Google Cloud Platform'da veri silme

Veri Silme Videosu küçük resmi

Google Cloud Platform'da veri silme

Genel Bakış

CIO düzeyinde özet

  • Google, Müşteri Verilerinin depolanması ve silinmesi için ilkeli bir yaklaşım benimsemiştir. Google Cloud Platform; üst düzey hız, kullanılabilirlik, dayanıklılık ve tutarlılık elde etmek için geliştirilmiştir. Sistemlerin bu performans nitelikleri için optimize edilmiş tasarımı, verileri zamanında silme ihtiyacıyla dikkatli bir şekilde dengelenmelidir.
  • Müşteri Verilerinizi sildiğinizde Google'ın silme planı, silme isteğinin onaylanması ve verilerin hem etkin hem de yedek depolama sistemlerindeki uygulama ve depolama katmanlarından tekrar tekrar ortadan kaldırılmasıyla başlar. Bu işlem, Google’ın silme ve saklama ile ilgili beyanında genel hatlarıyla açıklanmıştır.
  • Mantıksal silme işlemi, verilerin etkin depolama sistemlerinde hemen silinmek üzere işaretlenmesinden ve uygulama katmanında normal işlemlerden yalıtılmasından başlanarak aşamalı olarak gerçekleştirilir. Google'ın depolama katmanlarında ardışık sıkıştırma ve işaretleyip süpürerek silme döngüleri, silinmiş verilerin zaman içinde üzerine yazılmasını sağlar. Silinmiş verileri kurtarılamaz hâle getirmek için şifreli silme de kullanılır. Son olarak, Google'ın etkin sistemlerinin anlık görüntülerini içeren yedek sistemler standart bir döngüyle kullanımdan kaldırılır.
  • Uygulama ve depolama katmanlarından silme işlemi, verilerin depolanmasının nasıl yapılandırıldığına ve ilişkili depolama katmanlarıyla veri merkezlerinde devam eden silme döngülerinin zamanlamasına bağlı olarak hemen gerçekleştirilebilir. Etkin sistemlerden silme işlemi, genellikle silme isteği yapıldıktan sonra yaklaşık iki ay içinde tamamlanır. Son olarak, Müşteri Verileri doğal afetlere ve felaketlere karşı koruma sağlamak için Google sistemlerinin anlık görüntülerini altı aya kadar (180 gün) saklayan Google'ın uzun vadeli yedek sistemlerinden kaldırılır.

Giriş

Bu belgede, Google Cloud Platform'da depolanan Müşteri Verilerinizi sildiğinizde (Google Cloud Platform Hizmet Şartları'nda açıklandığı şekilde) gerçekleşen güvenlik sürecine genel bir bakış sunulmaktadır. Kullanım ömürlerinin sonunda Müşteri Verilerinin güvenli şekilde silinmesini sağlamak, herhangi bir bilgi işlem platformunda verilerle çalışmanın temel bir unsurudur.

Veri kaybına veya felaketlere karşı üst düzey kullanılabilirlik, hız ve herhangi bir konumdan erişilebilirlik taahhüt eden tüm bulut platformlarında verilerle çalışmak için kısa sürede büyük ölçekli silme imkanı sunan teknik yenilikler gerekir. Trilyonlarca veri öğesini işleyen ürünler için depolama platformlarının geliştirilmesi üzerinde çalışan ilk şirketlerden biri olan Google, sektörde uzun yıllar boyunca kazandığı deneyimi bu görev için yüksek performanslı depolama sistemlerinin optimize edilmesine aktarıyor.

Bu rapor, Müşteri Verilerinin Google Cloud Platform'da nasıl depolandığına dair genel bir bakış ile başlayacaktır. Ardından, Google’ın silme planını ve her aşamada silme işlemini tamamlamak için gereken süre açıklanacaktır. Son olarak, platformumuzda depolanan verilerin yeniden yapılandırılmasını, donanımların güvenli bir şekilde devre dışı bırakılması ve temizlenmesi sayesinde nasıl önlediğimiz açıklanacaktır.

Veri Depolama ve Çoğaltma

Google Cloud Platform'un Müşteri Verilerini nasıl sildiğiyle ilgili açıklamamız, veri depolamanın Google altyapısındaki işleyiş şekliyle ilgili kısa bir genel bakışla başlar. Google Cloud Platform, Cloud Bigtable ve Cloud Spanner gibi depolama hizmetleri sunar. Google Cloud Platform uygulamalarının ve hizmetlerinin çoğu, bu Cloud depolama hizmetleri veya Google tarafından kullanılan diğer dahili depolama hizmetleriyle Google'ın depolama sistemlerine dolaylı olarak erişir.

Google Cloud Platform; gecikme süresi düşük, kullanılabilirlik düzeyi yüksek, ölçeklenebilir ve dayanıklı çözümler sunmak için tasarlanmıştır. Veri çoğaltma, bu önemli performans hedeflerine ulaşmada kritik öneme sahiptir. Müşteri Verilerinin yedek kopyaları, yapılandırmanıza ve müşteri projelerinin taleplerine bağlı olarak yerel, bölgesel ve hatta küresel olarak depolanabilir. Google Cloud Platform'daki verilerde gerçekleştirilen işlemler, birden fazla veri merkezinde aynı anda çoğaltılabilir. Böylece Müşteri Verileri, yüksek düzeyde kullanılabilir hale gelir. Donanım, yazılım veya ağ ortamında performansa etki eden değişiklikler meydana geldiğinde Müşteri Verileri, müşterilerin yapılandırma ayarlarına bağlı olarak bir sistem veya tesisten diğerine otomatik olarak taşınır. Böylece müşteri projeleri, büyük ölçekli ve kesintisiz olarak yürütülmeye devam eder.

Fiziksel depolama düzeyinde, Müşteri Verileri kullanımda değilken etkin depolama sistemleri ve yedek depolama sistemleri olmak üzere iki tür sistemde depolanır. Bu iki sistem türü, verileri farklı şekilde işler. Etkin depolama sistemleri, Google'ın uygulama ve depolama katmanlarını çalıştıran Google Cloud Platform üretim sunucularıdır. Etkin sistemler, yeni veri yazmak ve verileri çoğaltılmış birden fazla kopya halinde depolamak ve almak için kullanılan büyük diskler ve sürücülerdir. Etkin depolama sistemleri, Müşteri Verilerinde hızlı ve ölçekli olarak canlı okuma/yazma işlemleri gerçekleştirmek için optimize edilmiştir.

Google’ın yedek depolama sistemleri, Google’ın büyük kesintiler veya olağanüstü durumlarda verileri ve sistemleri kurtarmasına yardımcı olmak için belirli bir süre boyunca Google'ın etkin sistemlerinin tam ve artımlı kopyalarını barındırır. Yedekleme sistemleri, etkin sistemlerden farklı olarak Google sistemlerinin düzenli anlık görüntülerini alacak şekilde tasarlanmıştır. Yeni kopyalar oluşturuldukça yedek kopyalar sınırlı bir süre sonra kullanımdan kaldırılır.

Yukarıda açıklanan depolama sistemlerinin tamamında Müşteri Verileri, kullanılmadıkları zaman şifrelenerek depolanır. Google'ın şifreleme tekniklerinin ayrıntıları, Google'ın Cloud Güvenlik Raporlarında daha ayrıntılı olarak açıklanmıştır. Kullanımda olmayan veriler, hem etkin hem de yedek depolama ortamlarında uygulama ve depolama katmanlarında şifrelenir.

Güvenli ve Etkili Veri Silme

Veri Silme Planı

Müşteri Verileri Google Cloud Platform'da depolandığında, sistemlerimiz veriler Google'ın veri silme planını tamamlayana dek verileri güvenli bir şekilde depolayacak şekilde tasarlanmıştır. Bu bölümde, bu süreç ayrıntılı olarak açıklanmaktadır.

1. Aşama - Silme isteği

Müşteri Verilerinin silinmesi, müşteri bir silme isteğinde bulunduğunda başlar. Silme isteği genellikle belirli bir kaynağa, Google Cloud Platform projesine veya müşterinin Google hesabına yönlendirilir. Silme istekleri, müşteri isteğinin kapsamına bağlı olarak farklı şekillerde ele alınabilir:

  • Kaynak Silme: Google Cloud Storage paketleri gibi Müşteri Verilerini içeren bağımsız kaynaklar, Cloud Console'dan veya API aracılığıyla çeşitli şekillerde silinebilir. Örneğin, müşteriler bir depolama paketini komut satırıyla silmek için paket kaldırma veya rm -r komutu kullanabilir ya da bir depolama paketi seçip bunu Cloud Storage Tarayıcısından silebilir.
  • Proje Silme: Google Cloud Platform proje sahibi olarak bir projeyi kapatabilirsiniz. Bir projenin silinmesi, ilgili proje_numarasına bağlı tüm kaynaklar için toplu silme isteği olarak işlev görür.
  • Hesap Silme: Google hesabınızı sildiğinizde, yalnızca size ait olan tüm Google Cloud Platform projeleri silinir. Bir projenin birden fazla sahibi olduğunda, tüm sahipler projeden kaldırılıncaya veya Google hesaplarını silene kadar proje silinmez. Böylece, Google Cloud Platform projelerinin bir sahibi olduğu sürece devam etmeleri sağlanır.

Silme istekleri temel olarak Müşteriler tarafından verilerini yönetmek için kullanılacak şekilde tasarlanırken, Google silme isteklerini otomatik olarak gönderebilir. Örneğin, bir müşteri Google ile ilişkisini sonlandırdığında istek gönderilebilir.

2. Aşama - Geri Yüklenebilir Şekilde Silme

Geri yüklenebilir şekilde silme işlemi, yanlışlıkla veya hatalı olarak silinmek üzere işaretlenmiş verilerin kurtarılması için yeteri kadar zaman tanımak adına süreçte kısa bir dahili hazırlık ve kurtarma süresinin sağlandığı doğal noktadır. Her Google Cloud Platform ürünü, veriler temel depolama sistemlerinden silinmeden önce uygulanması için böyle bir kurtarma süresini benimseyip yapılandırabilir. Ancak bu sürenin, Google’ın genel silme zaman çizelgesine uyması gerekir.

Açıklamak gerekirse projeler silindiğinde Google Cloud Platform önce benzersiz proje_numarasını tanımlar, ardından bu proje_numarasını içeren App Engine ve Cloud Bigtable gibi Google Cloud Platform ürünlerine bir askıya alma sinyali gönderir. Bu durumda App Engine bu proje_numarasına bağlı işlemleri hemen askıya alır ve Cloud Bigtable'daki ilgili tablolar 30 günlük dahili kurtarma süresine girer. Kurtarma süresinin sonunda Google Cloud Platform, benzersiz proje_numarasına bağlı kaynakları mantıksal olarak silmeye başlamak için aynı ürünlere bir sinyal gönderir. Ardından Google, proje silme işlemini tamamlamak için geçerli ürünlerden onay sinyali (ACK) almayı bekler (ve gerekirse sinyali yeniden gönderir).

Bir Google hesabı kapatıldığında, Google Cloud Platform geçmişteki hesap etkinliğine bağlı olarak 30 güne kadar bir dahili kurtarma süresi uygulayabilir. Bu ek süre sona erdiğinde, Google ürünlerine silinmiş faturalandırma hesabı kullanıcı_kimliğini içeren bir sinyal gönderilir ve yalnızca bu kullanıcı_kimliğine bağlı Google Cloud Platform kaynakları silinmek üzere işaretlenir.

3. Aşama - Etkin Sistemlerden Mantıksal Silme

Veriler silinmek üzere işaretlendikten ve kurtarma süresi dolduktan sonra sırayla Google'ın etkin ve yedek depolama sistemlerinden silinir. Etkin sistemlerde veriler iki şekilde silinir.

Google Cloud Storage dışındaki İşlem, Depolama ve Veritabanı ve Büyük Veri altındaki tüm Cloud ürünlerinde, silinmiş verilerin kopyaları kullanılabilir depolama alanı olarak işaretlenir ve zamanla bunların üzerine yazılır. Cloud Bigtable gibi etkin bir depolama sisteminde, silinmiş veriler büyük bir yapılandırılmış tabloda girişler olarak depolanır. Silinmiş verilerin üzerine yazmak için mevcut tabloların sıkıştırılması, mevcut (silinmemiş) verilerin yeniden yazılmasını gerektirdiğinden pahalı olabilir. Bu nedenle, depolama alanını geri kazanmak ve silinmiş verilerin üzerine yazmak için düzenli aralıklarla işaretleyip süpürerek çöp toplama ve büyük sıkıştırma etkinliklerinin gerçekleştirilmesi planlanır.

Google Cloud Storage'da Müşteri Verileri şifreli silme yoluyla da silinir. Bu, verilerin şifresini çözmek için gereken şifreleme anahtarlarını silerek verileri okunamaz hâle getiren endüstri standardı bir tekniktir. İster Google ister müşteri tarafından sağlanan şifreleme anahtarlarını içersin şifreli silme işlemini kullanmanın bir avantajı, Google Cloud Platform'un etkin ve yedek depolama sistemlerinde bu verilerin tüm silinmiş bloklarının üzerine yazılmadan önce bile mantıksal silme işleminin tamamlanabilmesidir.

4. Aşama - Yedek Sistemlerden Geçerliliği Sonlandırma

Google’ın etkin sistemlerinden silme işlemine benzer şekilde, silinmiş veriler hem üzerine yazma hem de şifreli teknikler kullanılarak yedek sistemlerden kaldırılır. Ancak yedek sistemler söz konusu olduğunda Müşteri Verileri, sistemin tamamıyla yedek sistemlerden geri yüklenmesi için zaman ve para harcamanın gereksiz hâle geldiği olağanüstü bir durumda (ör. veri merkezinin tamamını etkileyen bir kesinti) iş devamlılığını sağlamak için genellikle sabit süreler boyunca saklanan etkin sistemlerin büyük toplu anlık görüntülerinde depolanır. İş devamlılığını sağlamaya yönelik makul uygulamalarla tutarlı bir şekilde günlük, haftalık ve aylık döngülerle etkin sistemlerin tam ve artımlı anlık görüntüleri oluşturulur ve bunlar, en yeni anlık görüntülere yer açmak için önceden tanımlanmış bir süre dolunca kullanımdan kaldırılır.

Bir yedek kullanımdan kaldırıldığında, kullanılabilir alan olarak işaretlenir ve yeni günlük/haftalık/aylık yedeklemeler gerçekleştirildikçe bunların üzerine yazılır.

Makul yedekleme döngüsü, yedek sistemler aracılığıyla bir veri silme isteğini etkin hâle getirmek için önceden tanımlanmış bir gecikme uygular. Müşteri Verileri etkin sistemlerden silindiğinde artık yedek sistemlere kopyalanmaz. Silme işleminden önce yapılan yedeklemelerin geçerliliği, önceden tanımlanmış yedekleme döngüsüne göre düzenli olarak sonlandırılır.

Son olarak, silinmiş veriler için uygulanan şifreli silme işlemi, Müşteri Verilerini içeren yedeğin süresi dolmadan önce gerçekleşebilir. Belirli Müşteri Verilerini şifrelemek için kullanılan şifreleme anahtarı olmadan, Müşteri Verileri Google'ın yedek sistemlerinde kalan ömürleri boyunca bile kurtarılamayacaktır.

Silme Zaman Çizelgesi

Google Cloud Platform; üst düzey hız, kullanılabilirlik, dayanıklılık ve tutarlılık elde etmek için geliştirilmiştir. Sistemlerin bu performans nitelikleri için optimize edilmiş tasarımı, verileri zamanında silme ihtiyacıyla dikkatli bir şekilde dengelenmelidir. Google Cloud Platform, Müşteri Verilerini en fazla yaklaşık altı ay (180 gün) içinde silmeyi taahhüt eder. Bu taahhüt, şunlar dahil Google’ın yukarıda açıklanan silme planının aşamalarını içerir:

  • 2. Aşama - Silme isteği alındıktan sonra veriler genellikle hemen silinmek üzere işaretlenir ve bu adımı en fazla 24 saat içinde gerçekleştirmeyi hedefleriz. Veriler silinmek üzere işaretlendikten sonra, hizmete veya silme isteğine bağlı olarak 30 güne kadar bir dahili kurtarma süresi uygulanabilir.

  • 3. Aşama - Çöp toplama görevlerini tamamlamak ve etkin sistemlerden mantıksal silme uygulamak için gereken süre. Bu işlemler, veri çoğaltma düzeyine ve devam eden çöp toplama döngülerinin zamanlamasına bağlı olarak silme isteğinin alınmasından hemen sonra gerçekleştirilebilir. Silme işleminden sonra verilerin etkin sistemlerden silinmesi genellikle yaklaşık iki ayı bulur. Bu süre, iki büyük çöp toplama döngüsünü tamamlamak ve mantıksal silme işleminin tamamlanmasını sağlamak için genellikle yeterli olur.

  • 4. Aşama - Google yedekleme döngüsü, veri merkezi yedeklerindeki silinmiş verilerin geçerliliğini, silme isteğinden sonraki altı ay içinde sonlandıracak şekilde tasarlanmıştır. Silme işlemi, veri çoğaltma düzeyine ve Google'ın devam eden yedekleme döngülerinin zamanlamasına bağlı olarak daha kısa sürede gerçekleşebilir.

Silme Planı DiyagramıŞekil 1: Google Cloud Platform’un Silme Planı Aşamaları

Güvenli Bir Ortam Temizliğinin Sağlanması

Google Cloud Platform'un silme planına ek olarak disiplinli bir ortam temizlik programının uygulanması, kullanım ömrünün sonuna ulaşan fiziksel depolama ortamına adli saldırı veya laboratuvar saldırısı yapılmasını önleyerek silme işleminin güvenliğini artırır.

Google, veri merkezlerimizdeki tüm depolama ekipmanlarının konumunu ve durumunu, Google'ın öğe veritabanında izlenen barkodlar ve öğe etiketleri aracılığıyla yapılan edinme, yükleme, kullanımdan kaldırma ve imha işlemleriyle dikkatli bir şekilde izler. Biyometrik tanılama, metal algılama, kameralar, araç bariyerleri ve lazer tabanlı yetkisiz erişim tespit sistemleri gibi çeşitli teknikler, ekipmanların veri merkezinin bulunduğu kattan izinsiz olarak çıkarılmasını önlemek için kullanılır. Google Altyapısının Güvenlik Tasarımına Genel Bakış konusundan daha fazla bilgi edinebilirsiniz.

Fiziksel depolama ortamı, birçok nedenden ötürü devre dışı bırakılabilir. Bir bileşen, kullanım ömrünün herhangi bir noktasında performans testini geçemezse envanterden çıkarılır ve kullanımdan kaldırılır. Ayrıca Google; işlem hızını, enerji verimliliğini ve depolama kapasitesini artırmak için eski donanımları yükseltir. Donanım ister arıza ister yükseltme ister başka bir nedenle devre dışı bırakılmış olsun, depolama ortamları uygun önlemler kullanılarak devre dışı bırakılır. Google sabit diskleri, devre dışı bırakma sırasında aktif olmayan verileri korumak için tam disk şifreleme (FDE) ve disk kilitleme gibi teknolojilerden yararlanır. Bir sabit disk kullanımdan kaldırıldığında, yetkili kişiler diskin veri içermediğinden emin olmak için diskin, üzerine yazılıp sıfırlanarak ve çok adımlı bir doğrulama işlemi uygulanarak silindiğini doğrular.

Depolama ortamı herhangi bir nedenle silinemiyorsa ortam, fiziksel olarak imha edilinceye kadar güvenli bir şekilde saklanır. Kullanılabilen ekipmanlara bağlı olarak, diski parçalayıp deforme eder veya küçük parçalara ayırırız. Her iki durumda da kullanımdan kaldırılan Google diskleri, içlerindeki veriler okunamayacak şekilde geri dönüşüme tabi tutulur. Her bir veri merkezi, katı bir imha politikasına bağlı kalır ve NIST SP 800-88 Revizyon 1 "Ortam Temizliği Kuralları" ve DoD 5220.22-M "Ulusal Endüstriyel Güvenlik Programı Kullanma Kılavuzu"na uyum sağlamak için açıklanan teknikleri kullanır.