全解 Google（谷歌）基础设施架构安全设计

发布时间：2019-11-01 20:19:37 所属栏目：移动互联来源：佚名

导读：底层基础设施安全设计一、物理基础架构安全谷歌数据中心包括了生物识别、金属感应探测、监控、通行障碍和激光入侵感应系统等多层物理安全保护，并做了严格的限制访问。因为谷歌的某些服务托管在第三方数据中心，为了确保绝对的安全控制，必须部署此类

由于 Gmail 服务将会代表终端用户执行对通讯录的 RPC 请求，而此时，作为 RPC 请求的一部分，谷歌基础设施将会为 Gmail 服务提供一个“终端用户许可凭据”，该凭据是特定终端用户的身份证明，这也为特定终端用户通讯录服务的数据回应实现了安全保障。

为了向终端用户发布“权限许可凭据”，谷歌运行有一个中央用户身份服务系统。终端用户登录后，将会通过该身份服务进行多种方式验证，如用户密码、cookie 信息、OAuth 令牌等，之后，任何从客户端发起到谷歌内部的后续请求也将需要身份信息验证。

当服务接收到终端用户密码信息后，将把其传递到中央身份服务系统进行验证，如果验证正确，身份服务系统将返回一个短期有效的“权限许可凭据”，用于用户的 RPC 相关请求。

结合前面的例子，Gmail 服务如果获得了“权限许可凭据”后，将把该凭据将传递给通讯录服务进行验证。之后，作为 RPC 调用的一部分，该凭据将适用于任何客户端请求。

å…¨è§£ Googleï¼ˆè°·æŒï¼‰åŸºç¡€è®¾æ–½æž¶æž„å®‰å…¨è®¾è®¡

静态加密

谷歌基础设施中运行有很多存储服务，如分布式数据库（BigTable）、Spanner 以及集中密钥管理系统。大多数应用程序都将通过这些存储服务对物理存储设备进行直接访问。

存储数据在写入物理存储设备之前，可以配置使用集中密钥管理系统分发的密钥进行加密。而集中密钥管理系统支持自动密钥轮换，并提供了全面的日志审计、特定用户身份完整性校验等功能。

Spanner 是谷歌公司研发的、可扩展的、多版本、全球分布式、同步复制数据库。它是第一个把数据分布在全球范围内的系统，并且支持外部一致性的分布式事务。

在应用层执行加密允许基础设施隔离掉一些如恶意磁盘固件的底层存储潜在威胁，这也是另一种加密保护层的额外实现。谷歌的每一块机械硬盘和固态硬盘都支持硬件加密和状态跟踪。

如果某个加密存储设备被更换或废弃，必须经过多步骤的磁盘清理和两次独立验证，不经过此清除过程的设备也将被执行物理破坏。

数据删除

谷歌的数据删除不是执行完全数据清除，而是针对某些特定数据的“计划性删除”，这样做的好处是，可以恢复那些客户端或运维操作无意删除的数据。

如果数据被标记为“计划性删除”后，将按照特定服务策略删除。当某个终端用户执行了账户删除之后，谷歌的基础设施将通知相关数据清除服务对被删账户的数据进行清除。删除了谷歌账号和谷歌邮箱之后，谷歌系统将删除掉该账户相关的所有数据，不能再继续以该账户使用谷歌提供的各项服务。

此节中，将描述谷歌安全通信和相关服务设计。如前所述，谷歌基础设施由大量物理设备组成，这些设备共同构成了不同的 LAN 和 WAN。为了防止诸如 DoS 之类的攻击，谷歌基础设施使用了一段私有 IP 空间。

谷歌前端服务

谷歌基础设施内部的服务需要通过谷歌前端服务（GFE）注册之后，才能运行于外部互联网上。GFE 确保所有 TLS 连接必须使用正确的证书和安全策略，同时还能起到防御 DoS 攻击的作用。GFE 对请求的转发使用了前述的 RPC 安全协议。

实际上，任何通过 GFE 注册运行于互联网的内部服务都是敏捷的反向前端代理服务，该前端不仅能提供服务的 DNS 公共 IP，还能起到 DoS 防御和 TLS 保护作用。GFE 像其它运行于谷歌基础设施的服务一样，可以应对大量的发起请求。

DoS 攻击防御

从规模体量上来说，谷歌基础设施可以化解或承受大量 DoS 攻击，谷歌具备多层级联的 DoS 防护手段，以阻止和缓解任何对 GFE 注册服务的 DoS 攻击。外部骨干网向谷歌数据中心发起的连接请求，将通过多层软硬件的负载平衡传导。

这些负载平衡传导器将实时向谷歌基础设施内部的中央 DoS 监测系统反馈传入流量的状态信息，当 DoS 监测系统探测到 DoS 攻击之后，将会第一时间让负载平衡传导器丢弃或节流可疑攻击流量。

在更下一层，GFE 实例还会实时向谷歌中央 DoS 监测系统反馈所接收到的请求信息，这些信息包括了网络层负载平衡传导器不具备的应用层信息。如果监测到疑似攻击，中央 DoS 监测系统同样会让 GFE 实例丢弃或节流可疑攻击流量。

用户认证

在 DoS 防御之后，接下来就是谷歌的中央身份服务系统，该服务从终端用户的登录页面开始，除了要求所需的用户名密码之外，系统内部还会对最近登录地点和登录设备进行智能校验。

在认证步骤完成之后，身份服务系统将会向用户分发一个如 cookie 或 OAuth 令牌的凭据，以进行后续请求调用。

当然，在登录时，用户还可以采用如 OTP 动态口令、防钓鱼安全密钥等双因素认证措施。

另外，谷歌还与安全密码联盟（FIDO）共同协定了 U2F 用户双因素认证标准，制作了 YubiKey 外连密钥登录 USB 适配器，用户可以通过购买该适配器实现更安全的登录。

安全软件开发

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

达人魔改秒控鼠标可边	万里征程张万里媒体联
蔡司小蓝标瞩目！vivo	售2999元起！华为首款