گوگل اخیراً جزییات مربوط به زیرساخت امنیتی در مرکز داده خود را که بسیاری از سرویسهای گوگل ازجمله سرویس ابر گوگل بر روی آن قرار دارد به اشتراک گذاشتهاست.
حرکت جسورانه گوگل
اشتراکگذاری جزییاتی از زیرساخت امنیتی مراکز داده
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 29 دی 1395 ساعت 11:00
گوگل اخیراً جزییات مربوط به زیرساخت امنیتی در مرکز داده خود را که بسیاری از سرویسهای گوگل ازجمله سرویس ابر گوگل بر روی آن قرار دارد به اشتراک گذاشتهاست.
گوگل اخیراً جزییات مربوط به زیرساخت امنیتی در مرکز داده خود را که بسیاری از سرویسهای گوگل ازجمله سرویس ابر گوگل بر روی آن قرار دارد به اشتراک گذاشتهاست.
در شرایطی که بسیاری از سازمانها از انتشار جزییات امنیتی خود واهمه دارند تا مبادا مزایایی برای مهاجمان ایجاد شود بهنظر میرسد که گوگل از این مسئله هیچ واهمهای ندارد. دلیل این موضوع نیز دو نکته است. یکی اینکه گوگل میخواهد امنیت بالقوه زیرساختهای خود را به مشتریان سرویس ابر گوگل اطلاع دهد و دوم اینکه گوگل از امنیت زیرساختهای خود اطمینان کامل دارد.
گوگل اخیراً در مقالهای زیرساخت خود را در ۶ لایه توضیح دادهاست. این زیرساخت در پایینترین سطح حاوی لایه فیزیکی و سختافزاری است که بر روی آن لایههای سرویس، شناسایی کاربر، سرویس ذخیرهسازی و ارتباطات اینترنتی برای عملیات امنیتی وجود دارد.
در بسیاری از قسمتها گوگل خودش مرکز داده را ساختهاست و این ساختارها شامل شناساییهای بیومتریک، شناسایی فلزات، دوربینها، موانع ماشینی، سامانههای تشخیص نفوذ مبتنیبر لیزر است. در برخی موارد که سرویسهای گوگل بر روی کارگزارهای مراکز داده دیگر میزبانی میشود، گوگل ویژگیها و قابلیتهای امنیتی خود را به این مراکز داده اضافهمیکند.
گوگل صفحات ویژهای را برای هزاران کارگزاری که در مرکز داده گوگل وجود دارد، طراحی کردهاست: «ما تراشههای ویژهای را طراحی کردهایم که درحالحاضر در کارگزارها و سایر تجهیزات جانبی مورد استفاده قرار گرفتهاست. با استفاده از این تراشهها میتوانیم در سطح سختافزار، دستگاههای گوگل را بهطور امن شناسایی و احراز هویت کنیم.»
هیچ اعتماد پیشفرضی بین سرویسهای گوگل چه در داخل مرکز داده و چه خارج از آن وجود ندارد. هر ارتباطی بین سرویسهای داخلی با استفاده از الگوریتمهای رمزنگاری در سطح لایه کاربرد کنترل و احراز هویت میشود. همچنان که برای ارتباط سرویسهای داخلی احزار هویت انجام میشود در زیرساخت امنیتی گوگل با استفاده از الگوریتمهای رمزنگاری، صحت و حریم خصوصی دادهها در فراخوانی فرایند راه دور (RPC) نیز فراهم میشود. تمامی دادههای WAN (دادههای تبادلشده بین دو مرکز داده) رمزنگاری میشوند. این رمزنگاری با استفاده از سختافزارهایی که فرایند رمزنگاری را تسریع میکند به ترافیک داخلی در مرکز داده نیز گسترش یافتهاست.
وقتی یک ارتباط بین سرویسهای داخلی توسط یک کاربر نهایی ایجاد میشود (مثلاً سرویس جیمیل میخواهد با سرویس مخاطبان گوگل ارتباط برقرار کند) یک بلیط مجوز کوتاهمدت تولید میشود تا اطمینان حاصل شود که سرویس جیمیل میتواند فقط با مخاطبان آن کاربر تعامل داشتهباشد.
زیرساخت گوگل برای دادههای ذخیرهشده از یک سرویس مدیریت کلید مرکزی استفادهمیکند. دادههای ذخیرهشده میتوانند طوری پیکربندی شوند که پیش از نوشتهشدن در منابع ذخیرهسازی فیزیکی از کلیدهای موجود در این سرویس مدیریت کلید استفادهکنند. ذخیرهسازی در لایه کاربرد به زیرساخت اجازه میدهد تا خود را از تهدیدات موجود در سطوح پایینتر مانند ثابتافزارهای مخرب ایزوله کند.
سرویسهایی که قرار است در سطح اینترنت قابلدستیابی باشند، توسط Google Front End اجرا میشوند. با این کار اطمینان حاصل میشود که تمامی ارتباطات TLS از گواهینامههای درستی استفاده و از امنیت رو به جلو پشتیبانی میکنند. در زیرساخت گوگل برای محافظت در برابر منع سرویس از چندین لایه سختافزاری و نرمافزاری برای توزیع بار استفاده میشود و گزارش هر منع سرویس به سرویس مرکزی ارسال میشود. اگر این سامانه حمله منع سرویس را تشخیص دهد، میتواند به بخشهای توزیعکننده بار دستور دهد ترافیک موردنظر را حذف کنند.
احراز هویت کاربران چیزی فراتر از مدل نام کاربری و گذرواژه است و چالشهای مختلفی برای گرفتن اطلاعات مهم از کاربر به این فرایند اضافه شدهاست. در این فرایند سرویس احراز هویت دومرحلهای نیز ارائه میشود همچنین گوگل تلاش دارد با کمک FIDO Alliance، استاندارد بازی را برای احراز هویت دو عاملی توسعه دهد.
برای اطمینان از توسعه امن نرمافزارها، گوگل از کتابخانهها و چارچوبهایی استفادهمیکنند تا آسیبپذیریهای XSS را به حداقل برساند. از ابزارهای خودکار برای شناسایی اشکالات امنیتی استفاده میکند و سرویس مرور دستی سازوکارهای امنیتی نیز وجود دارد. علاوهبر اینها گوگل برنامه پاداش در ازای اشکال را نیز راهاندازی کرده و تاکنون میلیونها دلار جایزه به محققان امنیتی پرداخت کردهاست.
یکی از روشهای مهم که گوگل در زیرساخت امنیتی خود از آن برای کاهش خطرات داخلی استفاده میکند، کاهش دسترسیهای ادمین و نظارت همیشگی بر این نوع از دسترسیها است. در این روش روالهای خودکار برای نظارت بر تعدادی از فعالیتهای مدیریتی تعریف شدهاست و در آن PAI ها محدود شده تا در هنگام عیبیابی به دادههای حساس و مهم دسترسی وجود نداشتهباشد.
در زیرساخت گوگل در سامانههای تشخیص و جلوگیری از نفوذ، بیش از پیش از روشهای یادگیری ماشین استفادهمیشود. در آخرین بخش از این مقاله در خصوص بستر ابر گوگل بحث شدهاست. این سرویس بر روی همین زیرساخت ایجاد شده و سرویسهای ویژه آن بهبود یافتهاست.
بستر ابر گوگل، واسطهای برنامهنویسی خود را از طریق GET ارائهمیکند و از سرویسهای امنیتی که سایر سرویسها دارند بهرهمند میشود. احراز هویت کاربر انتهایی از طریق سامانه مرکزی گوگل انجام میشود. این سامانه احزار هویت دارای ویژگیهای دیگری ازجمله تشخیص سرقت حساب کاربری است.
ایجاد ماشینهای مجازی نیز در بخش کنترل و مدیریت بستر ابر گوگل مؤثر واقع شدهاست. همانطور که گفتیم ترافیک انتقالی از یک مرکز داده به مرکز داده دیگر، رمزنگاری میشود. هنگام ارسال دادهها از یک ماشین مجازی به ماشین مجازی دیگر در داخل یک مرکز داده از همین رمزنگاری استفاده میشود. ایزولهسازی ماشین مجازی نیز توسط پشته متنباز KVM فراهم شدهاست.
کنترل امنیت عملیاتی برای این است که به مشتریان اطمینان داده شود، گوگل در بستر ابر از دادههای مشتریان استفادهای نمیکند مگر اینکه ارائه یک سرویس با استفاده از دادههای مشتریان ضروری باشد.
کد مطلب: 12252