Comment Google protège l'espace physique et logique dans un centre de données

Ce contenu a été mis à jour pour la dernière fois en mai 2023, et correspond à l'état des connaissances à sa date de rédaction. Les règles et les systèmes de sécurité Google peuvent changer par la suite, car nous améliorons continuellement la protection de nos clients.

Chaque centre de données Google est un environnement vaste et diversifié de machines, d'appareils de mise en réseau et de systèmes de contrôle. Les centres de données sont conçus comme des complexités industrielles qui nécessitent un large éventail de rôles et de compétences pour gérer, maintenir et exploiter.

Dans ces environnements complexes, la sécurité de vos données est notre priorité absolue. Google met en œuvre six couches de contrôles physiques (vidéo) et de nombreux contrôles logiques sur les machines elles-mêmes. Nous modélisons également des menaces en continu dans lesquelles certains contrôles échouent ou ne sont pas appliqués.

Certains scénarios de menaces modélisent les risques internes et supposent qu'un pirate informatique dispose déjà d'un accès légitime au centre de données. Ces scénarios révèlent un espace entre les contrôles physiques et logiques qui nécessitent également une défense en profondeur. Cet espace, défini comme étant la longueur des bras d'une machine dans un rack vers l'environnement d'exécution de la machine, est appelé espace physique vers logique.

L'espace physique vers logique est semblable à l'environnement physique autour de votre smartphone. Même si votre téléphone est verrouillé, vous n'accordez un accès physique qu'aux personnes ayant une raison d'accès valide. Google adopte la même approche pour les machines contenant vos données.

Résumé des contrôles physiques/logiques

Dans l'espace physique et logique, Google utilise quatre contrôles fonctionnant ensemble:

• Renforcement matériel : réduisez les chemins d'accès physiques de chaque machine, appelés surfaces d'attaque, de différentes manières :
  • Réduisez les vecteurs d'accès physiques, tels que les ports.
  • Verrouillez les chemins restants au niveau du micrologiciel, y compris le système d'entrée/sortie de base (BIOS), les contrôleurs de gestion et les périphériques.
• Contrôle des accès basé sur les tâches : fournissez un accès aux boîtiers de rack sécurisés uniquement au personnel ayant une justification métier valide et limitée dans le temps.
• Détection d'événements anormaux : générez des alertes lorsque des contrôles physiques vers des événements logiques détectent des événements anormaux.
• Autodéfense du système : identifiez les changements dans l'environnement physique et répondez aux menaces avec des actions défensives.

Ensemble, ces contrôles fournissent une réponse de défense en profondeur aux événements de sécurité qui se produisent dans l'espace physique vers logique. Le schéma suivant illustre les quatre contrôles actifs sur un boîtier de rack sécurisé.

Renforcement matériel

Le renforcement matériel permet de réduire la surface d'attaque physique afin de minimiser les risques résiduels.

Un centre de données d'entreprise conventionnel dispose d'un plan d'étage ouvert et de lignes de racks sans barrière entre le panneau frontal et les personnes situées au sol du centre de données. Ce type de centre de données peut disposer de machines dotées de nombreux ports externes (USB-A, Micro-USB ou RJ-45, par exemple) qui augmentent le risque d'attaque. Toute personne disposant d'un accès physique au centre de données peut accéder rapidement et facilement à un espace de stockage amovible ou connecter une clé USB avec un logiciel malveillant à un port du panneau frontal exposé. Les centres de données Google utilisent le renforcement matériel comme contrôle de base pour limiter ces risques.

Le renforcement matériel est une suite de mesures préventives sur le rack et les machines qui permettent de réduire autant que possible la surface d'attaque physique. Le renforcement sur les machines inclut les éléments suivants:

• Supprimez ou désactivez les ports exposés et verrouillez les ports restants au niveau du micrologiciel.
• Surveillez les supports de stockage à l'aide de signaux de détection des fraudes haute fidélité.
• Chiffrer les données au repos.
• Lorsqu'elle est compatible avec le matériel, utilisez l'attestation d'appareil pour empêcher le déploiement d'appareils non autorisés dans l'environnement d'exécution.

Dans certains cas, pour garantir qu'aucun membre du personnel n'a accès aux machines, Google installe également des racks sécurisés pour prévenir ou dissuader les falsifications. Les boîtiers de stockage sécurisés constituent une barrière physique immédiate pour les passants et peuvent déclencher des alarmes et des notifications pour le personnel de sécurité. Les boîtiers, associés aux mesures correctives des machines décrites précédemment, offrent une couche de protection puissante pour l'espace physique et logique.

Les images suivantes illustrent la progression des racks entièrement ouverts vers des boîtiers de rack sécurisés avec un renforcement matériel complet.

• L'image suivante montre un rack sans renforcement matériel:

  

• L'image suivante montre un rack doté d'un renforcement matériel:

  

• L'image suivante montre l'avant et l'arrière d'un rack avec le renforcement matériel complet:

  

Contrôle des accès basé sur les tâches

Les contrôles d'accès basés sur les tâches permettent de s'assurer que seul le personnel ayant un besoin professionnel valide peut accéder aux machines sensibles.

Pour des raisons valides, les boîtiers de rack sécurisés doivent équilibrer la sécurité physique avec l'accès. Pour maintenir l'infrastructure complexe de nos clients, Google doit pouvoir accorder un accès rapide et fiable aux besoins d'entreprise valides, tels que les réparations de machines. De plus, les tentatives d'accès non autorisées doivent être consignées et signalées pour enquête.

TBAC active ces deux fonctionnalités. Le personnel des centres de données reçoit un accès limité dans le temps à un rack sécurisé individuel en fonction de tâches commerciales spécifiques, et les systèmes TBAC imposent cet accès. TBAC enregistre toutes les tentatives d'accès et alerte le personnel de sécurité lorsque des événements de sécurité potentiels sont détectés.

Par exemple, après avoir reçu une demande de travail, un superviseur peut générer une tâche pour une machine hébergée dans un rack nommé Secure Rack Enclosure 123. Le superviseur définit ensuite une période pour l'intervention (par exemple, deux heures). Lorsqu'un technicien revendique un ticket de travail, TBAC autorise l'accès à l'appareil Secure Rack Enclosure 123 pour cette personne et lance un minuteur de deux heures à l'ouverture de la porte du boîtier. TBAC révoque l'accès à l'appareil Secure Rack Enclosure 123 après deux heures ou lorsque le technicien ferme la tâche, ce qui marque le travail comme terminé.

Les boîtiers de rack sécurisés possèdent différents mécanismes d'authentification et d'autorisation. Le boîtier le plus élémentaire utilise une clé physique, qui accorde l'authentification et l'autorisation, et ne fournit donc qu'un contrôle de sécurité à faible précision. Pour des raisons de sécurité supplémentaires, certains boîtiers utilisent des claviers qui ont attribué des codes PIN individuels et sont alternés individuellement.

Dans certains cas, Google utilise l'authentification à deux facteurs associée à un mécanisme d'autorisation distinct. L'authentification commence par un balayage du badge sur la personne individuelle, et le second facteur peut être un code attribué par l'utilisateur ou un facteur plus sophistiqué, comme la biométrique.

Détection d'événements anormaux

La détection d'événements anormaux informe le personnel de sécurité lorsque des machines subissent des événements inattendus.

À l'échelle du secteur, les organisations peuvent mettre des mois ou des années à détecter des violations de sécurité, et souvent après des dommages ou des pertes importantes. L'indicateur critique de compromission peut être perdu dans un volume élevé de données de journalisation et de télémétrie provenant de millions de machines de production. Toutefois, Google utilise le protocole TACA et plusieurs flux de données pour vous aider à identifier les événements liés à la sécurité physique et logique en temps réel. Ce contrôle est appelé détection d'événements anormaux.

Les machines modernes surveillent et enregistrent leur état physique, ainsi que les événements qui se produisent dans l'espace physique et logique. Les machines reçoivent ces informations via un logiciel système automatisé présent en permanence. Ce logiciel peut s'exécuter sur des ordinateurs réduits à l'intérieur de la machine, appelés contrôleurs de gestion de carte de base (BMC), ou dans le cadre d'un daemon de système d'exploitation. Ce logiciel signale les événements importants tels que les tentatives de connexion, l'insertion d'appareils physiques et les alarmes de capteurs telles qu'un capteur de falsification du boîtier.

Grâce à la détection d'événements anormaux, Google combine le contexte des événements signalés par le système avec le suivi des tâches de TBAC afin de détecter les activités inhabituelles. Par exemple, si une machine du boîtier Secure Rack Enclosure 123 indique qu'un disque dur a été supprimé, nos systèmes vérifient si cette machine a récemment été autorisée pour un échange de disque dur. S'il n'existe aucune autorisation, l'événement signalé, associé aux données d'autorisation basées sur les tâches, déclenche une alerte pour que le personnel de sécurité examine la situation plus en détail.

Pour les machines dotées d'une racine de confiance matérielle, les signaux de détection d'événements anormaux deviennent encore plus forts. La racine de confiance matérielle permet aux logiciels système, tels que les micrologiciels BMC, d'attester qu'ils ont démarré en toute sécurité. Les systèmes de détection Google ont donc un degré de confiance encore plus élevé que les événements signalés sont valides. Pour en savoir plus sur les racines de confiance indépendantes, consultez la section Attestation distante des machines agrégées.

Auto-défense du système

L'autodéfense du système permet aux systèmes de répondre aux menaces potentielles avec une action défensive immédiate.

Certains scénarios de menaces supposent qu'un pirate informatique situé dans l'espace physique ou logique peut contourner les mesures d'accès physique décrites dans la section Renforcement matériel. Un tel pirate informatique peut cibler les données utilisateur ou un processus sensible exécuté sur une machine.

Pour limiter ce risque, Google met en œuvre l'auto-défense du système: un contrôle permettant une réponse immédiate et décisive à tout piratage potentiel. Ce contrôle utilise la télémétrie de l'environnement physique pour agir dans l'environnement logique.

La plupart des environnements de production à grande échelle comportent plusieurs machines physiques dans un rack. Chaque machine physique exécute plusieurs charges de travail, telles que des machines virtuelles (VM) ou des conteneurs Kubernetes. Chaque VM exécute son propre système d'exploitation à l'aide d'une mémoire et d'un espace de stockage dédiés.

Pour déterminer les charges de travail exposées aux événements de sécurité, Google agrège les données de télémétrie des contrôles de renforcement matériel, du TBAC et de la détection d'anomalies. Nous mettons ensuite en corrélation les données pour générer un petit ensemble d'événements à haut risque qui nécessitent une action immédiate. Par exemple, la combinaison d'une alarme de porte de rack sécurisée, d'un signal d'ouverture de châssis machine et de l'absence d'autorisation de travail valide peut constituer un événement à haut risque.

Lorsque Google détecte ces événements, les systèmes peuvent prendre des mesures immédiates:

• Les charges de travail exposées peuvent immédiatement mettre fin aux services sensibles et effacer les données sensibles.
• La structure réseau peut isoler le rack concerné.
• Les charges de travail concernées peuvent être reprogrammées sur d'autres machines ou même dans d'autres centres de données, selon la situation.

En raison du contrôle d'autodéfense du système, même si un pirate informatique parvient à obtenir un accès physique à une machine, il ne peut extraire aucune donnée et ne peut pas se déplacer latéralement dans l'environnement.

Étapes suivantes

• Pour en savoir plus sur les contrôles physiques, consultez la page sur la sécurité des centres de données.
• Pour en savoir plus sur les contrôles logiques, consultez la page Présentation de la sécurité sur l'infrastructure de Google.
• Pour en savoir plus sur la culture de la sécurité Google, consultez la page Créer des systèmes sécurisés et fiables (livre O'Reilly).

Auteurs: Thomas Koh et Kevin Plybon