谷歌數據中心的安全基礎設施什么樣?
近期,谷歌分享了保護數據中心的安全架構細節,該中心所存儲的數據涵蓋谷歌現有的各種服務及日益增長的谷歌云平臺(GCP)。
許多企業對信息公開持保守態度,擔心這會給攻擊者可乘之機。然而,谷歌不在此列,原因有兩點:其一,是通過展示數據中心的安全水平來發展有潛力的云平臺用戶;其二,谷歌對自身的安全水平很有信心。
在最近發布的公告里,谷歌將其基礎設施安全架構劃分了六層——硬件架構層(包括物理基礎安全)、服務調度層、用戶識別層、存儲服務層、網絡通信層和安全運營層。
谷歌顯然很注重細節。在大部分業務中,谷歌都建設和運營自有的數據中心,這包括“生物識別、金屬檢測、攝像、路障和激光掃描系統”。即使使用第三方數據中心作為服務器,谷歌也為服務器附加了自己的安全措施(如谷歌控制的獨立生物識別系統、相機或金屬探測器)。
數據中心的數千臺服務器所使用的主板也都是谷歌特別定制的。
| 我們也定制了芯片,比如目前用于服務器和外圍設備的硬件安全芯片。這些芯片允許我們在硬件層面上安全地識別和驗證谷歌設備的合法性。 |
谷歌獨有的硬件安全芯片
各數據中心所覆蓋的所有谷歌服務間都不存在預設的信任。任何必要的服務間通信都在應用層被加密驗證和授權機制所控制。該機制同時適用于谷歌服務和用戶為谷歌產品(如谷歌應用商店或谷歌計算引擎)提供的代碼。而那些特別敏感的服務(如集群編排和密鑰管理服務)則在專用服務器上運行。
當需要進行和授權服務間通信時,該架構為網際的RPC(遠程過程調用協議)數據提供了加密的隱私和完整性。所有數據中心間的WAN通信都使用了自動加密。隨著數據中心的硬件加密加速器的部署,這種自動加密正擴散到所有內部通信中。
谷歌服務的身份識別和訪問控制
而當終端用戶發起服務間通信時(例如,Gmail需要加載聯系人列表),一個短期許可票據會生成,以確保Gmail帳戶只能加載這個用戶的聯系人信息。
就存儲數據而言,該架構使用了中央密鑰管理服務。存儲的數據在寫入物理存儲之前,就會被密鑰管理服務配備密鑰。應用層的加密將使得此架構隔離開低水平的潛在存儲威脅,如惡意磁盤固件。
所有需要接入網絡的服務都通過谷歌前端(GFE)實現。這確保了所有的TLS連接使用正確的證書并支持完美的前向保密性。谷歌解釋說:“實際上,任何選擇對外通信的內部服務都使用GFE作為智能的反向代理前端。這個前端為公共DNS域名、拒絕服務(DoS)防御和TLS終端提供了公用的主機IP。”
DoS防御的實現則有賴于數層可以對DoS攻擊進行告警的服務的硬/軟件負載均衡器。當DoS攻擊被檢測到時,該機制將指引負載均衡器約束甚至阻斷相關流量。谷歌前端(GFE)也應用了類似的原理,卻擁有負載均衡所不能監控的應用層信息。
用戶身份驗證則在用戶名和口令外更進一步,還將校驗基于一系列風險因素而設立的附加信息。雙因子驗證(2FA)已啟用,此外,谷歌正與FIDO聯盟合作,開發通用雙因子(U2F)開放標準。
為了確保自有安全軟件的進展,谷歌使用庫和框架來消除XSS漏洞,用自動化工具來檢測錯誤,并執行手動安全審查。此外,谷歌還斥資數百萬美元建立公開漏洞懸賞方案來推進這一進程;同時,谷歌所投入的種種努力使其在它所使用的開源軟件的漏洞定位上的成功,也讓其廣受贊譽。“例如,OpenSSL的心臟出血漏洞就是谷歌發現的,我們在通用漏洞披露(CVEs)和Linux KVM虛擬機監控程序的漏洞修復領域都是業界最具建樹的。”
來消除內部風險的主要方法之一是“主動限制和積極監控”管理員訪問。具體策略包括對于一些管理活動的自動化、特定行動的雙重許可要求,以及限定API接口以實現不暴露敏感信息的調試。
入侵檢測及響應則越來越多的使用機器學習,“規則和機器智能⋯⋯能警告運營安全工程師可能發生的事件。”Red Team訓練被用來測量和改進規則的有效性。
報告的主要目的可能在于最后一節——對谷歌云平臺的討論。由于使用了同一架構,但隨著特定服務的升級,它也會從同樣的安全流程中受益。這份報告也使用谷歌計算引擎云服務為例。
谷歌計算引擎(GCE)通過公開外部API接口的谷歌前端(GFE),從而獲得所有其他服務一樣的安全特性,包括DoS防御和集中管理的SSL / TLS支持。終端用戶的身份驗證則通過谷歌的集中式身份識別系統完成,而這提供了劫持檢測等額外功能。
谷歌計算引擎的管控系統影響了虛擬機的創建。任何從數據中心間的通信都被自動加密,而在同一個數據中心內的虛擬機間的通信也正逐步被架構中其他部分的相同硬件加速器所加密。虛擬機隔離是基于開源的KVM堆棧,并經谷歌進一步強化。
上述的運營安全控制被用來確保谷歌的云計劃的穩步推進。“也就是說,除非服務客戶所必需,谷歌無法訪問或使用客戶數據。”
2016年見證了谷歌云業務在Alphabet(谷歌重組后的“傘形公司”)的現有整體收入上真正產生效應的過程。在2016年第三季度,云業務和谷歌游戲的數字產品銷售共同創下了24億美元的收入記錄,占谷歌總收入(223億美元)約10%。
谷歌基礎設施安全設計概覽(pdf)下載地址:
https://cloud.google.com/security/security-design/resources/google_infrastructure_whitepaper_fa.pdf
【本文是51CTO專欄作者李少鵬的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
