谷歌基礎設施安全設計概述2022年3月目錄紹 3施 4全 4處 4份 4署 5份離 6理 6密 7GoogleWorkspace理 7儲 9密 9據(jù) 10信 10務 10護 11證 11全 12發(fā) 12護 12全 13險 13控 13測 14么 142年3e介紹本文檔概述了如何將安全性設計到Google的技術基礎設施中。它適用于安全主管、安全架構師和審計員。本文檔描述了以下內容：?GoogleGoogleGoogleGoogle搜索Gmail和GooglePhotosGoogleWorkspace和GoogleCloud等企業(yè)服務。權威。BeyondCorp服本文檔的其余部分描述了安全層。保護低層基礎設施本節(jié)介紹我們如何保護數(shù)據(jù)中心的物理場所、數(shù)據(jù)中心的硬件以及在硬件上運行的軟件堆棧。物理場所的安全全。Google硬件設計和出處Google數(shù)據(jù)中心由連接到本地網(wǎng)絡的數(shù)千臺（Google注意：TitanPixel設備鑰。安全啟動堆棧和機器身份Google(BMC)BIOSGoogleGoogle控制例如，根據(jù)服務器設計的代次，引導鏈的信任根位于以下之一：Titan器數(shù)據(jù)中心中的每臺服務器都有自己獨特的身份。該身份可以與硬件信任根和機器啟動所用的軟件相關聯(lián)。此身份用于驗證計算機上低級管API調用(RPC我們開發(fā)了自動化系統(tǒng)來執(zhí)行以下操作：確保服務器運行最新版本的軟件堆棧（包括安全性）補?。ＷC明。安全服務部署Google服務是我們的開發(fā)人員在我們的基礎設施上編寫和運行的應用程序二進制文件。Google服務的示例包括GmailSpannerYouTubeComputeEngineBorg（情況下，例如當您使用GoogleCloud在ComputeEngine的單租戶節(jié)點上配置虛擬機時。GoogleCloud和GoogleWorkspace支持有關數(shù)據(jù)駐留的監(jiān)管要求。GoogleCloudGoogleWorkspace的置。服務身份、完整性和隔離為了實現(xiàn)服務間通信，應用程序使用加密身份驗證和授權。身份驗證和授權在管理員和服務可以理解的抽象級別和粒度上提供強大的訪問控制。IP欺騙eC連。在基礎設施上運行的每個服務都有一個關聯(lián)的服務帳戶標識。服務提供有加密憑證，可以在發(fā)出或接收RPC時用來Linux用（d（AppEngine或ComputeEngine等產(chǎn)品運（在GoogleCloud中EngineGoogleKubernetesEngine(GKE服務間訪問管理服務的所有者可以使用基礎設施提供RPC僅限于（）。（程擴展到基礎設施上運行的數(shù)千個服務。該基礎設施還為用戶、組和成員管理提供規(guī)范服務，以便他們可以在必要時實施自定義、細粒度的訪問控制。GoogleWorkspace服務間通信加密C（HTTP）RPC（gRPC網(wǎng)絡設備受到損害，加密的服務間通信也可以保持安全。（RPCGoogleWorkspace中最終用戶數(shù)據(jù)的訪問管理典型的GoogleWorkspace服務是為最終用戶執(zhí)行某些操作而Gmail上GmailleI（e（的C但是，此級別的訪問控制仍然是一組廣泛的權限，因為Gmail可以隨時請求任何用戶的聯(lián)系人信息。GmailGoogleRPCGmailRPCRPCGooglecookieOAuthRPC。eRPCA和服務B僅當訪問規(guī)則配置允許時才可以進行通信。有關GoogleCloud中的訪問管理的信息，請參閱IAM概述。安全的數(shù)據(jù)存儲本節(jié)介紹我們如何為存儲在基礎設施上的數(shù)據(jù)實現(xiàn)安全性。靜態(tài)加密Google的基礎設施提（re基礎設施在應用程序或存儲基礎設施層執(zhí)行加密。SSD（）。刪除數(shù)據(jù)戶發(fā)起的、由于錯誤還是內部流程錯誤造成的。數(shù)據(jù)被標記為計劃刪除后，將根據(jù)特定于服務的策略進行刪除。當最終用戶刪除其帳戶時，基礎設施會通知正在處理最終用戶數(shù)據(jù)的服務該帳戶已被刪除。然后服務可以安排數(shù)據(jù)有關更多信息，請參閱GoogleCloud上的數(shù)據(jù)刪除。安全的互聯(lián)網(wǎng)通信本節(jié)介紹我們如何保護互聯(lián)網(wǎng)和服務之間的通信在Google基礎設施上運行。LAN和WANed和ee刪除數(shù)據(jù)戶發(fā)起的、由于錯誤還是內部流程錯誤造成的。數(shù)據(jù)被標記為計劃刪除后，將根據(jù)特定于服務的策略進行刪除。當最終用戶刪除其帳戶時，基礎設施會通知正在處理最終用戶數(shù)據(jù)的服務該帳戶已被刪除。然后服務可以安排數(shù)據(jù)有關更多信息，請參閱GoogleCloud上的數(shù)據(jù)刪除。安全的互聯(lián)網(wǎng)通信本節(jié)介紹我們如何保護互聯(lián)網(wǎng)和服務之間的通信在Google基礎設施上運行。LAN和WANIP(DoSGoogle前端服務當某個服務必須在互聯(lián)網(wǎng)上可用時，它可以向稱為Google前端(GFE)的基礎設施服務進行注冊。GFE確保使用正確的證書并遵循最佳實踐（例如支SEDoSEeeRPCGFEGFEIPDNSDoSTLSGFEGoogleCloudGFEComputeEngineGFE云前端允許客戶虛擬機直接使用其公共或私有IP地址訪問Google服務。（私有IP地址僅在私有Google訪問權限時可用已啟用。）DoS防護我們基礎設施的規(guī)模使其能夠承受許多DoS攻擊。為了進一步降低DoS對服務影響的風險，我們擁有多層次、多層次的DoS防護。DoSDoSDoSGFEDoSDoSGFE用戶身份驗證在DoS保護之后，安全通信的下一層防御來自中央身份服務。最終用戶通過Google登錄頁面與此服務交互。該服務要求用戶提供用戶名和cookieOAuthOTPTitanTitan(U2FFIDOU2F操作安全本節(jié)介紹我們如何開發(fā)基礎設施軟件、保護員工的機器和憑證以及防御內部和外部參與者對基礎設施的威脅。安全軟件開發(fā)WebXSSBug據(jù)。Spectre和MeltdownLinuxKVMCVE源代碼保護Borg二進制授權(BAB)是部署服務時發(fā)生的內部強制檢查。BAB執(zhí)行以下操作：Google從服務返回其源頭的取證跟蹤。確保員工設備和憑證的安全我們實施保護措施來幫助保護員工的設備和憑證OTPU2FLAN（）降低內部風險我們限制并積極監(jiān)Google威脅監(jiān)控威脅分析小組谷歌監(jiān)控威脅行為者及其策略和技術的演變。該小組的目標是幫助提高Google產(chǎn)品的安全性，并為了在線社區(qū)的利益而分享這些情報。eedterGoo