Questa pagina è stata tradotta dall'API Cloud Translation.

In che modo Google protegge lo spazio fisico-logico in un data center

Questi contenuti sono stati aggiornati a maggio 2024 e rappresentano lo status quo. al momento in cui è stata scritta. Le norme e i sistemi di sicurezza di Google potrebbero cambiare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Ogni data center di Google è un ambiente ampio e diversificato di macchine, dispositivi di rete e sistemi di controllo. I data center sono progettati come applicazioni complessi che richiedono un'ampia gamma di ruoli e competenze per gestire, mantenere operare.

In questi ambienti complessi, la sicurezza dei tuoi dati è la nostra priorità assoluta. Google implementa sei livelli di controlli fisici (video) e molti controlli logici sulle macchine stesse. Inoltre, modelliamo continuamente scenari di minacce in cui alcuni controlli non funzionano o non vengono applicati.

Alcuni scenari di minaccia modellano i rischi legati agli addetti ai lavori e presuppongono che un aggressore già abbia accesso legittimo al piano del data center. Questi scenari rivelano uno spazio tra controlli fisici e logici che richiedono anche una difesa approfondita. Questo definita come arms-length da una macchina in un rack al runtime della macchina dell'ambiente di rete, è noto come spazio fisico-logico.

Lo spazio fisico-logico è simile all'ambiente fisico intorno del cellulare. Anche se lo smartphone è bloccato, concedi l'accesso solo fisico agli utenti che dispongono di un valido motivo per l'accesso. Google adotta lo stesso approccio le macchine che contengono i tuoi dati.

Riepilogo dei controlli da fisico a logico

All'interno dello spazio fisico-logico, Google utilizza tre controlli che funzionano insieme:

Resistenza hardware: riduci i percorsi di accesso fisico di ogni macchina, nota come superficie di attacco, nei seguenti modi:
- Riduci al minimo i vettori di accesso fisico, come le porte.
- Bloccare i percorsi rimanenti a livello di firmware, tra cui il sistema di input/output di base (BIOS), gli eventuali controller di gestione dispositivi periferici.
Rilevamento di eventi anomali: genera avvisi quando da fisico a logico e i controlli di rilevamento di eventi anomali.
Autodifesa del sistema: riconosci un cambiamento nell'ambiente fisico e rispondere alle minacce con azioni difensive.

Insieme, questi controlli forniscono una risposta di difesa in profondità agli eventi di sicurezza. che si verificano nello spazio fisico-logico. Il seguente diagramma mostra tutti tre controlli attivi su un alloggiamento in rack sicuro.

I tre controlli attivi su un alloggiamento sicuro in un rack.

Rafforzamento dell'hardware

Il rafforzamento dell’hardware aiuta a ridurre la superficie di attacco fisica per ridurre al minimo e rischi residui.

Un data center aziendale convenzionale ha una pianta aperta e file di rack senza barriere tra il pannello frontale e le persone sul pavimento del data center. Un data center di questo tipo potrebbe avere macchine con molte porte esterne, ad esempio USB-A, Micro-USB, o RJ-45, che aumentano il rischio di attacco. Chiunque abbia accesso fisico al piano del data center si può accedere in modo facile e veloce allo spazio di archiviazione rimovibile o collega una chiavetta USB contenente malware a una porta esposta nel pannello frontale. Dati di Google center utilizzano la protezione dell'hardware come controllo di base per ridurre questi rischi.

Il rafforzamento dell'hardware è una serie di misure preventive sul rack e sulla sua che aiutano a ridurre il più possibile la superficie di attacco fisica. I sistemi di protezione avanzata sulle macchine includono:

Rimuovi o disattiva le porte esposte e blocca le porte rimanenti a livello di firmware.
Monitora i supporti di archiviazione con segnali di rilevamento delle manomissioni ad alta precisione.
Cripta i dati at-rest.
Se supportata dall'hardware, utilizza l'attestazione del dispositivo per evitare il deployment di dispositivi non autorizzati nell'ambiente di runtime.

In determinati scenari, per contribuire a garantire che nessun personale abbia accesso fisico computer, Google installa anche alloggiamenti rack sicuri che aiutano a prevenire scoraggiare le manomissioni. Gli alloggiamenti sicuri del rack offrono una protezione una barriera per i passanti e può anche attivare allarmi e notifiche per motivi di sicurezza personale qualificato. Gli armadi, combinati con le correzioni delle macchine discusse in precedenza, forniscono un potente livello di protezione per lo spazio fisico-logico.

Le immagini seguenti mostrano l'avanzamento dai rack completamente aperti alla sicurezza per rack con protezione completa dell'hardware.

Nell'immagine seguente viene mostrato un rack senza protezione hardware:
Nell'immagine seguente viene mostrato un rack con alcuni requisiti di protezione hardware:
L'immagine seguente mostra la parte anteriore e il retro di un rack con protezione hardware completa:

Rilevamento di eventi anomali

Il rilevamento di eventi anomali consente al personale di sicurezza di sapere quando le macchine che si verifichino eventi imprevisti.

In tutto il settore, le organizzazioni possono impiegare mesi o anni per scoprire la sicurezza violazioni e spesso solo dopo che si sono verificati danni o perdite significative. La l’indicatore critico di compromissione (IoC) potrebbe andare perso in un volume elevato di registrazioni e dati di telemetria da milioni di macchine di produzione. Google, tuttavia, utilizza più flussi di dati per aiutare a identificare potenziali degli eventi di sicurezza in tempo reale. Questo controllo è chiamato evento anomalo il rilevamento.

Le macchine moderne monitorano e registrano il loro stato fisico, oltre agli eventi che avvengono nello spazio fisico-logico. Le macchine ricevono queste informazioni attraverso software di sistemi automatizzati sempre presenti. Questo software può essere eseguito computer in miniatura all'interno della macchina, chiamati controller di gestione del battiscopa (BMC) o come parte di un daemon del sistema operativo. Questo software segnala per eventi importanti come i tentativi di accesso, l'inserimento di dispositivi fisici e come i sensori di manomissione dell'alloggiamento.

Per le macchine con radice di attendibilità hardware, segnali di rilevamento di eventi anomali diventano ancora più forti. La radice di attendibilità hardware consente il software di sistema, come BMC firmware per attestare che si è avviato in modo sicuro. I sistemi di rilevamento di Google, perciò, un grado ancora più alto di certezza della validità degli eventi segnalati. Per ulteriori informazioni sulle radici di attendibilità indipendenti, consulta Attestazione remota di macchine disaggregate.

Autodifesa del sistema

L’autodifesa del sistema consente ai sistemi di rispondere a potenziali compromissioni con un'azione difensiva immediata.

Alcuni scenari di minaccia presuppongono che un aggressore nello spazio fisico-logico essere in grado di annullare le misure di accesso fisico discusse in Rafforzamento dell'hardware. Un malintenzionato potrebbe prendere di mira i dati utente o un processo sensibile che in esecuzione su una macchina.

Per ridurre questo rischio, Google implementa l'autodifesa del sistema, un controllo che fornisce una risposta immediata e decisiva a qualsiasi potenziale compromissione. Questo utilizza la telemetria dell'ambiente fisico per agire in base alla logica completamente gestito di Google Cloud.

La maggior parte degli ambienti di produzione su larga scala ha più macchine fisiche in una rack. Ogni macchina fisica esegue più carichi di lavoro, ad esempio macchine virtuali (VM) o container Kubernetes. Ogni VM esegue il proprio sistema operativo utilizzando memoria e spazio di archiviazione.

Per determinare quali carichi di lavoro sono esposti a eventi di sicurezza, Google aggrega i dati di telemetria dai controlli di protezione hardware e dall'evento anomalo il rilevamento automatico. Mettiamo quindi in correlazione i dati per generare un piccolo insieme di eventi ad alto rischio e richiedono un intervento immediato. Ad esempio, la combinazione di una un allarme dello sportello del rack e un segnale di apertura del telaio della macchina potrebbero costituire un evento ad alto rischio.

Quando Google rileva questi eventi, i sistemi possono intervenire immediatamente:

I carichi di lavoro esposti possono terminare immediatamente i servizi sensibili e cancellare i dati dati sensibili.
La struttura di networking può isolare il rack interessato.
I carichi di lavoro interessati possono essere ripianificati su altre macchine o anche dati center, a seconda della situazione.

Grazie al controllo dell'autodifesa del sistema, anche se un aggressore riesce a avere accesso fisico a una macchina, l'aggressore non può estrarre alcun dato e non possono spostarsi lateralmente nell'ambiente.

Passaggi successivi

Per ulteriori informazioni sui controlli fisici, sicurezza dei data center.
Per ulteriori informazioni sui controlli logici, consulta Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Per saperne di più sulla cultura della sicurezza di Google, leggi Creazione di sistemi sicuri e affidabili (libro O'Reilly).

Di: Paul Pescitelli, Kevin Plybon