Extrémní zabezpečení Googlu zajišťuje šest vrstev ochrany a hardware s vlastními specializovanými čipy

  • Data uložená v datacentrech Google patří mezi nejvíce zabezpečená na světě
  • Google spoléhá celkem na šest samostatných vrstev zabezpečení
  • Pro maximalizaci ochrany si vytváří i vlastní bezpečnostní čipy

Nastává doba, kdy stále více našich vlastních nebo firemních dat nahráváme do cloudu a zbavujeme jich oné „lokální bezpečnosti“, která má své výhody, pokud zrovna nemáte zavirovaný počítač nebo není připojený do internetu. V takovém případě by totiž bylo nutné ukrást data fyzicky.

S přesunem do cloudu se ale data nachází kdesi v datacentrech pod vaším virtuálním účtem. Nedávno zveřejněný únik hesel u Yahoo ukázal, že ani veliká korporace není zárukou bezpečnosti a na trhu jsou další jako Apple, Amazon, Facebook nebo Google, kteří mají data miliard uživatelů.

Google ale rozhodně patří mezi technologické společnosti s nejvyšší úrovní zabezpečení, což dokázal i v novém podrobném materiálu.

Šestivrstvá bezpečnostní infrastruktura

Google celou infrastrukturu svých serverů zabezpečuje celkem šesti bezpečnostními vrstvami, které jsou určené pro různé účely a fáze při nakládání s daty.

Klepněte pro větší obrázek
Infrastruktura Googlu má šest základní vrstev zabezpečení

Na nejnižší úrovni je to samotná hardwarová infrastruktura, poté nasazování jednotlivých služeb, ověřování zaměstnanců, uživatelů, ukládání a šifrování dat, síťová komunikace přes internet a pochopitelně také fyzickou ochrana v datacentrech.

Vlastní hardware i čipy

Google pro běžné výpočty používá klasické serverové procesory, výpočetní grafické karty a další druhy akcelerátorů od externích společností jako je Intel, Nvidia a podobně, ale pokud jde o zabezpečení daného počítače, vyvíjí si a nechá si vyrábět vlastní bezpečnostní čipy.

Tyto čipy jsou určené pro bezpečné startování počítače, jeho unikátní kryptografické ověření už při bootování a také maximální kontrolu na té zcela nejnižší úrovni (kernel, bootlader, obraz operačního systému). Google je jediný, kdo tyto čipy má k dispozici a také jako jediný vyvíjí a upravuje firmware pro tyto čipy.

S tím jak se čipy vyvíjí, jsou navíc v různých serverech a datacentrech různé generace, takže i kdyby došlo k získání a „hacknutí“ jednoho čipu, nezpůsobí to problém pro celou infrastrukturu Googlu, ale jen danou část.

Disk vám bude k ničemu

Pokud zůstaneme ještě u fyzického zabezpečení, určitě je nutné myslet na úložiště tvořená pevnými disky či SSD. Na těchto zařízení se ukládají data distribuovaně v rámci serverů a datacenter. Google používá služby jako BigTable a Spanner i pro rotaci klíčů, ukládání logů a hlavně odrušení případného malwaru na úrovni firmwaru disku, který by přišel už od samotného dodavatele typu Seagate nebo Western Digital. Takové věci se skutečně dějí – nemůže za to obvykle výrobce, ale útočník může relativně snadno nahrát upravený firmware při převozu objednávky a podobně.

Dochází ke kompletnímu šifrování dat už při nahrávání, takže nešifrovaná data se nikdy nedostanou do disku. Pokud se nějaký disk nebo SSD poškodí, Google zajišťuje jak několikanásobné přemazání, tak i fyzické rozdrcení na kousíčky. Vybíráním popelnic u datacenter tak data rozhodně nezískáte.

Datacentrum jen pro zvané

V případě fyzického přístupu do samotného datacentra, je vše zabezpečeno rovněž několika úrovněmi. V datacentrech Google pracuje jen několik zaměstnanců Googlu, alespoň pokud je už vše postavené a funkční.

Dochází ke klasickému biometrickému ověřování, detekci kovů, detekci pohybu pomocí laserů a nechybí dokonce silné bariéry proti tomu, kdybyste chtěli do datacentra prostě vjet a prorazit se dovnitř.

Interní hrozba

Aby Google zabezpečil také interní útok, zajišťuje i ochranu všech zaměstnanců a jejich zařízení. Kromě dvoufaktorového zabezpečení se kontroluje aktivita, obrazy operačních systémů pro klientské systémy a také zda jsou nainstalované nejnovější bezpečnostní aktualizace.

Zajímavostí také je, že dochází ke kontrole i nainstalovaného softwaru, různých rozšíření třeba v prohlížeči a podobně. To vše jsou totiž potenciální díry, skrze které by mohl proběhnout útok do daného zařízení a následně pak ještě dále. Google nepoužívá klasická přístupová práva do sítě, jak je u firem běžné, ale místo toho využívá techniky přístupu k jednotlivým aplikacím. Vše ale zároveň značně filtruje a tak třeba účetní „Jarda“ se nedostane k byznys datům za posledních 14 dní, pokud zrovna není v konkrétní lokalitě a na konkrétním povoleném zařízení a podobně.

Neustále dochází ke sledování neobvyklého chování jak při práci s aplikacemi, tak i provozu na síti a přístupu k API rozhraním. Při významných změnách a při nasazování důležitých částí musí dojít k ověření od dvou entit.

Kontrola kódu

Žádný programátor netvoří dokonalý kód bez chyb a tak je nutné počítat i s tím, že se v kódu vyskytne chyba, která znamená potenciální bezpečnostní riziko. Google má pro tyto případy k dispozici vlastní bezpečnostní automatické nástroje, které produkovaný kód prochází.

Dochází ale i k manuální kontrole bezpečnostmi experty z oblasti operačních systémů, šifrování a webu, kteří případné chyby ošetří i na globální úrovni do knihoven, které jsou používané napříč aplikacemi a službami Googlu a v automatizovaných detekčních systémech.

Klepněte pro větší obrázek
Ukázka ověřování identit mezi službami

Google je největším „dodavatel“ zjištěných chyb pro linuxový KVM, na kterém mimo jiného provozuje také například vlastní platformu Google Cloud.

DoS útok každodenním chlebem

Na servery Google dochází k neustálému útoku na mnoha úrovních, k tomu klasickému patří DoS, který neslouží k ničemu jinému než zahlcení serverů a jejich zablokování pro ostatní uživatele.

Google je na tyto útoky připravený, protože probíhají takřka neustále. Používá k tomu několik vrstev hardwarových a softwarových load-balancerů. Informace o příchozím trafiku ještě analyzují další instance služby GFE (Google Front End). Dle druhu a síly se v reálném čase může vše překonfigurovat a optimalizovat.

Interakce

Projděte se v datacentru Googlu:

Zdroj obrázku: Nguyen Hung Vu (CC BY 2.0)

Diskuze (16) Další článek: Blíží se filmoví Oscaři 2017 a to znamená jediné - pirátské verze nominovaných snímků

Témata článku: Cloud, Google, Bezpečnost, Datacentra, Servery, G Suite, Extrém, Facebook nebo Google, Special, Apple Amazon, Front End, Instance, Kryptografický systém, Kompletní šifrování, Hacknutí, Převoz, Zavirovaný počítač, Klasický cloud, Bezpečnostní čip, Detekční systém, SPEC, Bezpečnostní vrstva, VLA, VRS, Nejnižší úroveň



5 nejlevnějších mobilů z AliExpressu, s nimiž se nenapálíte. Modely bez loga nebrat

5 nejlevnějších mobilů z AliExpressu, s nimiž se nenapálíte. Modely bez loga nebrat

** Koupit levný telefon z Číny jde, musíte však dobře vybírat ** Při duplicitách platí vždy horší položka ve specifikacích ** Ukážeme si vybrané telefony „z Ali“, které mají smysl

Martin Chroust
AliExpressNižší třídaČínaNákup a ceny
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Recenze českého počítače Āsome Studio PRO MiniPC R7. Pro hraní i práci v kompaktním těle

Recenze českého počítače Āsome Studio PRO MiniPC R7. Pro hraní i práci v kompaktním těle

**Počítač zaujme kompaktními rozměry **O grafický i procesorový výkon se postará osmijádrový Ryzen 7 **Nová česká značka překvapí cenou i kvalitou

Jan Pánek
Testy
18 tipů a triků pro WhatsApp, které možná neznáte

18 tipů a triků pro WhatsApp, které možná neznáte

** WhatsApp je jedna z nejrozšířenějších komunikačních aplikací ** Obsahuje mnoho skrytých funkcí, které vylepší používání ** Zde najdete tipy na ty nejužitečnější

Adam Kos
WhatsAppTipy a triky
Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Hra o trůny (Game of Thrones) je legendární seriál televize HBO. Od roku 2011 v osmi sezónách popisoval boj šlechtických rodů o vládu a moc. Hra o Trůny sice skončila, ale tady jsou další seriály podobného charakteru, které by se vám mohly líbit.

Ondřej Králík
Filmy, které musíte vidět
Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

** Nelibí se vám, když cizí lidé okukují váš dům? ** Všechny mapové aplikace nabízejí možnost rozmazání snímku ** Máme návod pro Apple Maps, Bing Maps, Mapy Google a Mapy.cz

Karel Kilián
SoukromíNávodyMapy
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče