• Главная
  • Контакты
Подписаться:
  • Twitter
  • Facebook
  • RSS
  • VK
  • PushAll
logo

logo

  • Все
    • Положительные
    • Отрицательные
  • За сегодня
    • Положительные
    • Отрицательные
  • За вчера
    • Положительные
    • Отрицательные
  • За 3 дня
    • Положительные
    • Отрицательные
  • За неделю
    • Положительные
    • Отрицательные
  • За месяц
    • Положительные
    • Отрицательные
  • За год
    • Положительные
    • Отрицательные
  • Сортировка
    • По дате (возр)
    • По дате (убыв)
    • По рейтингу (возр)
    • По рейтингу (убыв)
    • По комментам (возр)
    • По комментам (убыв)
    • По просмотрам (возр)
    • По просмотрам (убыв)
Главная
  • Все
    • Положительные
    • Отрицательные
  • За сегодня
    • Положительные
    • Отрицательные
  • За вчера
    • Положительные
    • Отрицательные
  • За 3 дня
    • Положительные
    • Отрицательные
  • За неделю
    • Положительные
    • Отрицательные
  • За месяц
    • Положительные
    • Отрицательные
  • Главная
  • Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок

Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок +12

24.04.2017 13:51
KingServers 2 5900 Источник
Сетевые технологии*, Облачные вычисления*, IT-инфраструктура*, Блог компании King Servers


Корпорация Google — поставщик сервисов для миллиардов пользователей. Понятно, что данные пользователей, которые хранятся на серверах в дата-центрах Google — лакомый кусок для киберпреступников. Для защиты данных корпорация использует несколько методов многоуровневой защиты. Сейчас речь идет об облачной платформе Google Cloud, которая рассчитана, по большей части, на представителей бизнеса.

В команде, которая обеспечивает безопасность Google Cloud, работает около 700 инженеров, включая программистов, электронщиков и представителей прочих специальностей. В святая святых дата-центров компании попадают только уполномоченные представители технической поддержки после многоуровневой проверки. Нильс Провос (Niels Provos), один из руководителей службы безопасности, раскрыл некоторые подробности своей работы.

Так вот, все начинается еще с физической проверки, когда сотрудник желает пройти через главные ворота во внешней ограде дата-центров компании. Пройти может лишь человек, чье имя занесено в специальный список. Затем необходимо пройти повторную проверку уже на входе в одно из зданий внутри периметра ограждения. Если здесь все ок, то сотруднику требуется пройти третий этап проверки при входе в машзал. Эта проверка биометрическая — обычно речь идет о сканировании радужной оболочки глаза. Часть этих мер безопасности показана на видео от 2014 года.


Что касается внутренних областей ДЦ, здесь все пространство разделено на отдельные зоны, каждая из которых имеет определенный уровень допуска. Такие помещения оснащены дополнительной защитой, например, тепловыми и лазерными сенсорами. Кроме того, различные секторы ДЦ оснащены металлоискателями и динамическими барьерами для транспортных средств. Конечно, еще есть и камеры наблюдения, которые подключены к «умной» платформе, анализирующей все происходящее. Платформа, в частности, позволяет идентифицировать лица людей, пойманных в кадр.

Что касается «железа», то здесь ведется строгий учет всех накопителей. Если диск выходит из строя и его требуется заменить, то его изначально проверяют, сканируя штрих-код, а затем удаляют для стирания данных или уничтожения. Первый этап — всегда удаление данных. Если по какой-то причине данные не получается удалить полностью, либо же они очень важны, то наступает следующий этап — физическое уничтожение дисков при помощи механической системы, буквально перемалывающей носители в труху. Демонстрация процесса уничтожения дисков — на видео ниже.


Строгий контроль работает и в отношении любых других элементов инфраструктуры, чтобы убедиться в отсутствии неавторизованных изменений (произведенных случайно или умышленно). В частности, с этой целью используются криптографические подписи. Этот способ защиты инфраструктуры работает на всех уровнях — от BIOS, загрузчиков, ядра, других элементов ОС, используемой корпорацией. Все это создано компанией и контролируется ею же.

В частности, речь идет и об аппаратных методах, включая специализированные чипы, в которые вшиты подпрограммы, разработанные Google. Один из таких чипов — Titan. Его корпорация <a

href=«blog.google/topics/google-cloud/bolstering-security-across-google-cloud»>представила в прошлом месяце, не приведя технических подробностей его работы. Известно только, что это кастомный чип безопасности, который создан для предотвращения вмешательства еще на уровне BIOS, а также отслеживает и идентифицирует сервисы и аппаратное обеспечение, которое работает в дата-центрах Google. Этот чип может отслеживать подключаемое оборудование для того, чтобы удостоввериться в его безопасности. Сейчас Titan устанавливается на серверах.



В экосистеме Google все исполняемые файлы подписываются специальным криптографическим ключом, а данные шифруются при записи на диск. В добавление к этому криптографические ключи хранятся в ОЗУ ровно столько, сколько они нужны. Удаленные подключения и все прочие способы связи между дата-центрами шифруются по умолчанию.

Безопасность усиливается специальным программным обеспечением. Например, все сервисы компании взаимодействуют друг с другом, «доказывая», что они именно то, чем являются.

Борьба с DDoS


Инфраструктура компании рассчитана на то, чтобы поглощать слабые DDoS-атаки. Кроме того, компания установила промежуточные слои защиты для того, чтобы сделать атаки такого типа безопасными. Например, движок Google Front End (GFE) был создан специально для того, чтобы поглощать традиционные типы атак без вреда для инфраструктуры и сервисов.

А для того, чтобы обезопасить себя на тот случай, если придет действительно опасная атака, у компании есть собственный канал связи — подводная интернет-магистраль. Правда, единственной она была лет 9 назад, сейчас компания управляет самостоятельно или в партнерстве с кем-то еще несколькими магистралями. Это позволяет компании выдержать атаку любой мощности.

Кроме того, Google продолжает наращивать пропускную способность своих ДЦ. Например, в последнем поколении инфраструктуры Jupiter в дата-центрах компании «ширина» каналов увеличена более, чем в 100 раз. Один канал связи Jupiter может работать со скоростью 1 петабит в секунду. Этого канала хватает для того, чтобы 100000 могли быть связаны с собой в любой момент времени и эффективно отражать DDoS-атаки.

Поделиться с друзьями
-->

Комментарии (2)


  1. reimax
    24.04.2017 20:28
    #10189166
    +1

    Этого канала хватает для того, чтобы 100000могли быть связаны с собой в любой момент времени и эффективно отражать DDoS-атаки.

    что то пропущено?


    1. BigEl
      25.04.2017 16:53
      #10190658

      Все на месте. Рекламная статья — реклама в конце присутствует.
      Хотя не скрою, было интересно почитать. Думал по сетчатке только на военных объектах да правительство защиту строит, ан нет. Хорошо написано, но подробностей бы больше.

МЕТКИ

  • Хабы
  • Теги

Сетевые технологии

Облачные вычисления

IT-инфраструктура

Блог компании King Servers

Google

google cloud

DDoS

ddos-защита

СЕРВИСЫ
  • logo

    CloudLogs.ru - Облачное логирование

    • Храните логи вашего сервиса или приложения в облаке. Удобно просматривайте и анализируйте их.
Все публикации автора
  • Разработчики Debian публикуют отчет о подготовке «Stretch» и отключают поддержку FTP на своих серверах +12

    • 28.04.2017 09:57

    Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок +12

    • 24.04.2017 13:51

    Отечественный дистрибутив Linux — «ОСь» для серверных и настольных систем: новый BolgenOS государственного масштаба? +13

    • 20.04.2017 09:24

    Тим Бернерс-Ли: современный Интернет должен быть децентрализован и защищен шифрованием +19

    • 14.04.2017 13:38

    Компания Delta потеряла $150 млн из-за желания производителя аварийных генераторов для ЦОД +24

    • 12.04.2017 10:00

    Обновленный ботнет Mirai вернулся, став еще мощнее +10

    • 06.04.2017 12:46

    Мошенник вытянул из двух компаний $100 млн при помощи социального инжиниринга +5

    • 04.04.2017 16:28

    Necurs, один из крупнейших ботнетов мира, получил DDoS-модуль +20

    • 30.03.2017 17:45

    Сколько стоит DDoS построить? Подсчет стоимости DDoS-атаки +13

    • 27.03.2017 07:47

    Pwn2Own 2017: итоги десятого по счету соревнования хакеров +11

    • 21.03.2017 12:14

Подписка


ЛУЧШЕЕ

  • Сегодня
  • Вчера
  • Позавчера
10:32

Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии. Часть 4 и снова блогер… +92

08:05

Оживляем топливомер из кабины «Боинга» +39

09:01

TIG сварка в домашней мастерской, начало. Обзор, подборка мелочей. Часть 2 +31

13:05

Мой начальник хочет no-code в проде. Я против — и готов уйти +27

13:01

Как я «случайно» получил root-доступ к платёжному терминалу +25

09:24

Diplodoc 5.0: как ускорить сборку документации в пять раз +25

10:53

Как организовать идеальное рабочее место: проверенные решения от команды Selectel +22

12:42

Программируя с использованием AI ты продаешь душу дьяволу +17

08:53

Что происходит с вашим JavaScript-кодом внутри V8. Часть 1 +17

08:04

Безумный эксперимент: запускаем GTA V на Pentium 4 — возможно ли это? +17

11:08

Почему джуны — это инвестиция в команду, а не слабое звено? +13

08:31

«Разработчик – легенда»: анатомия волчистости в IT +13

07:52

Домашняя мастерская по ремонту электроники: работа с ЛБП, мультиметром и осциллографом +12

13:46

Внутристраничная очистка в индексах PostgreSQL +10

13:20

Электрификация России. Прогресс и промышленный фокус +9

11:27

Цветовая вычислительная фотография. Часть 2: Стандарты CIE 1931 +8

10:50

Приоткрываем завесу: о принципах работы дисковых хранилищ VK Cloud +8

10:50

Приоткрываем завесу: о принципах работы дисковых хранилищ VK Cloud +8

10:22

10 наивных советов тем, кто только начинает работать +8

05:51

Почему sync.Map — почти всегда плохая идея +8

07:00

Редизайн Яндекс Карт: почему мы перекрасили дороги +187

08:05

Газоразрядное табло для машины времени, или как я оказался в титрах к японской дораме +121

13:01

Мирный порох +79

07:31

Как ускорить сложение и вычитание при помощи 2^51 +57

15:01

Мифы цифровой революции: почему гиперлупы не летают, а ИИ не правит миром (пока что) +53

12:01

Почему мы до сих пор пользуемся QWERTY: история самой неэффективной раскладки +50

09:01

Просто редчайшая ГДР-овская Musima или уникальная мастеровая электрогитара из СССР? +41

04:53

Закат инженерной науки и что бы я посоветовал молодым людям, которые мечтают стать инженерами? +41

13:00

Бизнесу не нужно внедрять ИИ. Рассказываю, как ИИ-хайп ослепил российские компании +38

09:01

Как СМИ, консультанты, инфоцыгане и прочие провоцируют переработки и корпоративную шизу. Часть 4 +34

08:05

Edge AI: локальный инференс — новый драйвер эффективности бизнеса +32

06:04

Это личное! Как femtech-приложения защищают наши данные +28

09:55

Проблемы БД или почему большой продакшн спасут только массовые расстрелы запросов +26

08:12

Как устроены фотонные компьютеры +25

07:51

ZLinq — Zero-Allocation LINQ-библиотека для.NET +25

10:24

Данные на продажу: что происходит с информацией после утечек +24

08:09

«Кобра»: персоналка эпохи социализма, о которой вы не знали +23

06:08

Исчисление геометрии Часть 1. Алгебры Клиффорда +21

08:30

3D для каждого. Оптимизация. Часть 4. Ремейк меша +20

08:01

Сложный способ писать программы +20

19:25

Localhost-атака: как Meta и Яндекс следят за пользователями Android через localhost +241

21:57

Как инфоцыгане отравили IT +231

13:01

Апгрейды для Денди: часть 2/2 +77

13:39

Прогрессивный JSON +46

09:01

Электронная нагрузка для разряда аккумуляторов на микроконтроллере PIC16F628A +45

08:14

Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux +42

15:30

Из декрета в аналитику — как я вкатилась в IT +37

08:23

3D-сканер из датчика Kinect Xbox 360 +36

12:02

Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы +33

12:55

Секреты изнанки музыкальных инструментов +32

10:38

Достижения российских ученых в первой половине 2025 года +30

08:05

Переводим спортивное табло на управление по Bluetooth и контроллер arduino +27

11:31

Один на один с Rust +24

12:48

Философствующий Claude 4, Gemini для самых маленьких и пачка агентов-программистов: главные события мая в ИИ +23

11:35

Об (отсутствии) синтаксической поддержки обработки ошибок в Go +23

12:15

Как построить свою ферму устройств и упростить работу с устройствами и эмуляторами: делимся опытом создания DeviceHub +22

07:19

5 игровых проектов, которые разрушают ожидания за 15 минут. И это прекрасно +20

15:00

Маленькая утилита для контроля квот в Yandex Cloud +17

13:21

Читаем под одеялом с фонариком: темная тема и документация в ТМС TestY 2.1 +15

09:45

Рецензия на книгу “Машинное обучение для приложений высокого риска” +15

ОБСУЖДАЕМОЕ

  • Закат инженерной науки и что бы я посоветовал молодым людям, которые мечтают стать инженерами? +41

    • 454   52000

    Редизайн Яндекс Карт: почему мы перекрасили дороги +193

    • 326   41000

    Как инфоцыгане отравили IT +232

    • 311   46000

    Localhost-атака: как Meta и Яндекс следят за пользователями Android через localhost +241

    • 180   34000

    «Разработчик – легенда»: анатомия волчистости в IT +12

    • 94   8900

    Об (отсутствии) синтаксической поддержки обработки ошибок в Go +23

    • 58   4100

    Мой начальник хочет no-code в проде. Я против — и готов уйти +26

    • 56   4600

    Мирный порох +79

    • 51   5300

    Почему мы до сих пор пользуемся QWERTY: история самой неэффективной раскладки +50

    • 51   11000

    Бизнесу не нужно внедрять ИИ. Рассказываю, как ИИ-хайп ослепил российские компании +38

    • 47   6100

    Образцовый джун +19

    • 47   4000

    Мифы цифровой революции: почему гиперлупы не летают, а ИИ не правит миром (пока что) +53

    • 45   4800

    Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии. Часть 4 и снова блогер… +99

    • 39   8400

    Конец эпохи программистов? Почему 80% IT-школ закроются к 2027 году -11

    • 36   2000

    Прогрессивный JSON +46

    • 32   14000
  • Главная
  • Контакты
© 2025. Все публикации принадлежат авторам.