Компания Google опубликовала (https://cloud.google.com/security/security-design/) обзор мер, предпринимаемых для обеспечения безопасности серверной инфраструктуры.Некоторые интересные особенности:
- Во всех серверах используются собственные материнские платы и компоненты, разработанные инженерами Google и произведённые под контролем представителем компании. Оборудование, включая периферийные устройства, оснащены специальным чипом, отвечающим за безопасную идентификацию и аутентификацию устройства на низком уровне. Программные компоненты, включая прошивки, загрузчики, ядро и базовые образы систем проверяются по цифровой подписи. Таким образом в инфраструктуре могут применяться только проверенные аппаратные и программные элементы, содержащие корректную цифровую подпись.
- В ситуациях, когда серверное оборудование приходится размещать в чужих датацентрах, оборудование Google отгораживается в собственный периметр физической безопасности, в котором для доступа применяются независимые биометрические датчики, камеры наблюдения и металлодетекторы.- Данные записываются на жесткие диски и SSD-накопители только в зашифрованном виде, что позволяет защитить их от несанкционированного доступа и возможных вредоносных действий, инициируемых со стороны прошивок, используемых в накопителях. Шифрование реализуется на аппаратном уровне. Жизненный цикл каждого накопителя скрупулезно отслеживается - если накопитель выходит из под контроля Google, он проходит многоэтапный процесс очистки с двумя независимыми проверками качества исполнения операции. Если устройство не может быть очищено, например, в результате сбоя накопителя, оно подвергается физическому уничтожению в измельчителе.
- Для персонала применяется двухфакторная аутентификация. Применяемые сотрудниками клиентские систем проверяются на предмет применения всех имеющихся обновлений и разрешения установки приложений. Пользовательские приложения, загрузки файлов, браузерные расширения и просматриваемый web-контент проходит проверку на предмет допустимости использования на корпоративных клиентских устройствах.
- Разделения сети на сегменты и применение пакетных фильтров не относится к числу первичных систем обеспечения безопасности, внутренняя сетевая безопасность основывается на разделении полномочий на уровне доступа к отдельным сервисам и приложениям. Сотрудник получает доступ к ограниченному числу внутренних приложений, которые принимают запросы от работника только в контексте обращения с корректно обслуживаемой клиентской системы, из разрешённой подсети и ожидаемого физического местоположения. Обмен данными между сервисами осуществляется с применением шифрования.
- Весь создаваемый сотрудниками код проходит несколько стадий проверки, включая fuzzing-тестирвоание, автоматическое и ручное рецензирование. Ручное рецензирование проводится специальной группой, в которую входят эксперты в области безопасности, криптографии и защиты операционных систем. Код также должен быть одобрен как минимум одним сторонним инженером, не входящем в число авторов проверяемого проекта. С другой стороны, все вносимые в код правки обязательно должны быть подтверждены сопровождающим, ответственным за этот код.
- Весь развиваемый в Google исходный код хранится в одном централизованном репозитории, в котором для аудита доступны все текущие и прошлые версии сервисов. Серверная инфраструктура может быть настроена на выполнение бинарных файлов сервиса, собранных только из определённой ревизии исходных текстов, прошедшей тестирование и рецензирование.
- Для выполнения виртуальных машин в облачной инфраструктуре Google применяется модифицированная версия гипервизора KVM, исправления всех проблем в котором возвращаются в upstream.
URL: https://cloud.google.com/security/security-design/
Новость: http://www.opennet.me/opennews/art.shtml?num=45881
Норм так
Норм бабла у компании на все это :))
> Данные записываются на жесткие диски и SSD-накопители только в зашифрованном видеА как насчет физический доступ к контактной плате подкопом под датацентром?
Тогда можно прочитать всю память на включенном сервере.
Можно ведь перехватывать электронные импульсы какой-нибудь нано-штукой, зачем подкоп?
Установить высокоскоростной доступ по оптике для выкачивания из остальных датацентров гугла))
А также не забыть построить свои датацентры размером с гугл, чтобы было куда выкачивать. Не забыв замаскировать их от гугломапса, растянув процесс копирования на 3000 лет, чтобы не попасть под внимание систем мониторинга.
Книга "как управлять миром не привлекая внимание санитаров" для всех комментаторов в ветке )
Топов Гугла эта книга уже привела к успеху.
Доступ внутри периметра открытый, можно внедриться надолго для выкачивания всего гугла с некоторыми ограничениями что бы в мониторинге аномалий не светиться.
Чтобы выкачать вечь Гугл, нужно чтобы Терминатор привез флешку из 23 века. Ни на что больше не влезет
> Чтобы выкачать вечь Гугл, нужно чтобы Терминатор привез флешку из 23 века. Ни на что больше не влезетА если без пр0на и рекламы?
а нафиг тогда нужен инет? :)
а куда ты втыкать будешь флешку из 23 века??)
> Доступ внутри периметра открытыйхрена там с два.
https://ru.wikipedia.org/wiki/TEMPEST
Они ничего важного в левые дц не ставят. гулаг из левых ДЦ только кеш раздают и статистику собирают по хомячкам для рекламы и для АНБ (типа пошутил).
> Они ничего важного в левые дц не ставят. гулаг из левых ДЦ
> только кеш раздают и статистику собирают по хомячкам для рекламы и
> для АНБ (типа пошутил).гугль не особенно скрывает существование magic lantern
>> защитить их от несанкционированного доступа и возможных вредоносных действий, инициируемых со стороны прошивок, используемых в накопителяхКогда пристально следишь за другими, сам становишься параноиком.
Символический обмен, да.
> Символический обмен, да.Просто им то виднее к чему это все приводит.
верно
Вот почему ФCБ отстало от Гугла "(я про якобы защиту персональных данных). Огораживание серверов, шифрование, низкоуровневая авторизация... "Да ну их нафиг! Все равно не влезем"
Они просто пришли к взаимо-выгодному соглашению)
это точно гугл, а не цру, ми6, анб, наса и т.п.?
Это одно и то же.
Привет, коллега! Подскажи, как мыть голову, не снимая фольгированную шапочку.
Вот поэтому я сделал шапочку не из фольги, а из мелкой металлической сетки!
После того, что рассказал Сноуден, ваш комментарий имеет все шансы быть смешным.
> это точно гугл, а не цру, ми6, анб, наса и т.п.?абсолютно точно. Гугль извлекает свой профит из торговли информацией.
В том числе - и из продажи ее перечисленным. Которые очень даже непрочь стырить на халяву.А вот ЦРУ рискует в случае утечки не баблом, а всего лишь потерей ценных шпионов. Ради такой ерунды так напрягаться им не надо.
Агентура - самое ценное в таких подразделениях. Зря вы так.
А Google Drive всё равно падает ( https://techcrunch.com/2017/01/17/google-drive-goes-down/ )
Google хорошая компания, анон пошутил. Брат всё видит.
С помощью ректального криптоанализа можно расшифровать все данные и обойти все уровни безопасности - проверено!
> С помощью ректального криптоанализа можно расшифровать все данные … - проверено!А вот и советы бывалых.
Именно поэтому строятся многоуровневые системы автоматического контроля. Ну отдаст тебе инженер свой токен, даже без паяльника отдаст. Дальше что ты будешь с ним делать, если у инженера доступ только в те три с половиной сервиса, над которыми он работает прямо сейчас?
> С помощью ректального криптоанализа можно расшифровать все данные и обойти все уровни
> безопасности - проверено!И как, много гуглей таким манером было расхакано?
В тех странах где гугл размешает свои датацентры за пытки могут и на электрический стул посадить.
Там система безопасности в том числе включает в себя повсеместное разделение ролей. Есть чуваки, которые имеют доступ к железу. Они не имеют доступа ни к каким ключам на данные, то есть, всё, что они имеют - кучу бесполезных терабайтов шифрованных данных. На выходе с сервера - шифрованный трафик. На входе - шифрованный трафик. Данные хранятся в зашифрованном виде. И у тебя нет ключей.Есть другие чуваки, которые пишут код, разные приложения. Они к данным тоже доступа не имеют. И так далее.
Так что выудишь ты у кого-то всякими методами какие-то ключи. Тебе это ничего не даст. Там, где доступ непосредственно к мясу (то есть, к пользовательским данным), там всевозможная двухфакторная авторизация и прочий контроль доступа.
В общем и целом, нет одного человека, "взломав" которого, можно было бы получить доступ к данным.
А наручники на сотрудников они надевают?
Ой простите, Терморектальный
Обычное рабство. Когда вы складываете что-то в одно место - его нужно охранять, но чем больше вы складываете туда, тем сложнее и далее невозможно уже охранять. Но если не складывать в одно место, то и контролировать никак и прибыль не получишь.Бессмысленные меры, переусложнённость, болезненность, сумасшедший дом, обычная гебня, вот и весь гугл.
> Бессмысленные меры, переусложнённость, болезненность, сумасшедший дом, обычная гебня,
> вот и весь гугл.Сурово ты их обложил, васян! так им и надо!
это только если ты живешь в совковой глубинке а не в столице родины
Да, а че мана, чик-чик и в продакшин. Че нам, дэ, Васян?
> оно подвергается физическому уничтожению в измельчителе.https://www.youtube.com/watch?v=Wp8sFsriH4c очень мило
Так ведь можно магнитным микроскопом потом восстановить информацию частично. Я думаю в корпорации добра стоят котлы с расплавленным металом для винчестеров. Ну, как во втором Терминаторе.
Тогда это отличное место для финальной битвы с директором google.
Директор google - терминатор?...
> Директор google - терминатор?...Аватар.
Пенетратор (типа того, только из другой реальности). Вроде и фильм такой был, очень фантастический...
>В ситуациях, когда серверное оборудование приходится размещать в чужих датацентрах, оборудование Google отгораживается в собственный периметр физической безопасности, в котором для доступа применяются __независимые__ биометрические датчики, камеры наблюдения и металлодетекторы.независимые от кого? По уровню использования кванторов речи, статья больше походит на «рекламу безопасности» гугла, чем на "Google раскрыл подробности". Однако грамотно "раскрыл", да. Не создал неопределенности сверх необходимого, но и не выдал ничего значимого.
http://www.opencompute.org/wiki/Server/SpecsAndDesigns
>Но Cisco и Juniper, с радостью предоставят вам такое решение под ключ, если вы не Google.А ключ от решения они предоставят не только вам ;)
Вы его и сами предоставите по требованию властей, что уж там, да и Google тоже, куда он денется с подводной лодки. :)
В целом нечего особенного, кроме собственного железа, это интересно, да. Identity based context aware access-control доступен у многих производителей в их архитектурах сетевой безопасности. Возможно Google просто сам реализовал у себя все составляющие такой архитектуры. Но Cisco и Juniper, с радостью предоставят вам такое решение под ключ, если вы не Google.
Серьёзный подход
Прошу обратить внимание анонимов на то, что стратегия безопасности у Google сделана как будто с расчётом на то, чтобы противостоять атакам скайнет.
> Прошу обратить внимание анонимов на то, что стратегия безопасности у Google сделана
> как будто с расчётом на то, чтобы противостоять атакам скайнет.Зря они чтоли Boston Dynamics покупали, вместе с остальными? Поэтому они предусматривают любой расклад.
клоун: они его уже продали.Сейчас в мире дефицит новых идей, поэтому за любую новинку готовы платить. Все бояться прохлопать ушами очередной Скайп, Твиттер или Фэйсбук, поэтому покупают (и щедро платят) за любой проект, вышедший из стадии беты. Boston Dynamics саморазрекламировался на youtube, подняв на себя цену. После покупки выяснилось, что ничего путного из их образцов сделать (и продать) нельзя, поэтому их перепродали другой компании, которая разрабатывает робототехнические системы и которым нужны грамотные спецы.
как будто с расчётом на то, чтобы противостоять атакам НА скайнет.fixed
в скайнет.// fixed
Молодцы, чё... Почти как у меня в униврситете. Не хватает только лучников по периметру, и рвов с горящей смолой...
Чет я сомневаюсь, что у спецслужб все обставлено лучше. (многочисленные утечки тому подтверждение)
В любом случае, ждем асимметричный ответ яндекса с подкожными чипами и ротами автоматчиков.
Угу, раньше гугл нам про commodity hardware рассказывал, а теперь собственные материнские платы, подкопо-защищенные датацентры, защиту от атак через прошивки накопителей и физическое измельчение.Кстати, аппаратное шифрование сохраняемых данных, но при этом защищенное от прошивки накопителя - это как? Кто шифрует-то?
SATA-контроллер видимо
И как Вы за такой ответ аж два плюса набрали?
Ну не могли же они с самого основания использовать собственное железо.
А шифрование выполняет скорее всего какой-нибудь чип на матери. Не зря же они свои материнки делают.
клоун: многие компании делают "свои" пакеты. Во-первых, на них реклама, во-вторых заказать их производство дешевле, чем купить их у поставщика.Гугл большой, он покупает мат. платы в тех же объёмах, в которых Перекрёсток закупает пластиковые пакеты. И ему определённо выгоднее заказать производство своей модификации с нужной ему комплектацией, чем переплачивать.
> Угу, раньше гугл нам про commodity hardware рассказывал, а теперь собственные материнские
> платы, подкопо-защищенные датацентры, защиту от атак через прошивки накопителей и физическое
> измельчение.
> Кстати, аппаратное шифрование сохраняемых данных, но при этом защищенное от прошивки накопителя
> - это как? Кто шифрует-то?Ну хорошо, данные на дисках шифрует какой-то компонент, установленный на оригинальной мат. плате. А процессоры у Гугля тоже какие-то оригинальные (с/без УЕФИ)?
> А процессоры у Гугля тоже какие-то оригинальные (с/без УЕФИ)?Это не к процессору, а к прошивке на материнской плате.
И при всём при этом Гугль с радостью сольёт всё запрашиваемое по первому требованию АНБ.
> И при всём при этом Гугль с радостью сольёт всё запрашиваемое по первому требованию АНБ.Это называется "авторизация". АНБ можно, хакеру Васяну нельзя. Или вы думаете, что должно быть наоборот?
Параноики 95 уровня :)
клоун: пиарщики. Читай внимательнее.Напр. такой пассаж "Для выполнения виртуальных машин в облачной инфраструктуре Google применяется модифицированная версия гипервизора KVM, исправления всех проблем в котором возвращаются в upstream" нужно читать "используем последние версии ПО".
Назови мне того, кто принципиально остаётся на устаревшей версии с неисправленными критическими ошибками?
В своё время BP писала такую же муру в американские департаменты безопасности окружающей среды по поводу глубоководного бурения, типа "разработаны уникальные методики", "есть готовые решения устранения проблем" и пр. А после катастрофы на платформе Глубоководный горизонт выяснилось, что всё это ложь. Никаких методик, никаких решений, BP тупо использовала технологии бурения на малых глубинах для бурения (до 50 метров) на больших (от 3 км.). Сомневаюсь, что Гугл, который много лет пиарил использование домашней электроники в серверных стойках, поступает иначе.
> Назови мне того, кто принципиально остаётся на устаревшей версии с неисправленными критическими ошибками?назову себя, сидящего на этом:
QEMU emulator version 2.3.1, Copyright (c) 2003-2008 Fabrice Bellardпоскольку в новых версиях что-то на..хер поломали с сетевушкой.
короч, квм, а внутри контейнеры. ovirt4, rhev4
Ох уж эти сказочки! Ох уж эти сказочники! ©У крупных компаний в техрегламенте примерно то же самое написано. А по факту...
> Ох уж эти сказочки! Ох уж эти сказочники! ©
> У крупных компаний в техрегламенте примерно то же самое написано. А по
> факту...Озвучу как работник довольно крупной компании.
Когда вы прошли проходную, дальше можно творить чего угодно. Ну в рамках незаметного вандализма, конечно. Я не социопат, но такие порядки немного напрягают, поскольку отвечаю за практически всю инфраструктуру. Вот диверсию устроить - да легко. А начальству плевать, ибо мыслят другими категориями. Новую турбину купить лямов за сорок, и тому подобное.
А в результате когда робот ошибочно решает забанить кого-нибудь в гугле и удаляет весь аккаунт целиком (вместе с драйвом с кучей корпоративных документов, с ютубом с миллионами подписчиков и тысячами роликов, с почтой и миллионами писем, с плеем и тысячами долларов, потраченных на покупку платных приложений, с адсенсом и всеми деньгами оттуда) — можно только сесть в углу и заплакать. Потому что саппорт даже не начнёт шевелиться, пока в американском суде не начнётся слушание по этому делу.
>В ситуациях, когда серверное оборудование приходится размещать в чужих датацентрах, оборудование Google отгораживается в собственный периметр физической безопасности, в котором для доступа применяются независимые биометрические датчики, камеры наблюдения и металлодетекторы.вот это 100% ложь
сервера GGC Google Global Cache стоят в одной стойке с моими, без всякого такого периметра.