Google Infrastructure Security 設計總覽白皮書 (四)
保護 Google 雲端平台 (GCP)
在本章節中,我們將著重介紹公共雲基礎架構 – GCP,如何從底層基礎架構的安全性中受益。我們將以 Google Compute Engine 為例,詳細介紹我們在基礎架構之上構建的特定服務的安全性改善。
Compute Engine 使客戶能夠在 Google 的基礎架構上執行自己的虛擬機器。Compute Engine 的執行由幾個邏輯元件組成,其中最亮眼的是管理控制介面和虛擬機本身。
管理控制介面公開外部 API 層並編排虛擬機創建和遷移等任務。它是基礎設施上的各種服務運行,因此它自然受到基礎設施上對系統完整性相關功能的保護,如 secure boot chain。各個服務在不同的內部服務帳號下運行,以便在向遠程程序調用(RPC)發送到其餘的控制介面時,只授予每個服務所需的權限。如前面所述,所有這些服務的程式碼都存儲在中央 Google 源代碼庫中,並且在此代碼和最終部署的二進製文件(binaries)間留下審計線索。
運算引擎控制介面通過 GFE 公開他的 API,而且它利用了服務阻斷(DoS)保護和集中管理的 SSL / TLS 等基礎設施安全功能。客戶可以通過選擇使用構建在 GFE 上的 Google Cloud 負載平衡服務,獲得對類似運算引擎 VM 上運行的應用程式的保護,還可以減輕多種類型的 DoS 攻擊。
終端用戶對運算引擎控制介面 API 的身份驗證是通過 Google 的集中身份認證服務完成的。該服務提供了諸如劫持檢測(hijacking detection)等安全性功能。授權是使用中央雲 IAM 服務完成的。
從 GFE 到其後的第一個服務以及其他控制介面服務間的控制介面的網絡流量會自動由基礎設施進行身份驗證,並且在流量從一個數據中心傳輸到另一個數據中心時進行加密。另外,基礎設施也被配置加密數據中心內的一些控制介面流量。
每個虛擬機(VM)都與關聯式虛擬機管理器(VMM)服務一起運行。基礎設施提供這些服務兩個身份。一個身份被VMM服務實例用於其自己的呼叫,一個身份被用於VMM代表客戶VM的呼叫。這使我們能夠進一步細分來自VMM呼叫的信任。
運算引擎的永久磁碟(persistent disks)使用受中央基礎架構密鑰管理系統保護的密鑰靜態加密。這這讓我們可以自動輪換這些密鑰並且統一審核對這些密鑰的存取。
現在的客戶可以選擇是否將流量從虛擬機器上發送到另一台機器或是透過網路,又或是為流量進行加密。Google 已經開始為客戶虛擬機的 WAN 躍點的流量自動加密。如前面所述,基礎設施內的所有 WAN 流量已經被加密。未來,Google 也計劃利用前面提到的網路硬體加速加密技術來加密數據中心內部虛擬機網域 LAN 流量。
提供給 VM 的隔離是基於使用開源 KVM stack 的虛擬化硬體。通過將一些系統控制以及硬體模擬搬到作業系統核心(kernel)之外無特殊存取權限的程序(unprivileged process)中,Google 進一步強化了其 KVM 的實作。Google 還使用模糊測試、靜態分析和手動代碼審查等技術,廣泛測試 KVM 的核心。如前所述,最近公開揭露的 KVM 安全漏洞大部分源自於Google 的貢獻。
最後,Google 的運營安全控制是確保數據存取遵循 Google 政策的關鍵。作為Google 雲端平台的一部分,運算引擎對客戶數據的使用會遵照 GCP 使用客戶數據政策的規定,也就是說,Google 不會訪問或使用客戶數據,除非有必要為客戶提供服務。
Conclusion 結論
我們已經描述了Google的基礎設施是如何在互聯網上安全地建構、部署和執行服務。這包含如 Gmail、Google 企業級等消費者服務。另外,Google 雲端產品也是建立在相同的基礎架構之上。
Google 大力投資以保護 Google 的基礎設施。Google 有數百位工程師專門處理安全、隱私問題於,其中不乏多位權威人士。
正如我們所看到的,基礎設施的安全性是從實體零組件和數據中心再到硬體來源,然後安全地啟動、安全的在服務間通信、安全的保護數據、保護在網路流中需受訪的服務,以及最後,保護營運安全部署的技術和流程。
延伸閱讀
請參考以下特定領域文件以獲取更多詳細信息:
⬩ Physical security of our data centers
⬩ Design of our cluster management and orchestration
⬩ Storage encryption and our customer facing GCP encryption features
⬩ BigTable storage service
⬩ Spanner storage service
⬩ Architecture of our network load balancing
⬩ BeyondCorp approach to enterprise security
⬩ Combating phishing with Security Key and the Universal 2nd Factor (U2F) standard
⬩ More about the Google Vulnerability Rewards Program
⬩ More about HTTPs and other load balancing offerings on GCP
⬩ More about DoS protection best practices on GCP
⬩ Google Cloud Platform use of customer data policy
⬩ More about application security and compliance in G Suite (Gmail, Drive etc)
相關文章:
Google 資訊安全白皮書:Google Infrastructure Security (一)
Google 資訊安全白皮書:Google Infrastructure Security (二)
Google 資訊安全白皮書:Google Infrastructure Security (三)
(原文翻譯自:https://cloud.google.com/security/security-design/)
(原文內容於 2017 年初撰寫,僅代表當時寫的現狀。隨著 Google 不斷改進對客戶的保護,Google 的安全政策和系統可能會改變。)
