谷歌稱其不可能的任務(wù)云平臺(tái)是最安全的

Google Cloud安全和網(wǎng)絡(luò)負(fù)責(zé)人Neal Mueller最近接受了有關(guān)使用Google Cloud Platform托管網(wǎng)站，在線零售商和其他數(shù)據(jù)密集型應(yīng)用程序的安全性和其他重要方面的采訪。

我應(yīng)該將我們的在線應(yīng)用程序移至云中并且安全嗎?

這些天來(lái)，我們得到的問(wèn)題越來(lái)越少。遷移到云有很大的優(yōu)勢(shì)。您可以在需要時(shí)立即擁有所有想要的比例尺。不使用時(shí)不付款。而且您不必?fù)?dān)心底層計(jì)算機(jī)的維護(hù)。優(yōu)勢(shì)是如此之大，實(shí)際上，我們很少會(huì)問(wèn)，我應(yīng)該遷移到云端嗎?我們經(jīng)常遇到的問(wèn)題是，如何安全地遷移到云?

Google的安全責(zé)任從哪里開始?

這很簡(jiǎn)單。Google的責(zé)任是控制基礎(chǔ)架構(gòu)。您的責(zé)任是確保數(shù)據(jù)安全。

為什么將Google用作云提供商?

我們談?wù)摵芏嗟脑蛑皇荊oogle是您的正確云提供商，因?yàn)槲覀冇?00多名安全工程師。這是他們領(lǐng)域中最重要的500人。他們?cè)谕性u(píng)審期刊上發(fā)表過(guò)文章，是安全方面的專家。

讓我給你舉一個(gè)例子，在500人中只有一個(gè)團(tuán)隊(duì)。這就是零計(jì)劃。這些都是前瞻性工程師，他們的工作是發(fā)現(xiàn)0天即新漏洞，這是以前從未發(fā)現(xiàn)或披露的。他們發(fā)現(xiàn)了Heartbleed，它會(huì)影響使用瀏覽器的任何人。這是一個(gè)TLS漏洞。他們發(fā)現(xiàn)了rowhammer，它會(huì)影響擁有RAM的計(jì)算機(jī)的任何人，并且發(fā)現(xiàn)了最后21個(gè)KVM漏洞中的15個(gè)，這對(duì)于Google而言確實(shí)很重要，因?yàn)槲覀兪褂肒VM作為我們選擇的虛擬機(jī)監(jiān)控程序技術(shù)。所有這些漏洞，一旦我們發(fā)現(xiàn)它們，我們就會(huì)立即將其披露，以便借助零號(hào)項(xiàng)目的工作，使世界變得更加安全。

讓我們來(lái)談?wù)勂鹪?。這是英文單詞，意思是來(lái)自。這是我們?nèi)绾慰紤]安全系統(tǒng)的基本原則。我們不只是購(gòu)買現(xiàn)成的硬件。我們回到第一原理，弄清楚我們需要硬件提供哪些功能，而我們不需要哪些功能，因?yàn)楝F(xiàn)成的硬件中包含的功能可能會(huì)引入我們不需要的漏洞。在許多情況下，這導(dǎo)致我們定制構(gòu)建安全系統(tǒng)。因此，我們?cè)诙ㄖ茢?shù)據(jù)中心內(nèi)擁有定制ASIC，定制服務(wù)器，定制機(jī)架，定制存儲(chǔ)陣列。所有這些都導(dǎo)致了一個(gè)更加安全的數(shù)據(jù)中心。

基礎(chǔ)設(shè)施安全性，這不僅僅限于硬件嗎?

當(dāng)然。它也擴(kuò)展到該數(shù)據(jù)中心內(nèi)部的人員。這些是專職的，有徽章的Google員工，他們已經(jīng)提交了背景調(diào)查，并具有一系列人身安全保護(hù)措施，以使其工作更加輕松。我們正在談?wù)摰氖悄?ldquo;不可能的任務(wù)”中看到的東西-生物識(shí)別技術(shù)，激光，車輛障礙物，護(hù)柱。所有這些都是定制的，還可以使數(shù)據(jù)中心更加安全。

那么，這對(duì)Google來(lái)說(shuō)是唯一的嗎?

是的，它是Google獨(dú)有的，但時(shí)間不長(zhǎng)。成為Google的一部分是回饋您的社區(qū)。因此，作為上周與Facebook進(jìn)行的Open Compute Project的一部分，我們發(fā)布了48伏機(jī)架的設(shè)計(jì)。這是一個(gè)非常高密度，高效，高度環(huán)保的機(jī)架。盡管Google是唯一可以構(gòu)建它的公司，但是現(xiàn)在每個(gè)人都有設(shè)計(jì)，每個(gè)人都可以高效地構(gòu)建數(shù)據(jù)中心。

Google Cloud還做什么其他有趣的事情?

下一步是什么?因此，在擁有500名安全工程師的情況下，接下來(lái)還有很多事情要做。但是，讓我告訴您有關(guān)兩件事的想法。第一個(gè)是BeyondCorp。在這里，我們將自己與傳統(tǒng)的企業(yè)安全模型分離了。傳統(tǒng)的企業(yè)安全性具有嚴(yán)格的防火墻來(lái)保護(hù)外圍。但是，我們已經(jīng)看到了最近的違規(guī)情況會(huì)發(fā)生什么-當(dāng)對(duì)手進(jìn)入該范圍時(shí)會(huì)發(fā)生什么。他對(duì)互聯(lián)網(wǎng)內(nèi)部資源的訪問(wèn)相對(duì)不受限制。Google所做的是設(shè)備身份驗(yàn)證，它可以使我們的應(yīng)用程序可以通過(guò)Internet訪問(wèn)，但是就像只能通過(guò)Intranet訪問(wèn)一樣安全。我們認(rèn)為，這使我們的公共云更加安全。

第二個(gè)舉措是什么?

在Google Cloud Platform上，默認(rèn)情況下加密靜態(tài)數(shù)據(jù)。這對(duì)我們來(lái)說(shuō)是真正的差異化因素。我們認(rèn)為這是一種好的做法，并且生意很好。我們已經(jīng)看到了當(dāng)對(duì)手持有違規(guī)的PII時(shí)會(huì)發(fā)生什么，我們認(rèn)為默認(rèn)情況下加密是一種很好的預(yù)防措施。