全解 Google(谷歌)基础设施架构安全设计
|
由于 Gmail 服务将会代表终端用户执行对通讯录的 RPC 请求,而此时,作为 RPC 请求的一部分,谷歌基础设施将会为 Gmail 服务提供一个“终端用户许可凭据”,该凭据是特定终端用户的身份证明,这也为特定终端用户通讯录服务的数据回应实现了安全保障。 为了向终端用户发布“权限许可凭据”,谷歌运行有一个中央用户身份服务系统。终端用户登录后,将会通过该身份服务进行多种方式验证,如用户密码、cookie 信息、OAuth 令牌 等,之后,任何从客户端发起到谷歌内部的后续请求也将需要身份信息验证。 当服务接收到终端用户密码信息后,将把其传递到中央身份服务系统进行验证,如果验证正确,身份服务系统将返回一个短期有效的“权限许可凭据”,用于用户的 RPC 相关请求。 结合前面的例子,Gmail 服务如果获得了“权限许可凭据”后,将把该凭据将传递给通讯录服务进行验证。之后,作为 RPC 调用的一部分,该凭据将适用于任何客户端请求。
三、安全数据存储静态加密 谷歌基础设施中运行有很多存储服务,如分布式数据库(BigTable)、Spanner 以及集中密钥管理系统。大多数应用程序都将通过这些存储服务对物理存储设备进行直接访问。 存储数据在写入物理存储设备之前,可以配置使用集中密钥管理系统分发的密钥进行加密。而集中密钥管理系统支持自动密钥轮换,并提供了全面的日志审计、特定用户身份完整性校验等功能。 Spanner 是谷歌公司研发的、可扩展的、多版本、全球分布式、同步复制数据库。它是第一个把数据分布在全球范围内的系统,并且支持外部一致性的分布式事务。 在应用层执行加密允许基础设施隔离掉一些如恶意磁盘固件的底层存储潜在威胁,这也是另一种加密保护层的额外实现。谷歌的每一块机械硬盘和固态硬盘都支持硬件加密和状态跟踪。 如果某个加密存储设备被更换或废弃,必须经过多步骤的磁盘清理和两次独立验证,不经过此清除过程的设备也将被执行物理破坏。 数据删除 谷歌的数据删除不是执行完全数据清除,而是针对某些特定数据的“计划性删除”,这样做的好处是,可以恢复那些客户端或运维操作无意删除的数据。 如果数据被标记为“计划性删除”后,将按照特定服务策略删除。当某个终端用户执行了账户删除之后,谷歌的基础设施将通知相关数据清除服务对被删账户的数据进行清除。删除了谷歌账号和谷歌邮箱之后,谷歌系统将删除掉该账户相关的所有数据,不能再继续以该账户使用谷歌提供的各项服务。 四、网络通信的安全性设计此节中,将描述谷歌安全通信和相关服务设计。如前所述,谷歌基础设施由大量物理设备组成,这些设备共同构成了不同的 LAN 和 WAN。为了防止诸如 DoS 之类的攻击,谷歌基础设施使用了一段私有 IP 空间。 谷歌前端服务 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
