Google Cloud Platform Güvenliği

Bilişim, uygulama ve ağ güvenliği alanlarında 750'den fazla üst düzey uzmanın koruduğu bir altyapı üzerinde dağıtım yapın.

Google Güvenlik Modeli

Google güvenlik modeli; müşterileri Gmail, Arama ve diğer Uygulamalar gibi Google uygulamalarında güvende tutmaya odaklanmış, 15 yıllık deneyime dayanan uçtan uca bir süreçtir. Google Cloud Platform sayesinde, uygulamalarınız ve verileriniz de aynı güvenlik modelinden yararlanır. Güvenlik Raporumuzu, Altyapı Güvenlik Tasarımına Genel Bakış Raporumuzu ve Kullanımda Olmayan Verilerin Şifrelenmesine Dair Raporumuzu okuyarak güvenlik modelimiz hakkında daha fazla bilgi edinebilirsiniz.

Niels Provos'tan GCP Güvenliğine Genel Bakış

Bilgi Güvenliği Ekibi

Google güvenlik modelinin temelinde, Bilgi Güvenliği Ekibimiz vardır. Bu ekip; bilişim, uygulama ve ağ güvenliği alanlarında 750'den fazla üst düzey uzmandan oluşur. Ekibin görevleri; şirketin savunma sistemlerini yönetmek, güvenlik inceleme süreçlerini geliştirmek, güvenlik altyapısını oluşturmak ve Google'ın güvenlik politikalarını hayata geçirmektir. Heartbleed güvenlik açığının keşfi, yazılım güvenlik sorunlarının bildirilmesi için ödüllendirme programının başlatılması ve Google'da "Varsayılan olarak SSL" politikasının uygulanması, bu ekibin en önemli başarıları arasındadır.

Bilgi Güvenliği Ekibimiz hakkında daha fazla bilgi edinin

Veri Merkezlerinin Fiziksel Güvenliği

Google veri merkezlerinde, katmanlı güvenlik modeli kullanılır. Bu modelde özel olarak tasarlanmış elektronik giriş kartları, alarmlar, araç erişim bariyerleri, çevre güvenlik sistemleri, metal detektörleri ve biyometri gibi koruma önlemleri alınmaktadır. Veri merkezi zemininde, lazer ışınlı izinsiz giriş tespit sistemi vardır.

Veri merkezlerimiz, izinsiz giriş yapanları tespit edip takip edebilen yüksek çözünürlüklü iç ve dış mekan kameralarıyla 7/24 izlenir. Herhangi bir olay meydana gelirse erişim günlükleri, etkinlik kayıtları ve kamera görüntüleri incelenir. Geçmişleri iyice kontrol edilmiş ve ciddi eğitimlerden geçmiş olan deneyimli güvenlik görevlileri de veri merkezlerinde düzenli olarak devriye gezer. Veri merkezlerinden birine adım atmış olan Google çalışanlarının oranı, yüzde birden azdır.

Veri merkezinin fiziksel güvenliği hakkında daha fazla bilgi edinin

Sunucu ve Yazılım Yığını Güvenliği

Google'da, özel olarak oluşturulmuş on binlerce özdeş sunucu çalıştırırız. Donanım ve ağdan özel Linux yazılım yığınına kadar her şeyi, güvenliği göz önünde bulundurarak tasarladık. Hem tüm yığına sahip olup hem de homojen ortamı koruyarak güvenlik altyapımızı önemli ölçüde azaltır ve tehlikelere karşı daha hızlı harekete geçebiliriz.

Sunucu ve yazılım yığını güvenliği hakkında daha fazla bilgi edinin

Veri Erişimi

Google, müşteri bilgilerinin korunması için çeşitli denetimler ve uygulamalara sahiptir. Google uygulama ve depolama yığınının katmanları, diğer bileşenlerden gelen isteklerin doğrulanıp yetkilendirilmesini zorunlu kılar. Üretim uygulamasındaki yönetim mühendislerinin üretim ortamlarına erişimi de denetim altındadır. Mühendislerin, üretim hizmetlerine erişim düzeyinin belirlenip kontrol edilmesi için merkezi bir grup ve rol yönetim sistemi kullanılır. Bu sistemde, kısa süreli kişisel genel anahtar sertifikalarının kullanımıyla mühendislerin kimliğini doğrulayan bir güvenlik protokolünden yararlanılır. Kişisel sertifikalar ise iki faktörlü kimlik doğrulamayla korunur.

Veri erişimi hakkında daha fazla bilgi edinin

Veri İmhası

Müşteri bilgilerini içeren sabit diskler, Google sistemlerinde kullanımdan kalktığında Google tesislerinden çıkarılmadan önce veri imha sürecine tabi tutulur. Diskler, önce Google Güvenlik Ekibi tarafından onaylı bir süreçten geçerek yetkili çalışanlar tarafından mantıksal olarak temizlenir. Daha sonra başka yetkililer, diskin sorunsuzca temizlendiğini onaylamak için ikinci bir denetim yapar. Bu silme işleminin sonuçları, takip için sürücünün seri numarasına göre günlüğe kaydedilir. Son olarak, temizlenen sürücü yeniden kullanım ve dağıtım için envantere gönderilir. Donanım arızası nedeniyle temizlenememesi durumunda sürücü, fiziksel olarak imha edilinceye kadar güvenli bir ortamda saklanır. Disk temizleme politikasına uyulup uyulmadığını takip etmek için tüm tesisler haftalık olarak denetlenir.

Veri imhası hakkında daha fazla bilgi edinin

Platformun Güvenlik Özellikleri

Cloud Platform dahil tüm Google ürünleri, güvenliğin temel bir tasarım unsuru ve geliştirme gereksinimi olduğu kabul edilerek üretilmiştir. Ayrıca Google'ın site güvenilirliğiyle ilgilenen mühendislik ekipleri, yüksek kullanılabilirlik sağlamak ve platform kaynaklarının kötüye kullanımını önlemek için platform sistemlerindeki işlemleri denetler. Ürüne özgü güvenlik özellikleri, ürün belgelerinde açıklanmıştır. Ancak bunların hepsi, platform çapında belirli niteliklere sahiptir.

Güvenli Hizmet API'leri ve Kimlik Doğrulamalı Erişim

Tüm hizmetler, güvenli bir küresel API ağ geçidi altyapısıyla yönetilmektedir. Bu API hizmet altyapısına, yalnızca şifreli SSL/TLS kanalları üzerinden erişilebilir. Her istek için yukarıda belirtilen kimlik doğrulama sistemi yoluyla, insan girişi veya özel anahtar tabanlı yöntemlerle üretilen, süre sınırlı kimlik doğrulama jetonlarının kullanılması gerekir.

Google Cloud Platform'un tüm kaynaklarına erişim, diğer Google hizmetlerini de çalıştıran güçlü ve doğrulanmış altyapıyla düzenlenir. Yani mevcut Google hesaplarınızı kullanabilir veya Google tarafından yönetilen, düzenlemelere tabi bir alan oluşturabilirsiniz. Kullanıcıları yönetirken yararlanabileceğiniz özellikler arasında şifre politikası, 2 faktörlü kimlik doğrulama zorunluluğu ve güvenlik anahtarı donanımlarıyla yeni kimlik doğrulama zorunluluğu teknolojisi yer alır.

Günlük Kaydı

Platformdaki tüm API istekleri (ör. web istekleri), depolama paketi erişimleri ve kullanıcı hesabı erişimleri günlüğe kaydedilir. Cloud Platform araçları sayesinde Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN ve Cloud Storage için işlem ve erişim günlüklerini inceleyebilirsiniz.

Veri Şifreleme

Google Cloud Platform hizmetleri, kullanımda olmayıp depolanan müşteri içeriğini, birkaç küçük istisna haricinde daima en az bir şifreleme mekanizmasıyla şifreler. Bunun için müşterilerin herhangi bir işlem yapması gerekmez. Örneğin, kalıcı disklerde depolanan yeni verilerin tümü 256 bit Gelişmiş Şifreleme Standardı'yla (AES-256) şifrelenir. Şifreleme anahtarının kendisi ise düzenli olarak rotasyon uygulanan ana anahtar grubuyla şifrelenir. Google Cloud Platform'daki verileriniz için kullanılan şifreleme ve anahtar yönetimi politikaları, şifreleme kitaplıkları ve güvenilen işlemler; Google'ın birçok üretim hizmetinde (Gmail dahil) ve kendi kurumsal verilerinde kullanılır.

Şifreleme seçenekleriniz hakkında daha fazla bilgi edinin

Güvenli Küresel Ağ

Google'ın küresel ağı, dünyadaki çoğu İSS ile bağlantılıdır. Bu nedenle, herkese açık olan internetteki atlamaları sınırlandırarak, geçiş sırasında veri güvenliğinin artırılmasına yardımcı olur. Cloud Interconnect ve yönetilen VPN sayesinde, tesisteki özel IP ortamınız ve Google ağı arasında şifrelenmiş kanallar oluşturabilirsiniz. Bu sayede, genel internetle bağlantısını tamamen kestiğiniz örneklere, kendi özel altyapınızdan erişmeye devam edebilirsiniz.

İzinsiz Giriş Tespiti

Google'ın izinsiz giriş tespiti uygulamaları dahilindeki önleyici tedbirler, veri giriş noktalarında akıllı tespit kontrolleri ve belirli tehlikeli durumları otomatik olarak çözebilen teknolojiler yardımıyla, saldırı yüzeyinin boyutu ve yapısı sıkı bir şekilde kontrol edilir.

Güvenlik Taraması

Cloud Security Scanner, App Engine geliştiricilerinin, web uygulamalarında en yaygın güvenlik açıklarını, özellikle de siteler arası komut dizileri (XSS) ve karma içeriği belirlemesine yardımcı olur.

Uygunluk ve Sertifikalar

Cloud Platform ve Google altyapısı, sayısı giderek artan uygunluk standartları ve kontrolleriyle onaylanmıştır. Aynı zamanda veri güvenliği, gizlilik ve emniyetin test edilmesi için birçok üçüncü taraf bağımsız denetimden de geçer. Uygunluk sayfamızdan belirli sertifikalar hakkında daha fazla bilgi edinin.

Güvence Programları Logosu

Cloud Platform Projelerinizi Güvende Tutma

Google, projelerinizi güvende tutmak için üstüne düşen rolü oynama taahhüdü verir. Ancak güvenlik, ortak sorumluluğumuzdur. Projelerinizi güvende tutmak için yararlanabileceğiniz özellikler sunmaktayız.

İşletim Sistemi ve Uygulama Yamaları

Google Compute Engine ve Google Kubernetes Engine, sanal makinelerle (VM) desteklenir. Projelerinizde bu teknolojileri kullanıyorsanız sanal makinenizin işletim sistemini ve uygulamaları en son güvenlik yamalarıyla güncel tutmak sizin sorumluluğunuzdadır. Google, ana makine işletim sistemi ortamlarının güvenliğini ve gerekli yamaları sağlar.

Kullanıcı ve Kimlik Bilgisi Yönetimi

Google Cloud Platform, proje düzeyinde kullanıcı izinleri belirlemenizi sağlar. Ekip üyelerine en az ayrıcalıklı erişim izni verin.

Ağ Güvenlik Duvarı Kuralı Bakımı

Varsayılan olarak, ağ dışından gelen tüm trafik engellenir. Açık güvenlik duvarı kuralları olmadan hiçbir sanal makine örneğine paket iletilmez. Gelen ağ trafiğinin alınması için güvenlik duvarlarını bu bağlantılara izin verecek şekilde ayarlamanız gerekir. Ağ izinlerine yönelik bu yaklaşım, işlem örneklerinize ulaşmasına izin verilen trafiğin kaynağını ve türünü belirlemenizi sağlar.

İzinsiz Erişim Testi

İzinsiz erişim testiyle Cloud Platform altyapınızın güvenliğini değerlendirmeyi planlıyorsanız teste başlamak için bizimle iletişime geçmeniz gerekmez. Testin, diğer müşterilerin uygulamalarını değil, yalnızca kendi projelerinizi etkilediğinden emin olmak için Cloud Platform Kabul Edilebilir Kullanım Politikası ve Hizmet Şartları'na uymanız gerekir. Herhangi bir güvenlik açığıyla karşılaşırsanız bunu Güvenlik Açığı Ödülü Programımız üzerinden bildirin.

Hassas Veri Yönetimi

Verilerin farklı hassasiyet dereceleri vardır. Cloud Platform, güvenli uygulamalar geliştirmek için gereken temel özellikleri sağlar. Bununla birlikte, gerekli şekilde harekete geçmek ve uygulamanız düzeyinde bu verilere erişmek sizin sorumluluğunuzdadır. Bu, son kullanıcılarınızın kritik verileri kurumsal ağınızın/genel bulut altyapınızın dışında paylaşmasının engellenmesi (yani bilgi kaybını engelleme) ve belirli bir kişiyi tanımlayabilecek verilerin (yani kimlik bilgilerinin) mutlaka koruma altında tutulmasını içerir. Daha fazla bilgi edinmek için Bilgi Kaybını Engelleme bölümüne bakın.

Günlük Kaydı ve İzleme

Cloud Platform, Google Cloud Logging ve Google Cloud Monitoring gibi araçlar sunar. Bu araçlar, istek günlüklerinin toplanıp analiz edilmesini ve altyapı hizmetlerinizin (ör. sanal makine örnekleri) kullanılabilme durumunun izlenmesini kolaylaştırır. Bu araçlar, özel kontrol panelleri oluşturmanızı ve sorunlarla karşılaşıldığında gösterilecek uyarıları belirlemenizi de kolaylaştırır.

PCI ve HIPAA Yönetmeliklerine Uygunluk

Uygunlukla ilgili belgelerimiz, AB Veri Koruma Yönetmeliği dahil olmak üzere belirli yasal önlemleri alırken size düşen rolü anlamanıza yardımcı olur.

SSS

Sıkça sorduğunuz soruların yanıtları

SSS'yi görüntüleyin

Güvenlik Bültenleri

En son Compute Engine Güvenlik Bültenlerini inceleyin

Güvenlik bültenlerini görüntüleyin

En İyi Uygulamalar

Kurumsal şirketler için en iyi uygulamalar hakkında bilgi edinin

En iyi uygulamaları inceleyin

Cloud Güvenlik İş Ortakları

İş ortaklarından oluşan güçlü bir ekosistemle GCP güvenliği

GCP güvenlik iş ortaklarını görüntüleyin

Güvenlikle İlgili Sorularınız veya Endişeleriniz mi Var? Bize Ulaşın

  • Burada değinilmeyen, güvenlikle ilgili ürün özellikleri hakkında sorularınız varsa Google Destek veya Hesap ekibinizle iletişime geçin.
  • Platformda güvenlik açığı bulduğunuza inanıyorsanız lütfen bunu bildirin.
  • Google'ın şeffaflık yaklaşımı ve bilgi isteklerinin işlenme şekli hakkında bilgi edinmek için şeffaflık raporumuzu inceleyin.
  • Kötüye kullanım bildirme: Cloud Platform hizmetlerinin kötüye kullanıldığından şüpheleniyorsanız lütfen bu durumu bildirin.