• Главная
  • Контакты
Подписаться:
  • Twitter
  • Facebook
  • RSS
  • VK
  • PushAll
logo

logo

  • Все
    • Положительные
    • Отрицательные
  • За сегодня
    • Положительные
    • Отрицательные
  • За вчера
    • Положительные
    • Отрицательные
  • За 3 дня
    • Положительные
    • Отрицательные
  • За неделю
    • Положительные
    • Отрицательные
  • За месяц
    • Положительные
    • Отрицательные
  • За год
    • Положительные
    • Отрицательные
  • Сортировка
    • По дате (возр)
    • По дате (убыв)
    • По рейтингу (возр)
    • По рейтингу (убыв)
    • По комментам (возр)
    • По комментам (убыв)
    • По просмотрам (возр)
    • По просмотрам (убыв)
Главная
  • Все
    • Положительные
    • Отрицательные
  • За сегодня
    • Положительные
    • Отрицательные
  • За вчера
    • Положительные
    • Отрицательные
  • За 3 дня
    • Положительные
    • Отрицательные
  • За неделю
    • Положительные
    • Отрицательные
  • За месяц
    • Положительные
    • Отрицательные
  • Главная
  • Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок

Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок +12

24.04.2017 13:51
KingServers 2 5900 Источник
Сетевые технологии*, Облачные вычисления*, IT-инфраструктура*, Блог компании King Servers


Корпорация Google — поставщик сервисов для миллиардов пользователей. Понятно, что данные пользователей, которые хранятся на серверах в дата-центрах Google — лакомый кусок для киберпреступников. Для защиты данных корпорация использует несколько методов многоуровневой защиты. Сейчас речь идет об облачной платформе Google Cloud, которая рассчитана, по большей части, на представителей бизнеса.

В команде, которая обеспечивает безопасность Google Cloud, работает около 700 инженеров, включая программистов, электронщиков и представителей прочих специальностей. В святая святых дата-центров компании попадают только уполномоченные представители технической поддержки после многоуровневой проверки. Нильс Провос (Niels Provos), один из руководителей службы безопасности, раскрыл некоторые подробности своей работы.

Так вот, все начинается еще с физической проверки, когда сотрудник желает пройти через главные ворота во внешней ограде дата-центров компании. Пройти может лишь человек, чье имя занесено в специальный список. Затем необходимо пройти повторную проверку уже на входе в одно из зданий внутри периметра ограждения. Если здесь все ок, то сотруднику требуется пройти третий этап проверки при входе в машзал. Эта проверка биометрическая — обычно речь идет о сканировании радужной оболочки глаза. Часть этих мер безопасности показана на видео от 2014 года.


Что касается внутренних областей ДЦ, здесь все пространство разделено на отдельные зоны, каждая из которых имеет определенный уровень допуска. Такие помещения оснащены дополнительной защитой, например, тепловыми и лазерными сенсорами. Кроме того, различные секторы ДЦ оснащены металлоискателями и динамическими барьерами для транспортных средств. Конечно, еще есть и камеры наблюдения, которые подключены к «умной» платформе, анализирующей все происходящее. Платформа, в частности, позволяет идентифицировать лица людей, пойманных в кадр.

Что касается «железа», то здесь ведется строгий учет всех накопителей. Если диск выходит из строя и его требуется заменить, то его изначально проверяют, сканируя штрих-код, а затем удаляют для стирания данных или уничтожения. Первый этап — всегда удаление данных. Если по какой-то причине данные не получается удалить полностью, либо же они очень важны, то наступает следующий этап — физическое уничтожение дисков при помощи механической системы, буквально перемалывающей носители в труху. Демонстрация процесса уничтожения дисков — на видео ниже.


Строгий контроль работает и в отношении любых других элементов инфраструктуры, чтобы убедиться в отсутствии неавторизованных изменений (произведенных случайно или умышленно). В частности, с этой целью используются криптографические подписи. Этот способ защиты инфраструктуры работает на всех уровнях — от BIOS, загрузчиков, ядра, других элементов ОС, используемой корпорацией. Все это создано компанией и контролируется ею же.

В частности, речь идет и об аппаратных методах, включая специализированные чипы, в которые вшиты подпрограммы, разработанные Google. Один из таких чипов — Titan. Его корпорация <a

href=«blog.google/topics/google-cloud/bolstering-security-across-google-cloud»>представила в прошлом месяце, не приведя технических подробностей его работы. Известно только, что это кастомный чип безопасности, который создан для предотвращения вмешательства еще на уровне BIOS, а также отслеживает и идентифицирует сервисы и аппаратное обеспечение, которое работает в дата-центрах Google. Этот чип может отслеживать подключаемое оборудование для того, чтобы удостоввериться в его безопасности. Сейчас Titan устанавливается на серверах.



В экосистеме Google все исполняемые файлы подписываются специальным криптографическим ключом, а данные шифруются при записи на диск. В добавление к этому криптографические ключи хранятся в ОЗУ ровно столько, сколько они нужны. Удаленные подключения и все прочие способы связи между дата-центрами шифруются по умолчанию.

Безопасность усиливается специальным программным обеспечением. Например, все сервисы компании взаимодействуют друг с другом, «доказывая», что они именно то, чем являются.

Борьба с DDoS


Инфраструктура компании рассчитана на то, чтобы поглощать слабые DDoS-атаки. Кроме того, компания установила промежуточные слои защиты для того, чтобы сделать атаки такого типа безопасными. Например, движок Google Front End (GFE) был создан специально для того, чтобы поглощать традиционные типы атак без вреда для инфраструктуры и сервисов.

А для того, чтобы обезопасить себя на тот случай, если придет действительно опасная атака, у компании есть собственный канал связи — подводная интернет-магистраль. Правда, единственной она была лет 9 назад, сейчас компания управляет самостоятельно или в партнерстве с кем-то еще несколькими магистралями. Это позволяет компании выдержать атаку любой мощности.

Кроме того, Google продолжает наращивать пропускную способность своих ДЦ. Например, в последнем поколении инфраструктуры Jupiter в дата-центрах компании «ширина» каналов увеличена более, чем в 100 раз. Один канал связи Jupiter может работать со скоростью 1 петабит в секунду. Этого канала хватает для того, чтобы 100000 могли быть связаны с собой в любой момент времени и эффективно отражать DDoS-атаки.

Поделиться с друзьями
-->

Комментарии (2)


  1. reimax
    24.04.2017 20:28
    #10189166
    +1

    Этого канала хватает для того, чтобы 100000могли быть связаны с собой в любой момент времени и эффективно отражать DDoS-атаки.

    что то пропущено?


    1. BigEl
      25.04.2017 16:53
      #10190658

      Все на месте. Рекламная статья — реклама в конце присутствует.
      Хотя не скрою, было интересно почитать. Думал по сетчатке только на военных объектах да правительство защиту строит, ан нет. Хорошо написано, но подробностей бы больше.

МЕТКИ

  • Хабы
  • Теги

Сетевые технологии

Облачные вычисления

IT-инфраструктура

Блог компании King Servers

Google

google cloud

DDoS

ddos-защита

СЕРВИСЫ
  • logo

    CloudLogs.ru - Облачное логирование

    • Храните логи вашего сервиса или приложения в облаке. Удобно просматривайте и анализируйте их.
Все публикации автора
  • Разработчики Debian публикуют отчет о подготовке «Stretch» и отключают поддержку FTP на своих серверах +12

    • 28.04.2017 09:57

    Как Google Cloud защищает свои дата-центры от киберпреступников и внутренних ошибок +12

    • 24.04.2017 13:51

    Отечественный дистрибутив Linux — «ОСь» для серверных и настольных систем: новый BolgenOS государственного масштаба? +13

    • 20.04.2017 09:24

    Тим Бернерс-Ли: современный Интернет должен быть децентрализован и защищен шифрованием +19

    • 14.04.2017 13:38

    Компания Delta потеряла $150 млн из-за желания производителя аварийных генераторов для ЦОД +24

    • 12.04.2017 10:00

    Обновленный ботнет Mirai вернулся, став еще мощнее +10

    • 06.04.2017 12:46

    Мошенник вытянул из двух компаний $100 млн при помощи социального инжиниринга +5

    • 04.04.2017 16:28

    Necurs, один из крупнейших ботнетов мира, получил DDoS-модуль +20

    • 30.03.2017 17:45

    Сколько стоит DDoS построить? Подсчет стоимости DDoS-атаки +13

    • 27.03.2017 07:47

    Pwn2Own 2017: итоги десятого по счету соревнования хакеров +11

    • 21.03.2017 12:14

Подписка


ЛУЧШЕЕ

  • Сегодня
  • Вчера
  • Позавчера
04:15

«Ошибка выжившего», или как я, проработав тренером 10 лет, с первого собеседования попал в IT +85

06:18

Авторизация в Kafka: управление изменениями, когда у тебя тысячи клиентов и миллионы RPS +39

13:01

Про анодирование алюминия +31

17:01

В айти не войти или о бедном стажёре замолвите слово… +28

08:02

Шум вокруг ИИ подобен парадоксу Солоу +27

11:48

Режим ночной съемки: три алгоритма улучшения мобильных фотографий +25

08:07

Раздувание таблиц в PostgreSQL: работа с vacuum и pg_repack +23

05:26

Больше никаких правок! Или как я сдаю прототипы с первого раза +23

19:35

Как в 19 лет я начал путь разработчика встраиваемого ПО +22

09:01

Нелюбимая многими педаль перегруза Marshall Jackhammer JH-1 +21

15:01

Космическая цензура: стесняются ли чёрные дыры своих сингулярностей +18

11:06

Не корми Яндекс: зачем мы сделали свою метрику +17

08:52

ЦИПР-2025: российский рынок взрослеет, но велосипеды изобретает по-прежнему +16

19:15

Уничтожение EXE: 640 Байт для программы на C +15

07:06

10 мифов об A/B-тестировании: как избежать распространённых заблуждений в статистическом анализе +14

07:31

Ремонт Nintendo Switch Lite после залития водой. Это не всегда приговор +13

12:15

Об ошибках округления и способах борьбы с ними +12

10:29

Intel и AMD приготовиться: NVIDIA делает свой собственный процессор для ПК с мощнейшей графикой +12

08:13

Математики нашли совершенно новый способ поиска простых чисел +12

06:31

Заходят как-то в бар Сократ, DeepSeek и 1000 серверов +12

07:49

Юра, мы всё: как Россия проиграла новую космическую гонку +211

13:01

Что же такое TPU +75

13:16

Visopsys — ОС, которую написал один человек +61

11:18

Основная проблема с кадрами или на заметку HR +54

18:06

Всё, что мы узнали с юристом о запрете рекламы в запрещённых соцсетях с 1 сентября +44

10:03

Как мы учим роботов ходить плавно, или Почему градиент градиента — это не опечатка, а ключ к безопасной робототехнике +43

11:05

Запускаем MIPI DSI экраны от смартфонов. Разработка схемы основной платы. Часть 1. Обзор решений, создаём своё +39

09:01

Жизнь и смерть Карла Коха: первый хакер на службе КГБ в поисках всемирного заговора и тайны числа 23. Часть 8 +34

08:02

Интерфейсы без экрана: как разговаривают голосовые ассистенты, когда никто не слышит +33

13:24

BA + UX: смешать, но не взбалтывать. Как мы объединили дизайн и аналитику на примере очень запутанной фичи +30

11:41

Эволюция UI за 35 лет: от GIF и Comic Sans к нейросетям и адаптивам +30

12:47

Я тестировщик и два месяца работал без рук. Вот, что я понял +21

13:16

Почему Go такой странный, и ещё 8 холиварных тем про Golang +19

09:02

Под капотом WordPress — разбираем движок и изучаем инструменты +19

10:40

Использование open source в KasperskyOS +17

09:46

Как обобрать дерево в несколько потоков? +17

09:16

Обнаружение дронов (БПЛА) с использованием ИИ и компьютерного зрения +17

11:23

Обновление контроллеров Cisco APIC.  Что же может пойти не так? +14

21:52

Релиз без сюрпризов: как мы уменьшили количество багов в проде +13

21:52

Релиз без сюрпризов: как мы уменьшили количество багов в проде +13

ОБСУЖДАЕМОЕ

  • Юра, мы всё: как Россия проиграла новую космическую гонку +211

    • 644   61000

    Почему сознание нельзя запрограммировать (критика механистических теорий сознания) +11

    • 99   2300

    Это был идеальный кандидат, и он получил отказ. Вы не поверите почему -13

    • 62   31000

    Всё, что мы узнали с юристом о запрете рекламы в запрещённых соцсетях с 1 сентября +44

    • 49   6200

    Это база(!) -2

    • 45   5900

    Обнаружение дронов (БПЛА) с использованием ИИ и компьютерного зрения +17

    • 42   4000

    Основная проблема с кадрами или на заметку HR +54

    • 41   6800

    «Ошибка выжившего», или как я, проработав тренером 10 лет, с первого собеседования попал в IT +88

    • 40   20000

    В айти не войти или о бедном стажёре замолвите слово… +28

    • 37   4300

    Я тестировщик и два месяца работал без рук. Вот, что я понял +21

    • 32   10000

    Пара слов об алгебре интервалов +5

    • 31   1100

    Как сейчас поживает моя нода в Фидонете? +6

    • 23   1200

    Как мы учим роботов ходить плавно, или Почему градиент градиента — это не опечатка, а ключ к безопасной робототехнике +43

    • 23   4200

    Под капотом WordPress — разбираем движок и изучаем инструменты +19

    • 22   3000

    Выясняем, ремейки это хорошо или плохо для индустрии -1

    • 20   756
  • Главная
  • Контакты
© 2025. Все публикации принадлежат авторам.