写点什么

Google 的基础设施安全

  • 2017-02-07
  • 本文字数:1241 字

    阅读完需:约 4 分钟

Google 基础设施在设计时就确保了信息在整个生命周期内都是安全的。这里所说的安全涉及多个层面,包括服务部署、数据存储、进程与进程及外部系统之间的通信,以及运维层面。

物理层

在物理层,安全是通过以下措施确保的:

  • 限制并严格控制对数据中心的访问。
  • 仔细审核组件提供商并审计其组件的安全属性。
  • 服务器和外围设备使用定制芯片以便于识别 Google 的设备。
  • 每次启动或者更新的时候都对 BIOS、引导加载程序、内核以及基础操作系统镜像的加密签名进行验证。

服务部署

在服务级别,Google 并没有为运行在同一基础设施上的服务假定任何信任关系。这对服务的识别、授权,以及数据的隐私和完整性造成了一些重要的影响,包括:

  • 每一个服务都有一个加密了的身份,在进行远程过程调用(RPC)的时候会使用。
  • 服务可以被配置成由经过特定复审、检入、测试和审批的源码构建,从而限制入侵者修改源码的能力。
  • 使用沙箱、硬件虚拟化等隔离技术保护服务不受运行在同一台机器上的其他服务的影响。对于非常敏感的服务,可能会同时使用多种隔离技术,包括将服务独立运行在一台专用设备上。
  • 通过白名单、中央访问控制列表和组数据库对 API 访问进行服务和工程两个级别的限制。
  • 对所有的 RPC 通信应用加密技术。
  • 从一个服务到另一个服务的所有用户级别的请求(例如 Gmail 对通讯录服务的请求)都必须经过一个身份验证流程的处理,该流程会使用用户会话 token 获取临时 token 以用于远程过程调用。

数据存储

Google 在应用程序层和驱动层都使用了加密技术。实际上,在被存储到磁盘之前,Google 还会使用一个提供审计日志、自动化密钥轮替等功能的中央密钥管理服务对数据进行加密。另外,硬盘和 SSD 使用硬件加密,这些设备只有在经过严密的多步擦除处理之后才会被重用。

互联网通信

Google 的基础设施与因特网是隔离的,只有一部分机器暴露到了外部环境中。Google 这一策略的基石是 Google Front End(GFE),它为所有可以通过因特网访问的内部服务提供了注册、发布服务。GFE 会确保 TLS 终止会被正确的处理,强制实施最佳实践,并通过反向代理功能提供拒绝服务(DOS)保护。通过一个专用的中央服务,DOS 保护可以得到非常有效的实施,因为它能够监视所有进入负载均衡器的请求,同时能够命令负载均衡器丢弃或者限制攻击流量。

确保互联网通信安全的一个非常关键的步骤是用户身份验证,对此 Google 是通过一个得到了中央身份服务支持的登陆页面实现的。众所周知的是,Google 的认证并不仅仅局限于用户名和密码,尝试登陆过程中产生的其他所有信息都将作为认证参考,例如使用的设备、地理位置等信息。为了进一步增强安全性,Google 身份验证还支持双重认证。

另外,与 Google 基础设施安全性相关的其他方面还包括运维安全,它决定了软件的创建方式,保护雇员的机器和证书,阻止来自于入侵者以及外部行为的可能威胁。

如果想查看更详细的信息可以查看Google 的Web 网站,该网站给出了一个文档列表分别对相关的具体领域进行了详细的介绍。

查看英文原文 All Google’s Servers Contain Custom Security Silicon

2017-02-07 18:001716
用户头像

发布了 321 篇内容, 共 118.4 次阅读, 收获喜欢 19 次。

关注

评论

发布
暂无评论
发现更多内容

支付系统概述(八):用户资产管理

agnostic

支付系统设计与实现

SimpleMind Pro思维导图mac版:让思维可视化,创新无限可能

Rose

JProfiler for Mac v14.0.0永久注册码 Java性能调优利器

Rose

轻松驾驭大数据,IBM SPSS Statistics 26让统计分析更智能!

Rose

视频批量采集下载工具|短视频提取软件

Geek_16d138

短视频 爬虫工具 爬虫技术

短视频评论ID采集提取软件|评论关键词下载爬取工具

Geek_16d138

短视频获客 爬虫工具 爬虫技术

玛雅 maya2025 系统要求 及Autodesk Maya 2025完整版破解资源

Rose

Macs Fan Control Pro for mac:智能风扇控制,优化散热,提升性能

Rose

使用PHP开发体育赛事直播平台,有这些缺点和优点

软件开发-梦幻运营部

华为Pura 70系列,一种关于世界之美的可能

脑极体

AI 手机

国产化里程碑:明道云HAP私有部署版获信创评估证书,荣登会员单位

明道云

HAP官方示范应用大更新:开箱即用,全面整合新功能

明道云

超级效率神器:一按键盘,翻阅网页如履平地!

wudaxue

支付系统概述(九):外汇系统

agnostic

支付系统设计与实现

机器狗巡视功能PRD

执于业务

明道云HAP合作伙伴计划全解析:开辟业务增长新路径

明道云

HagoBuy淘宝代购集运系统类似软件是哪家公司开发的?

tbapi

淘宝代购系统

《JAVA多线程设计模式》PDF

程序员李木子

基于AB32VG1的冬笋探测器设计

芯动大师

lcd 微波

Vue.js 如何在Vue应用中导入wasm文件

Changing Lin

Vue 前端

【实时更新】天猫商品详情数据接口采集揭秘!

tbapi

淘宝商品详情数据接口 天猫API接口 天猫商品详情接口 天猫商品数据采集

Vben-admin 修改Primary Color

麦兜

FeignClient从默认的httpClient升级为okhttpclient踩坑记录

追随月光的战士

k8s Wireshark Spring boot Feign 404

姑苏寻韵~庆开放原子开源大赛 OpenTiny 前端 Web 应用开发挑战赛路演圆满落幕。

OpenTiny社区

开源 前端 低代码 组件库

superbuy淘宝代购集运系统类似软件是哪家公司开发的?

tbapi

淘宝代购系统 superbuy

Pandabuy淘宝代购集运系统类似软件是哪家公司开发的?

tbapi

淘宝代购系统 淘宝代购集运系统 Pandabuy

Termius:全平台SSH神器,连接管理更高效!

Rose

短视频批量下载提取软件功能|采集下载工具

Geek_16d138

短视频获客 爬虫工具

鸿蒙HarmonyOS实战-ArkUI组件(Button)

蜀道山

鸿蒙 HarmonyOS 鸿蒙开发 button arkui

Proxifier for mac,让网络隐私与安全触手可及

Rose

Google的基础设施安全_Google_Sergio De Simone_InfoQ精选文章