопасить свое облако от хакеров и прочих злоумышленников, а также от чиновников (не зря же власти ряда стран вроде США спонсируют прокладку частных волоконно-оптических сетей). Попробуем во всем разобраться.
По словам Провоса, Google очень серьезно относится к безопасности облака, которую обеспечивают 700 инженеров-программистов и инженеров-механиков. Когда речь заходит о безопасности, специалисты Google стараются сделать все по высшему разряду. Это наглядно проявляется в их стремлении к максимизации физической безопасности своих дата-центров. Многочисленные уровни проверок позволяют только уполномоченному персоналу попадать внутрь этих высоконадежных объектов и перемещаться по их помещениям.
Только сотрудники, находящиеся в предварительно подготовленном списке, могут проходить через главные ворота во внешней ограде дата-центров Google. На входе в любое здание дата-центра поискового гиганта требуется пройти и вторую проверку. Наконец, входя в коридор, ведущий в машзал дата-центра, необходимо пройти процедуру биометрического сканирования (например, сканирования радужной оболочки глаза).
Внутренние помещения дата-центра разделены на зоны для обеспечения безопасности. Причем наиболее важные области защищены лазерными системами обнаружения вторжения, размещенными на уровне пола. Перечень других инструментов в арсенале специалистов по физической безопасности дата-центров Google включают в себя металлоискатели и динамические барьеры для транспортных средств. Нельзя забывать и про обычные камеры видеонаблюдения, подключенные к корпоративной сети. Вот только контент, генерируемый с помощью этих камер, анализируется специальным комплектом программного обеспечения для распознавания людей на видео.
Внутри своих дата-центров инженеры Google также реализовали механизм строгого учета систем хранения данных, чтобы обеспечить учет каждого накопителя. Диски, которые выходят из строя или должны быть заменены новыми моделями, сначала проверяются с помощью сканирования штрих-кода и доставляются в безопасную зону для стирания данных.
Информация с дисков надежно удаляется перед их отправкой на свалку для утилизации. В то же время в случае невозможности подтверждения полного удаления данных диски для полной надежности физически разрушаются: измельчаются на куски, проходя через промышленный дровокол. Вы можете увидеть, как это происходит на видеоролике ниже (со второй минуты).
По словам Провоса, поисковый гигант уделяет повышенное внимание не только физической безопасности своих дата-центров. Специалисты Google также разработали ряд дополнительных механизмов для обеспечения безопасности облака. Так, компания использует криптографические подписи, чтобы гарантировать невозможность осуществления каких-либо несанкционированных изменений без их последующего обнаружения. В данном случае все начинается с низкоуровневых компонентов, таких как BIOS. Цифровые подписи также применяются для верификации софта в процессе загрузки применительно к таким компонентам как загрузчик, ядро и базовая операционная система.
Эти механизмы гарантируют, что сервер будет включен в пул ресурсов облака с присвоением идентификатора только после верификации всех компонентов в процессе загрузки. Причем верификация при загрузке может осуществляться как с помощью микроконтроллера, на котором запущен защитный код, написанный Google, так и с применением чипа безопасности собственной разработки под названием Titan, который инженеры Google анонсировали в прошлом месяце.
Сведений о Titan не так уж и много. Известно лишь, что это специальный чип безопасности, предназначенный для защиты от постороннего кода на уровне BIOS, а также для идентификации и проверки подлинности оборудования и сервисов. По словам Провоса, в настоящее время Titan тестируется на серверах и периферийных устройствах в дата-центрах американской корпорации.
Поисковый гигант Google также находится на переднем крае борьбы с DDoS-атаками. Масштаб инфраструктуры Google позволяет ей просто поглощать слабые атаки. Специалисты американской корпорации также создали несколько специализированных механизмов защиты вроде Google Front End (GFE), чтобы еще больше снизить вероятность этих атак. Кроме того, центральный анти-DoSS-сервер анализирует статистику входящего трафика, при необходимости пропуская его через несколько уровней аппаратных и программных балансировщиков нагрузки.
Всего комментариев: 0