Google má v dátových centrách detektory kovu, skompilovaný BIOS, vlastný bezpečnostný čip

Značky: Googlebezpečnosť

DSL.sk, 16.1.2017

Spoločnosť Google aktuálne zverejnila zaujímavé zhrnutie bezpečnosti jeho dátových centier, serverov, softvéru a služieb.

Spoločnosť v ňom popisuje viaceré aspekty bezpečnosti, pričom informácie môžu byť zaujímavé ako pre užívateľov Google služieb tak ako potenciálna inšpirácia pre IT profesionálov.

Niektoré popisované aspekty bezpečnosti Google zverejnil už v minulosti, ďalšie ale doteraz zverejnené neboli respektíve medzičasom už prišlo k zmene.

V krátkom zhrnutí sa zameriame na niektoré zaujímavé zverejnené informácie. Vlastné dátové centrá Google alebo prípadne jeho servery umiestnené v cudzích dátových centrách majú zabezpečenú fyzickú bezpečnosť štandardnými metódami.

Zaujímavým je ale navyše avizované používanie detektoru kovov. Google spôsob jeho použitia bližšie nepopisuje, možným zmysluplným využitím by bolo ale samozrejme skenovanie zamestnancov a ďalších osôb s prístupom na prítomnosť dátových nosičov, na ktorých by mohli vynášať dáta alebo vnášať kód.

Čo sa týka bezpečnosti serverov, tie si Google navrhuje sám a podľa informácií audituje bezpečnosť jednotlivých použitých komponentov. V serveroch a perifériách navyše používa vlastný ním navrhnutý bezpečnostný čip, ktorý potvrdzuje autenticitu hardvéru.

Na serveroch je zabezpečené bezpečné bootovanie s overením kryptografických podpisov všetkých softvérových komponentov, od BIOS-u cez bootloader, jadro operačného systému, Linuxu, a obrazu operačného systému. Všetky tieto softvérové komponenty, teda aj vrátane BIOS-u, si Google kontroluje a sám kompiluje.

Na zabezpečenie bezpečnosti komunikácie medzi servermi Google podľa popisu príliš nevyužíva bezpečnosť na úrovni sietí ako sú firewally alebo segmentáciu siete. Na viacerých miestach síce filtruje dátovú prevádzku napríklad na zabránenie IP spoofingu, falšovania IP adries, inak sa ale spolieha na bezpečnosť na úrovni aplikácií. Takýto manažment siete mu umožňuje podľa oznámenia maximalizovať výkon a dostupnosť siete.

Servery sú ale len na privátnych IP adresách a na verejných sú len tie, ktoré poskytujú službu Google Front End, GFE, webové služby pre koncových užívateľov z Internetu.

Na jednotlivých serveroch Google môžu a zvyknú bežať viaceré rozličné služby, ktoré oddeľuje metódami od používania rozličných linuxových užívateľských účtov, cez sandboxy na úrovni programovacieho jazyka, sandboxy zabezpečované jadrom Linuxu až po hardvérovú virtualizáciu. Google zrejme využíva KVM.

Jednotlivé služby ako napríklad Gmail a podobne sú spravované základnou infraštruktúrou, pričom služby navzájom spolupracujú cez RPC, Remote Procedure Call, volania. Každá služba má svoju identitu a prístup k API iných služieb cez RPC je kontrolovaný cez tieto identity a pridelené oprávnenia.

Ak chce niektorá služba pristupovať k dátam špecifického užívateľa, prezentuje sa aj povereniami pre tohto konkrétneho užívateľa a cieľová služba jej poskytne len dáta pre tohto užívateľa.

Jednotlivé služby uchovávajú na diskoch dáta cez úložné služby ako BigTable a Spanner. Tie šifrujú dáta pri ukladaní na disky, navyše Google na HDD a SSD zapína aj hardvérové šifrovanie.

Čo sa týka sieťovej komunikácie, RPC volania realizované medzi servermi v rozličných dátových centrách sú automaticky infraštruktúrou šifrované, pričom Google nasadzuje hardvérové akcelerátory za účelom šifrovania aj komunikácie v rámci dátových centier.

Ak užívateľ vymaže svoje dáta zo služieb, tieto nie sú zvyčajne hneď vymazané ale len označené na vymazanie. Reálne sú vymazané až po nejakom čase závislom na službe. To umožňuje dáta v obmedzenom čase obnoviť, ak ich užívateľ zmazal omylom.

Google sa snaží na rozličných úrovniach hľadať a zabraňovať bezpečnostným chybám v jeho softvéri ale tiež v iných používaných softvéroch, okrem iného má knižnice a frameworky eliminujúce XSS zraniteľnosti vo webových aplikáciách.

Cieľom útočníkov sa ale stávajú podľa oznámenia aj jeho zamestnanci. Tí sa tak povinne musia v súčasnosti autorizovať pomocou hardvérového U2F kľúča a Google monitoruje nimi používané počítače, okrem iného kontroluje aké aplikácie je možné inštalovať. Zároveň kontroluje aj činnosť zamestnancov a napríklad niektoré kroky vyžadujú potvrdenie akcie dvomi zamestnancami, prístup k zákazníckym dátam sa zaznamenáva a vyhodnocuje bezpečnostným tímom Google.

Google má tiež v sieti a na rozličných úrovniach nasadené ako systémy detekcie prienikov tak ochrany proti DoS útokom. Na podozrenia na prieniky upozorňuje vyhodnocovanie signálov umelou inteligenciou, pričom samozrejme ako veľká spoločnosť má Google tím monitorujúci tieto upozornenia 24 hodín.

Kompletné zverejnené informácie je možné nájsť na tejto stránke Google.




Najnovšie články:



inzercia



Diskusia:

paranoia Od: koumak | Pridané: 16.1.2017 21:13 Ved niesme paranoici, iba sa tak tvarime.... aneb, to mnozstvo dat, ktore o vas uz vieme, by pri pripadnom uniku sposobilo minimalne 3 svetovu vojnu, tak to preistotu sifrujeme a v pripade sudnych tahanic to zvalime na HW failure, aby sme data neposkytli.... Vas BigBrother, ehm..Google. Odpovedať Známka: -2.4 Hodnotiť:

AI omfg Od: quix_ | Pridané: 16.1.2017 21:14 Na podozrenia na prieniky upozorňuje vyhodnocovanie signálov umelou inteligenciou.. dobry den a dovidenia, skoncili sme :D Odpovedať Známka: 6.0 Hodnotiť:

Vypadok Od: zxcvbn | Pridané: 16.1.2017 21:52 No, keby do toho datoveho centra nabehli tri dodavky po zuby ozbrojenych manikov, pochybujem, ze by im detektory pomohli. Scenar ako z Die hard, vsetkych vystrielat, zaminovat servery, za desat min odjazd. Takyto vypadok by asi v DC nerozchodili. Odpovedať Známka: -0.8 Hodnotiť:

Re: Vypadok Od: syntaxterrorXXX | Pridané: 16.1.2017 22:17 Detektor kovov je v skutocnosti iba preventivnym opatrenim pred pripadnym sudnym konanim pred prechodom do Magnetom chraneneho priestoru osobami s piercingom ci podobnymi vylepseniami, najma v kombinacii so sklerozou ci opicou sposobenym oknom. Odpovedať Známka: -4.0 Hodnotiť:

Re: Vypadok Od: redd | Pridané: 16.1.2017 22:22 redundancia nic? Odpovedať Známka: 7.9 Hodnotiť:

Re: Vypadok Od: gertrudo | Pridané: 17.1.2017 0:01 JJ, budu dva timy teroristov. Pripadne aj 10. Akurat ked som videl tie datacentra, tak miny su na hovno(zicili by mozno 10% :)), tam aspon nejaku miniatomku treba. Odpovedať Známka: 5.0 Hodnotiť:

Re: Vypadok Od: syntaxterrorXXX | Pridané: 17.1.2017 5:55 redundancia nic? Co ak cestou navlhne? Odpovedať Známka: 8.0 Hodnotiť:

Re: Vypadok Od: zxcvbn | Pridané: 17.1.2017 7:52 Aka redundancia prosimta, minule trocha postelovali routing v sieti a vypadli dva staty a vychodne pobrezie USA. Odpovedať Známka: 4.5 Hodnotiť:

Re: Vypadok Od: bol som tam | Pridané: 17.1.2017 10:18 Pokaziť ľubovolnú sieť zvnútra pri štelovaní je oveľa jednoduchšie ako spraviť to zvonka. Odpovedať Známka: 10.0 Hodnotiť:

Re: Vypadok Od: prdlajs | Pridané: 17.1.2017 10:57 Aspon si si sam potvrdil, ze redundancia nic nezarucuje. Odpovedať Známka: 3.3 Hodnotiť:

Re: Vypadok Od: syntaxterrorXXX | Pridané: 17.1.2017 11:04 Akoze nie? A co vsetku tu, tu a tu robotu naviac? Odpovedať Známka: 10.0 Hodnotiť:

Re: Vypadok Od: bol som tam | Pridané: 17.1.2017 10:08 Tri dodávky ozbrojencov sa dostanú len do menej chránených častí. Viac chránené časti sú majú skener dúhovky, ktorý otvára dvere ako do trezoru. Skener nedovolí otvorenie dverí, ak je v ňom viac ľudí. So stratou DC sa počíta, dáta sú v bezpečí. Odpovedať Známka: 7.5 Hodnotiť:

Re: Vypadok Od: xvzf | Pridané: 17.1.2017 15:58 tak, aj trezor sa da otvorit nasilu :) Odpovedať Hodnotiť:

Re: Vypadok Od: zxcvbn | Pridané: 17.1.2017 19:21 Napr. pomocou JDAM 2000. Odpovedať Hodnotiť:

Lunex Od: Buržujko | Pridané: 16.1.2017 22:20 Aspoň vidieť akú ma Google dôveru v linuxové distribúcie. Celý ten hipsterom na kolene zbúchaný systém si musia dorábať vlastnoručne. Odpovedať Známka: -6.4 Hodnotiť:

Re: Lunex Od: buzerko | Pridané: 16.1.2017 22:52 no vidis a stale pre nich lepsie dorabat si hipsterom zbuchany na kolene system ako hociktory iny "profesionalny" systemy nehovoriac o tej parodii na system od mrkvosoftu. Odpovedať Známka: 7.1 Hodnotiť:

Re: Lunex Od: gertrudo | Pridané: 16.1.2017 23:38 Sice pekne porovnanie, ale keby bol windows open source tak by ho mozno google pouzival namiesto linuxu. A zase keby linux nebol open source tak si google mozno vyberie MS. Inak zaujimava otazka, ake os pouzivaju zamestnanci google? Myslim nielen programatori, ale vsetci. Maju prikazany jeden os, alebo maju volnost a pouzivaju co im vyhovuje, alebo jedntolive zlozky maju prikazany os ktory maju pouzivat? Odpovedať Známka: 1.4 Hodnotiť:

Re: Lunex Od: trombon | Pridané: 17.1.2017 6:45 chrome os, povinne pre vsetkych. Odpovedať Známka: 5.6 Hodnotiť:

Re: Lunex Od: bernard | Pridané: 17.1.2017 7:46 ked ma volali na local IT support poziciu kedysi do Mnichova, tak vraveli, ze by som supportoval vsetky 3 platformy Odpovedať Známka: 6.0 Hodnotiť:

Re: Lunex Od: bernard | Pridané: 17.1.2017 7:47 co vlastne neodpoveda na tvoju otazku :) Odpovedať Známka: 5.0 Hodnotiť:

Re: Lunex Od: čitateľ | Pridané: 17.1.2017 8:03 V siedmej triede informačne Všetci sa ma pýtajú Čím chceš byť? Čím chceš byť? Supportér, supportér Odpovedať Známka: 8.2 Hodnotiť:

Re: Lunex Od: prdlajs | Pridané: 17.1.2017 11:02 Keby bol Windows open source, tak by ho prestala pouzivat vacsina firiem. Lebo by videli, aky je pod pokryvkou bordel. Windows je fajn na jednoduchy desktop, ale pridavat na koniec Server a tlacit to na servery je tazky masochismus. A to som windowsak. Zaostalejsi serverovy OS snad uz ani existovat nemoze. Odpovedať Známka: 4.5 Hodnotiť:

Re: Lunex Od: Klon M5 | Pridané: 17.1.2017 20:49 Prečo potom nepoužívate OS Novell Netware, aspoň na niečo? Odpovedať Hodnotiť:

Re: Lunex Od: foo | Pridané: 17.1.2017 13:03 Na desktopoch: macOS Linux Win Odpovedať Známka: 10.0 Hodnotiť:

Re: Lunex Od reg.: Pjetro de | Pridané: 17.1.2017 8:59 ty osmianko prihorety - a preco si vlastnorucne nedorabali Wokienka Server ci iny system? 1) lebo je uzavrety nejakou firmou jak sa vola ... ahaaa pockaj Mrkvosoft 2) lebo pre ich ucel by bol totalne na 3,14cu 3) zrejme by ani nezvladal to co potrebuju 4) poloz si otazku preco na vsetkych superpocitacoch (statisice CPU, terabajty RAMky) bezi nejaky linux Odpovedať Známka: 10.0 Hodnotiť:

Re: Lunex Od: syntaxterrorXXX | Pridané: 17.1.2017 9:23 Pretoze windows bezi efektivne, s minimalnymi narokmi na samotny os, uz od instalacie, ale zas linux to tiez mozno niekedy dopocita. Odpovedať Známka: -4.7 Hodnotiť:

Re: Lunex Od reg.: Pjetro de | Pridané: 17.1.2017 9:47 dobry vtip, nuze daj miesto nejakeho linux distra na prve pasberyPI, bananaPI ci ine ovociePI so smiesnou RAM, smiesnym storage a smiesnym ARM CPU a celkovo smiesnou kapacitou a rychlostou vsetkeho - ked wokna bezia tak efektivne, daj tam nejake tie ARM maked wokna10 (ak existuju) ano najnovsi win serv obsluzi az 24 tb ram a desktop wokna10 pro az 2 tb (home 128 gb), pricom pri win7 to bolo pre home iba 8-16 gb a 192 gb pre pro ediciu a serverovske wokna sa tiez vysvihli zo stoviek gb na desiatky tb ram ... ale stale to jaksi neni ono a wokna nekraluju superpocitacom Odpovedať Známka: 10.0 Hodnotiť:

Re: Lunex Od: syntaxterrorXXX | Pridané: 17.1.2017 10:29 Presne v sulade s chapanim vyznamu "Uneasy lies the head that wears the crown". Odpovedať Známka: 3.3 Hodnotiť:

Re: Lunex Od: taglajf | Pridané: 17.1.2017 11:55 ide o princip...linux bezi uplne inak ako windows,realne si zoberies linuxove jadro a cely zvysok systemu navrhnes presne podla svojich potrieb,iny OS to nedokaze Odpovedať Známka: 10.0 Hodnotiť:

Re: Lunex Od reg.: lamka1 | Pridané: 17.1.2017 9:52 Len nesmies instalovat ziadne programy ani ho pripojit k internetu. Odpovedať Hodnotiť:

Re: Lunex Od: siirii | Pridané: 17.1.2017 11:58 Pjetro sorry, ale od Teba som čakal väčšiu sofistifkovanosť. "Mrkvosoft" fakt? Ten pojem používajú uhrovaté 14-ročné deti. Odpovedať Známka: -6.0 Hodnotiť:

Re: Lunex Od: taglajf | Pridané: 17.1.2017 11:53 a aky OS by mali pouzivat? Mac OS od FBI? Windows od najvacsieho konkurenta Microsoftu? si grandiozny chuj Odpovedať Známka: 10.0 Hodnotiť:

Hmmmm...google Od: Umyvacka | Pridané: 17.1.2017 0:55 A keď zhromaždí všetky dáta a informácie nášho sveta a bude vsetko vedieť tak sa zneho stane boh. A budeme sa modliť.. Google náš, ktorý si v dátovom centre, posväť sa nick tvoj, príď kráľovstvo tvoje, buď vôľa tvoja ako v hardvéri , tak i v softvéri Reklamu našu každodennú daj nám dnes a odpusť nám naše bugy, ako aj my odpúšťame svojim haterom, a neuveď nás do pokušenia, ale zbav nás zlého. Amen. Odpovedať Známka: 2.4 Hodnotiť:

Re: Hmmmm...google Od: Problem | Pridané: 17.1.2017 9:21 toto bolo dobre... Odpovedať Známka: -3.3 Hodnotiť:

Re: Hmmmm...google Od: čitateľ | Pridané: 17.1.2017 11:07 Gúgl je na cloude, nie v DC. Odpovedať Hodnotiť:

bezpecnost Od: pan jan | Pridané: 17.1.2017 10:23 z vlastnej skusenosti viem ze google realna bezpecnost je podpriemer utiekol som od ich platenych sluzieb Odpovedať Známka: 3.3 Hodnotiť:

Re: bezpecnost Od reg.: horst fuchs | Pridané: 18.1.2017 9:49 Povies viac? Odpovedať Hodnotiť:

naco totok, Od: prasaca_hlava | Pridané: 17.1.2017 15:28 uplne staci dat do prvej vstupnej miestnosti kopu chlastu a PC plne porna, a ziadny zlodej sa dalej nedostane. Uz ich len treba ozratych pozbierat. Odpovedať Hodnotiť:

Re: naco totok, Od: slecna.l | Pridané: 17.1.2017 23:53 To je softskill riesenie, ale gugl je dalej, pouziva umelu inteligenciu. Odpovedať Hodnotiť:

Pridať komentár