全解 Google（谷歌）基础设施架构安全设计

发布时间：2019-11-02 14:47:36 所属栏目：移动来源：佚名

导读：副标题#e# 底层基础设施安全设计一、物理基础架构安全谷歌数据中心包括了生物识别、金属感应探测、监控、通行障碍和激光入侵感应系统等多层物理安全保护，并做了严格的限制访问。因为谷歌的某些服务托管在第三方数据中心，为了确保绝对的安全控制，必

谷歌基础设施内部的服务需要通过谷歌前端服务（GFE）注册之后，才能运行于外部互联网上。GFE 确保所有 TLS 连接必须使用正确的证书和安全策略，同时还能起到防御 DoS 攻击的作用。GFE 对请求的转发使用了前述的 RPC 安全协议。

实际上，任何通过 GFE 注册运行于互联网的内部服务都是敏捷的反向前端代理服务，该前端不仅能提供服务的 DNS 公共 IP，还能起到 DoS 防御和 TLS 保护作用。GFE 像其它运行于谷歌基础设施的服务一样，可以应对大量的发起请求。

DoS 攻击防御

从规模体量上来说，谷歌基础设施可以化解或承受大量 DoS 攻击，谷歌具备多层级联的 DoS 防护手段，以阻止和缓解任何对 GFE 注册服务的 DoS 攻击。外部骨干网向谷歌数据中心发起的连接请求，将通过多层软硬件的负载平衡传导。

这些负载平衡传导器将实时向谷歌基础设施内部的中央 DoS 监测系统反馈传入流量的状态信息，当 DoS 监测系统探测到 DoS 攻击之后，将会第一时间让负载平衡传导器丢弃或节流可疑攻击流量。

在更下一层，GFE 实例还会实时向谷歌中央 DoS 监测系统反馈所接收到的请求信息，这些信息包括了网络层负载平衡传导器不具备的应用层信息。如果监测到疑似攻击，中央 DoS 监测系统同样会让 GFE 实例丢弃或节流可疑攻击流量。

用户认证

在 DoS 防御之后，接下来就是谷歌的中央身份服务系统，该服务从终端用户的登录页面开始，除了要求所需的用户名密码之外，系统内部还会对最近登录地点和登录设备进行智能校验。

在认证步骤完成之后，身份服务系统将会向用户分发一个如 cookie 或 OAuth 令牌的凭据，以进行后续请求调用。

当然，在登录时，用户还可以采用如 OTP 动态口令、防钓鱼安全密钥等双因素认证措施。

另外，谷歌还与安全密码联盟（FIDO）共同协定了 U2F 用户双因素认证标准，制作了 YubiKey 外连密钥登录 USB 适配器，用户可以通过购买该适配器实现更安全的登录。

安全软件开发

除了前述的安全控制系统之外，谷歌还提供了防止开发人员引入某些安全缺陷的开发库。

å…¨è§£ Googleï¼ˆè°·æŒï¼‰åŸºç¡€è®¾æ–½æž¶æž„å®‰å…¨è®¾è®¡

例如，在 Web APP 方面，谷歌设置有排除 XSS 漏洞的开发库和框架。另外，谷歌还配置有大量自动化安全缺陷检测工具，如 Fuzzer、静态代码分析工具、网页安全扫描器等。

最后，谷歌还会从快速简单的缺陷识别到深度的风险发现，对开发代码进行全方位的手工安全审查。这些手工审查由包括 Web 安全、加密和操作系统安全等各方面专家组成的团队实施。

除此之外，谷歌还通过实施的漏洞奖励计划，来发现应用程序和基础设施存在的漏洞，到目前为止，谷歌已经为此计划支付了数百万美元的漏洞赏金。

另外，谷歌还投入了大量智力和精力，致力于寻找其基础设施中在用和上游产品的 0-day 漏洞。

例如，由谷歌工程师发现的心脏出血漏洞就是最好的典型，而且谷歌安全团队一直是 CVE 漏洞库的最多提交者，并且是 Linux KVM hypervisor 虚拟化技术漏洞的发现和修复者。

员工设备和凭据安全保护

为了保护员工设备和凭据免受入侵、窃取和其它非法内部活动，谷歌在这方面投入了大量资金和代价，这也是谷歌确保自身基础设施安全运行的关键组成部分。

一直以来，针对谷歌员工的高端复杂钓鱼攻击总是持续不断，为了防止这种攻击，我们强制员工把存在钓鱼风险的 OTP 口令认证方式更换成了 U2F 的 USB 适配器安全密钥。

另外，谷歌投入了大量资金开发了员工客户端安全操作监控系统，同时，还配置了针对员工客户端的安装程序、下载程序、浏览器扩展和访问内容的安全扫描系统。

进入公司内部局域网，并不意味着可以获取到谷歌的访问控制权限。谷歌使用了应用级别的访问控制管理，只允许那些来自特定管理设备、网络或地理位置的限定用户才能访问内部控制程序。

内部风险消控

谷歌严格限制具备管理权限的员工数量，并对其网络行为进行了积极监管。另外，对于一些特殊任务，尽量不需要权限许可，而使用自动化的安全可控方式完成，以消除权限许可需求的泛滥。

这就要求某些活动需行为双方批准，同时将引入限制性 API 以排除信息泄露风险。

谷歌员工对终端用户信息的获取，会被底层架构信息钩子（hook）记录，谷歌安全团队会对所有访问类型进行实时监控，并对其中的异常可疑事件开展调查。

入侵检测

谷歌拥有成熟的数据处理管道，可以很好地集成基于主机、基于网络和基于服务的入侵检测信号。内置在这些管道内的安全规则和探测机制会及时向运维安全人员发出事件警告，谷歌的事件响应团队也实行全天候待命。

同时，谷歌内部运维团队也定期实施红方练习，以不断衡量和提高检测响应机制的有效性。

在此，我们将以谷歌运算引擎 (GCE) 服务为例，简单描述谷歌云存储平台（GCP）的安全设计和改进。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!