Esta página oferece uma visão geral que aborda conceitos principais, camadas e funções operacionais para manter a segurança no Google Distributed Cloud (GDC) isolado. O GDC foi projetado para ambientes altamente seguros e desconectados e para compliance com requisitos rigorosos de soberania de dados.
Esta página é destinada a públicos-alvo como administradores de TI no grupo de operadores de infraestrutura ou engenheiros de segurança no grupo de operadores de aplicativos que querem gerenciar a segurança da organização. Para mais informações, consulte Públicos-alvo para documentação isolada do GDC.
Esta página ajuda você a entender os principais atributos de segurança nas seguintes categorias:
- Conformidade
- Operações de segurança
- Operações de confiabilidade
- Criptografia
- Gerenciamento de identidade e acesso (IAM)
- Segurança de rede
- Segurança para aplicativos
- Segurança de host e nó
- Segurança de hardware
- Segurança das instalações
Estratégia de segurança
O GDC prioriza a segurança com várias camadas para oferecer o máximo de controle, manter a conformidade com as regulamentações legais e proteger dados confidenciais. Ele foi projetado para ser executado em hardware dedicado e seguro em um data center local para oferecer isolamento estrito do locatário.
As camadas de segurança fornecidas pelo GDC incluem segurança de hardware, segurança de host e nó, segurança de aplicativos, segurança de rede, criptografia, Identity and Access Management (IAM), operações de segurança e confiabilidade, compliance e ofertas de segurança.
O GDC tem um modelo de segurança compartilhada para proteger toda a pilha de aplicativos. O GDC oferece infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS). Em todas as configurações do GDC, o Google e o operador são responsáveis por proteger as camadas da infraestrutura. O cliente é responsável por proteger a configuração do projeto e a camada de aplicativo, incluindo os contêineres de aplicativos, as imagens de base e as dependências.
Do ponto de vista da segurança, os seguintes grupos de público-alvo operam o GDC:
Grupo de operadores de infraestrutura: gerencia as operações diárias da infraestrutura do sistema e não tem acesso aos dados dos clientes. Essa função é o administrador de nível mais alto do sistema e pode ser o Google, um terceiro contratado ou o cliente, dependendo da natureza das restrições de soberania.
Grupo de administradores da plataforma: um perfil de cliente que gerencia recursos e permissões para projetos. Esse é o nível mais alto de privilégio administrativo concedido ao cliente e o único que pode conceder acesso aos dados do cliente.
Grupo de operadores de aplicativos: desenvolve aplicativos para implantação e execução, e configura recursos e permissões granulares no GDC. Esse perfil trabalha de acordo com as políticas estabelecidas pelo administrador da plataforma (PA, na sigla em inglês) para garantir que os sistemas estejam alinhados aos requisitos de segurança e compliance do cliente.
Para mais informações, consulte Públicos-alvo da documentação.
Segurança das instalações
É possível implantar o GDC em data centers isolados e designados pelo cliente. A segurança física específica de cada local varia de acordo com os requisitos individuais dos clientes. Para obedecer às regulamentações locais, os data centers podem precisar de um credenciamento, por exemplo, a ISO 27001. O data center precisa ter várias medidas de segurança, como sistemas de defesa de perímetro seguro para evitar acesso não autorizado, cobertura abrangente de câmeras para monitorar toda a atividade, autenticação física para garantir que apenas pessoal autorizado possa acessar o data center, equipe de segurança para patrulhar o data center 24 horas por dia, todos os dias da semana e responder a incidentes de segurança, além de políticas rigorosas de acesso e segurança para regular como o pessoal acessa e usa o data center. Essas medidas de segurança são uma importante camada inicial de proteção para salvaguardar os dados armazenados no data center contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados.
Segurança de hardware
O Google tem um processo rigoroso para garantir a segurança do hardware. Todo o hardware do GDC é comprado e montado por parceiros aprovados e certificados para atender aos requisitos específicos do cliente em relação à soberania e à cadeia de suprimentos. O hardware é testado e aprovado para atender aos padrões internos rigorosos do Google e às necessidades da maioria dos clientes preocupados com a segurança. Todos os subcomponentes no hardware do GDC vêm de fornecedores confiáveis, que são verificados e conhecidos por serem confiáveis. A integração de hardware nos racks do GDC é feita em centros regionais certificados, que são instalações aprovadas pelo Google para lidar com hardware sensível. Todas as pessoas que manuseiam o hardware do GDC passam por uma verificação de antecedentes, o que garante que apenas pessoas autorizadas tenham acesso a ele. Além disso, a implementação real de componentes de hardware e firmware de alto risco selecionados é revisada por uma equipe dedicada. Essas análises consideram ameaças como: ataques à cadeia de suprimentos, ataques físicos e ataques de execução local em componentes de hardware e firmware, incluindo ameaças persistentes. Essas revisões criam conhecimento que informa diretamente nossos requisitos de segurança de hardware, incluindo firmware seguro e atualizações de firmware, integridade de firmware, inicialização segura, gerenciamento e manutenção seguros. O Google mantém relações próximas com todos os fornecedores e equipes que usam o hardware para garantir que os recursos de segurança de alto nível sejam fornecidos. Isso significa que o Google trabalha constantemente com os parceiros para garantir que o hardware seja o mais seguro possível. O Google eleva o nível ao melhorar os requisitos de hardware e segurança, realizar revisões interativas de segurança e trabalhar com equipes de produtos para implementar novos recursos de segurança criados especificamente para o GDC e profundamente integrados não apenas ao hardware e firmware reais, mas também a outros recursos do produto.
Segurança de host e nó
O GDC garante que apenas nosso sistema operacional (SO) Node seguro e empacotado personalizado possa ser carregado nos sistemas por padrão. Imagens e configurações reforçadas reduzem muito as superfícies de ataque. Os módulos criptográficos que protegem dados em repouso e em trânsito são validados pelo FIPS 140-2/3, o que significa que foram rigorosamente testados quanto à segurança e verificados por um laboratório independente e credenciado. O GDC oferece software antimalware para o sistema operacional em execução nos nós bare metal e uma solução para verificar os sistemas de armazenamento. O Google empacota atualizações para esses scanners, que são incluídas nas atualizações regulares do sistema aplicadas pelo IO usando o processo de upgrade do GDC. Os alertas de detecção são enviados ao IO. O GDC também oferece ferramentas de monitoramento de integridade e detecção de violações para proteger o sistema contra mudanças não intencionais. No geral, essas medidas de segurança ajudam a proteger o sistema contra vários ataques. As medidas de segurança dificultam o acesso dos invasores ao sistema, a exploração de vulnerabilidades e a instalação de malware.
Locação
O GDC é uma plataforma de nuvem gerenciada multitenant semelhante à Google Cloud Platform. A arquitetura foi projetada para oferecer isolamento forte entre locatários, fornecendo uma camada de proteção robusta entre os usuários da nuvem e permitindo que eles atendam a padrões rigorosos de acreditação de carga de trabalho. O GDC oferece dois níveis de isolamento de locatário. O primeiro nível, chamado "Organizações", oferece um isolamento físico forte de computação, e o segundo nível, "Projetos", oferece opções mais refinadas de alocação de recursos por separação lógica.
Nenhum servidor de computação físico é compartilhado entre organizações, e as camadas do operador também mantêm o locatário. Os IOs não podem acessar as camadas de PA. Da mesma forma, os AOs não podem acessar as camadas de PA.
Segurança para aplicativos
Para proteger contra ataques à cadeia de suprimentos de software, todo o software do GDC é desenvolvido de acordo com os Níveis da cadeia de suprimentos para artefatos de software (SLSA), um framework de segurança da cadeia de suprimentos desenvolvido pelo Google em parceria com organizações como a CNCF e a Linux Foundation.
A SLSA é uma lista de verificação de padrões e controles para evitar adulterações, melhorar a integridade e proteger pacotes na cadeia de suprimentos de software. Esta lista de verificação foi criada para evitar exploits que atacam repositórios de código-fonte, sistemas de build e pacotes de dependências de terceiros.
Todo o código-fonte e as dependências do GDC são armazenados em um sistema de controle de versões do Google isolado e criptografado em data centers seguros do Google. Todo o código tem histórico verificado e exige que uma segunda pessoa revise as mudanças antes que elas sejam aceitas no sistema de controle de versões.
Os builds são entregues usando um sistema de orquestração de lançamento do Google que aproveita ferramentas de teste automatizadas doGoogle Cloud Build e do Google para um build, teste e lançamento totalmente automatizados de imagens e binários de contêiner. Todos os builds são isolados, herméticos e definidos usando o princípio de build como código. Ninguém tem acesso unilateral no processo de entrega de software.
Todas as imagens são verificadas em busca de vulnerabilidades usando vários scanners de segurança de aplicativos e são validadas em vários pontos usando uma combinação de assinaturas criptográficas e checksums SHA256. Cada versão contém uma lista de materiais de software (SBOM) com detalhes sobre os componentes, dependências e bibliotecas de software, além dos dados entregues.
Segurança de rede
Esta seção fornece uma visão geral da segurança de rede do GDC.
Rede física
Embora o GDC tenha sido projetado para ser usado em ambientes desconectados, na prática, os sistemas do GDC provavelmente estarão conectados a um ambiente protegido mais amplo que está conectado em uma rede privada interna do cliente, mas ainda desconectado da Internet pública.
Todo o tráfego de rede entre a rede particular do cliente e os sistemas do GDC passa por firewalls e sistemas de detecção e prevenção de intrusões (SDI/IPS). O firewall oferece a primeira linha de defesa para controlar o acesso ao sistema. O firewall e o SDI/IPS controlam o tráfego de entrada e saída com base em políticas de segurança configuráveis e usam o aprendizado de máquina para analisar automaticamente o tráfego e bloquear entradas não autorizadas. Por padrão, o sistema IDS/IPS inspeciona toda a comunicação de entrada e saída da infraestrutura. Os PAs também podem usar o sistema SDI/IPS para a própria inspeção de tráfego de carga de trabalho. Os firewalls e o SDI/IPS também são integrados à pilha de observabilidade da organização para cargas de trabalho de clientes e à pilha SIEM da IO para a infraestrutura, permitindo análises e perícias de segurança adicionais.
Os firewalls aplicam regras de negação padrão como postura inicial de segurança para evitar acesso acidental e vazamentos de dados. O IO e o PA têm métodos para definir mais regras de acesso, conforme necessário. Dentro do GDC, há duas redes fisicamente separadas para isolar as funções de administração e controle dos dados de carga de trabalho do cliente.
A rede de gerenciamento fora da banda (OOB, na sigla em inglês) é usada apenas para funções administrativas, como mudanças de configuração dos dispositivos de rede, equipamentos de armazenamento e outros componentes de hardware. Somente o IO tem acesso à rede OOB, e isso só acontece em casos excepcionais. As ACLs de rede são configuradas para que apenas os servidores no cluster de administrador raiz que os controles de E/S tenham acesso a essa rede. A rede do plano de dados conecta os servidores de carga de trabalho e pode ser acessada pelo PA e pelos AOs.
Rede definida por software
A rede do plano de dados é uma rede de sobreposição baseada em roteamento e encaminhamento virtual (VRF, na sigla em inglês) para isolamento do tráfego do locatário. Cada organização locatária tem uma rede VRF externa e interna. Os serviços voltados para o exterior, por exemplo, balanceador de carga externo e NAT de saída, estariam no domínio externo. As cargas de trabalho do cliente residem no VRF interno.
A rede interna é usada para comunicação dentro do locatário, como tráfego de carga de trabalho entre nós e para armazenamento de arquivos e blocos dentro da organização. A rede externa é usada para comunicação fora de uma organização. O tráfego de gerenciamento do locatário para acessar funções de controle de acesso ou o tráfego do cliente para acessar projetos precisa passar pela rede externa. Cada carga de trabalho do cliente tem balanceadores de carga e gateways NAT para configurar o tráfego de entrada e saída.
Rede virtual
A rede virtual do GDC é uma camada de rede no nível da organização criada sobre a rede de sobreposição. Ele é alimentado pelo driver de interface de rede de contêiner (CNI) gerenciado pelo GDC: plano de dados de rede do Anthos.
A camada de rede virtual no GDC oferece um isolamento parcial na organização, chamado de "projeto". Essa camada oferece os seguintes recursos de segurança de rede:
- Política de rede do projeto: para proteção de limites do projeto.
- Política de rede da organização: para proteção do perímetro da organização.
As políticas de rede do projeto e da organização têm uma configuração de negação padrão como ponto de partida para proteger contra acesso não intencional e vazamento de dados.
Proteção contra negação de serviço
Todo o tráfego para o GDC passa pelo SDI/IPS e por um conjunto de balanceadores de carga. O IDS/IPS detecta e descarta o tráfego não autorizado, além de proteger os recursos contra inundações de sessão. Os balanceadores de carga podem limitar o tráfego adequadamente para evitar a perda de serviço. Como toda conectividade externa é processada pela rede particular do cliente, ele pode fornecer a camada extra de proteção contra negação de serviço para ataques distribuídos.
Criptografia
Esta seção oferece uma visão geral da criptografia do GDC.
PKI
O GDC oferece uma infraestrutura de chave pública (PKI) para gerenciamento centralizado de AC X.509 para serviços de infraestrutura. Por padrão, o GDC tem CAs raiz particulares por instalação e intermediários e folhas distribuídos a partir delas. Além disso, o GDC pode instalar certificados emitidos pelo cliente em endpoints voltados ao cliente, o que aumenta a flexibilidade no uso de certificados. O GDC coordena centralmente a distribuição de repositórios de confiança, o que facilita a autenticação e a criptografia do tráfego de aplicativos por cargas de trabalho e serviços do sistema. No geral, o GDC oferece uma solução de ICP eficiente para proteger vários serviços de infraestrutura e permitir um gerenciamento de confiança conveniente, mas rigorosamente controlado.
Serviço de gerenciamento de chaves
O GDC oferece um serviço de gerenciamento de chaves (KMS) com suporte de módulos de segurança de hardware (HSMs). O KMS é um serviço próprio. O material de chave permanece no KMS, que, por sua vez, é protegido por HSMs. As definições de recursos personalizados (CRDs) contêm material de chave criptografado. Somente o KMS tem acesso ao material de chave bruta na memória. Há um KMS por organização. Todos os dados em repouso são criptografados por padrão usando chaves com suporte de HSM. Os clientes também podem gerenciar as próprias chaves criptográficas. O KMS aceita algoritmos aprovados e módulos validados pelo FIPS. O KMS oferece suporte à importação e exportação de chaves de maneira segura para casos de uso de depósito, exclusão ou recuperação de desastres. Esses recursos tornam o KMS uma maneira segura e confiável de gerenciar chaves criptográficas.
O GDC também oferece chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK dá aos clientes controle sobre as chaves que protegem os dados em repouso no GDC. Uma das principais motivações para a adoção da CMEK é a exclusão criptográfica, um método de destruição de dados de alta segurança para remediação de vazamento de dados e desativação. As chaves podem ser excluídas fora da banda dos dados que protegem. Todos os dados da sua organização são protegidos por um conjunto de CMEK que os operadores da plataforma podem monitorar, auditar e excluir conforme necessário. As chaves CMEK são chaves de criptografia que podem ser gerenciadas usando APIs HSM. A CMEK pode ser usada para criptografar os dados de armazenamento em blocos, discos máquina virtual, serviços de banco de dados e cargas de trabalho de contêineres de usuários.
Criptografia
Esta seção fornece uma visão geral da criptografia do GDC.
Dados em repouso
Todos os dados do GDC armazenados em arquivos, blocos e objetos são criptografados em repouso usando vários níveis de criptografia. Em ambientes multitenant, os dados de cada locatário são criptografados com uma chave específica antes de serem gravados em arquivos, blocos e armazenamento de objetos:
- O armazenamento em blocos (volumes de aplicativos, discos de VM, armazenamento de banco de dados) é criptografado em três níveis:
- Camada de software: criptografia do Linux Unified Key Setup (LUKS) realizada em hardware de computação dedicado ao locatário com chaves por volume com suporte a HSM, gerenciadas pelo cliente.
- Camada de appliance: criptografia no nível de agregação de volume (NVE/NAE) realizada no appliance de armazenamento com chaves por locatário e com suporte de HSM, gerenciadas pelo cliente.
- Camada de disco: unidades de autocriptografia (SEDs) com chaves por unidade e com suporte de HSM, gerenciadas pelo IO.
- O armazenamento de objetos é criptografado em duas camadas
- Camada de bucket: criptografia de dados de objetos coordenada em hardware de computação dedicado ao locatário com chaves por bucket e com suporte de HSM, gerenciadas pelo cliente.
- Camada de disco: SEDs com chaves por unidade, protegidas por HSM e gerenciadas pelo IO.
- O armazenamento em disco do servidor, os dados de configuração do sistema para um único locatário, é criptografado em uma camada:
- Camada de disco: SEDs com chaves por unidade, protegidas por HSM e gerenciadas pelo cliente.
Dados em trânsito
Todo o tráfego do GDC é criptografado por padrão usando módulos criptográficos certificados pelo FIPS 140-2 e protocolos padrão do setor, como TLS 1.2+, HTTPS e túneis IPSec. Os clientes também precisam usar algoritmos criptografados na camada de aplicativo, com base no modelo de responsabilidade compartilhada, para garantir que os requisitos de criptografia sejam atendidos em todos os aplicativos implantados no GDC.
Identity and Access Management (IAM)
O acesso ao sistema é baseado no princípio de privilégio mínimo. Os usuários só têm acesso aos recursos de que precisam. Esse processo protege o sistema contra acesso não autorizado e uso indevido. Além disso, o sistema impõe a separação de responsabilidades, como a ausência de acesso unilateral. Ninguém tem controle total sobre um sistema ou processo. Esse processo ajuda a evitar fraudes e erros. O GDC pode ser integrado ao provedor de identidade atual dos clientes. O sistema é compatível com SAML 2.0 e OIDC para federação de IdP. Com esse suporte, os usuários podem autenticar os usuários no sistema usando o provedor de identidade atual para gerenciar usuários em um só lugar. Todos os usuários e cargas de trabalho são autenticados antes de acessar o sistema. O RBAC e o ABAC são usados para autorizar todo o acesso ao plano de controle e aos dados. Os usuários só podem acessar os recursos e realizar ações se estiverem autenticados e autorizados. Todos os acessos são registrados em auditoria, o que permite que os administradores rastreiem quem acessou um recurso e quando. Esse processo ajuda a identificar acessos não autorizados e uso indevido.
Operações de segurança
As operações de segurança (SecOps) do GDC oferecem garantia de informações para entidades com requisitos rigorosos de segurança, compliance e soberania, a fim de oferecer confidencialidade, integridade e disponibilidade operacionais máximas de cargas de trabalho regulamentadas com isolamento físico dos clientes. Essa arquitetura de segurança foi criada para atender aos seguintes objetivos:
- Correlacionar o registro da plataforma GDC para análise e resposta de segurança.
- Identifique, informe e acompanhe vulnerabilidades de segurança imediatamente.
- Proteja todos os recursos do OIC e do GDC com a detecção e resposta de endpoints (EDR).
- Fornecer ferramentas, processos e runbooks para permitir o monitoramento contínuo da central de operações de segurança (SecOps) para identificação, contenção, erradicação e recuperação de incidentes de segurança cibernética.
| Recurso | Descrição |
|---|---|
| Gerenciamento de eventos e informações de segurança | O Splunk Enterprise é uma plataforma de gerenciamento de eventos e informações de segurança (SIEM) que coleta, indexa e analisa dados de segurança de várias fontes para ajudar as organizações a detectar e responder a ameaças. |
| Gerenciamento de vulnerabilidades | O Tenable Security Center é uma plataforma de gerenciamento de vulnerabilidades que ajuda as organizações a identificar e corrigir vulnerabilidades de segurança. |
| Detecção e resposta de endpoint | Trellix HX, Windows Defender e ClamAV. Plataformas de segurança unificadas que oferecem às organizações uma visão abrangente da postura de segurança para detectar e responder a ameaças com mais eficácia. |
| Gerenciamento seguro de casos | Uma solução de software que permite às organizações gerenciar o ciclo de vida de incidentes de segurança. |
O GDC SecOps permite que os IOs ofereçam funções de operações de segurança. A equipe do GDC SecOps oferece processos orientados a pessoas, incluindo resposta a incidentes, gerenciamento de vulnerabilidades, engenharia de segurança e gerenciamento de riscos da cadeia de suprimentos. O GDC SecOps permite que uma central de operações de segurança (SOC) faça o seguinte:
| Capacidade | Descrição |
|---|---|
| Detecção | Nossa infraestrutura de segurança monitora constantemente possíveis ameaças e vulnerabilidades. Quando uma ameaça ou vulnerabilidade é detectada, a equipe de operações de segurança recebe um relatório imediatamente. |
| Triagem | A equipe de operações de segurança tria cada incidente para determinar a gravidade da ameaça e a resposta adequada. |
| Contenção | A equipe de operações de segurança toma medidas para conter a ameaça e impedir que ela se espalhe. |
| Investigação | A equipe de operações de segurança investiga o incidente para determinar a causa raiz e identificar possíveis falhas na nossa postura de segurança. |
| Resposta | A equipe de operações de segurança toma medidas para responder ao incidente e reduzir os danos causados. |
| Recuperação | A equipe de operações de segurança toma medidas para se recuperar do incidente e restaurar nossos sistemas e redes ao estado normal. |
Gerenciamento de vulnerabilidades
O GDC executa vários processos de identificação de vulnerabilidades no ambiente de pré-produção antes de qualquer lançamento para ficar por dentro de possíveis vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). O GDC também oferece verificação de vulnerabilidades no ambiente de produção para fins de monitoramento e geração de relatórios de rotina. Todas as descobertas no ambiente de produção são integradas aos processos de operações de segurança para rastrear e mitigar ameaças.
Resposta a incidentes de segurança
Quando vulnerabilidades são descobertas no código implantado no GDC ou ocorre um incidente no sistema, um conjunto de processos de resposta a incidentes está disponível e é executado pela IO e pela equipe de segurança do GDC para reduzir, criar e aplicar patches de segurança e se comunicar com as partes afetadas. Esse processo é semelhante ao padrão do Google, mas com modificações devido à natureza desconectada do GDC.
Para cada CVE ou incidente descoberto, um comandante de incidente (IC) é atribuído para executar o processo de resposta. O IC é responsável por gerenciar o processo, que inclui verificar e validar o incidente, atribuir à vulnerabilidade uma pontuação do Sistema de Pontuação de Vulnerabilidade Comum (CVSS), gerenciar o processo de criação e preparação de um patch para entrega e criar as comunicações adequadas.
Operações de confiabilidade
Esta seção apresenta uma visão geral das operações de confiabilidade do GDC.
Registrar e monitorar
O GDC vem com uma plataforma de observabilidade que oferece funcionalidades de monitoramento, geração de registros, rastreamento e relatórios para a plataforma, os serviços e as cargas de trabalho do GDC.
O subsistema de geração de registros ingere e agrega registros de todas as principais plataformas e serviços do GDC e cargas de trabalho dos clientes em um banco de dados de série temporal. Ele disponibiliza esses dados por meio de uma interface do usuário (UI) interativa e APIs.
Os eventos críticos de registro de auditoria incluem as seguintes áreas:
- Solicitações de autenticação e autorização de usuários.
- Geração e revogação de tokens de autenticação.
- Todos os acessos e mudanças administrativas.
- Todas as ações da API do plano de controle.
- Todos os eventos de segurança, incluindo SDI, IPS, firewall e antivírus.
Acesso imediato
O IO não tem acesso aos dados do cliente. No entanto, em situações de emergência, pode haver casos em que o IO precisa de acesso aos dados do cliente. Nesses casos, o GDC tem um conjunto de procedimentos de acesso de emergência que um PA usa para conceder acesso explícito ao IO para solução de problemas.
Todas as credenciais de breakglass são armazenadas off-line em um cofre ou criptografadas com chaves baseadas no HSM. O acesso a essas credenciais é um evento auditável que pode acionar alertas.
Por exemplo, em um caso em que a configuração do IAM foi corrompida e impede o acesso do usuário, o IO usa uma autenticação baseada em certificado SSH por estações de trabalho seguras e exige aprovação de várias partes para estabelecer o acesso. Todas as ações realizadas são rastreadas e podem ser auditadas. As chaves SSH mudam após um incidente de acesso de emergência.
Recuperação de desastres
O GDC vem com um sistema de backup que permite que os PAs criem e gerenciem políticas de backup para clusters, namespaces ou VMs. O sistema de backup contém os sistemas típicos para programação, execução de backups, restauração de dados e geração de relatórios.
Fazer upgrade e atualizar o sistema
Como o GDC é um ambiente isolado, o operador de infraestrutura processa todas as atualizações nos sistemas dos clientes. O Google assina e publica atualizações binárias em um local seguro para o IO fazer o download. O IO valida os binários e os move para o GDC para distribuição e implantação.
Esse sistema inclui todas as atualizações de software e firmware, incluindo atualizações do software GDC, do SO no nível do nó, de definições e assinaturas de antivírus e malware, do dispositivo de armazenamento e rede, do dispositivo e quaisquer outras atualizações binárias.
Gerenciamento de mudanças: infraestrutura como código
O GDC usa a infraestrutura como código (IaC) para automatizar o provisionamento e a implantação de configurações do GDC. A IaC separa as responsabilidades entre a equipe de operações de infraestrutura. Por exemplo, propor uma mudança de configuração em vez de autorizar a mudança para tornar todo o processo mais seguro. Com o GDC IAC, todas as mudanças de configuração são validadas por processos de aprovação e revisões de várias partes para garantir que apenas as configurações autorizadas sejam implantadas. Essas revisões criam um processo transparente e auditável, melhoram a consistência das mudanças e reduzem o desvio de configuração.
Processos de compliance
O GDC está pronto para a conformidade com regimes comuns, como NIST 800-53, SOC 2 e certificações de ajuda, como FIPS 140-2 e 3. O GDC também passa por vários processos de certificação e atende aos padrões de segurança do Google. A conformidade é um processo contínuo. Para ajudar clientes e operadores nessa jornada, o GDC oferece monitoramento e testes contínuos. Como parte das práticas de segurança para o processo de monitoramento contínuo, o GDC rastreia mudanças no inventário, como software e hardware desconhecidos ou a adição de novos softwares ou hardwares. O GDC realiza testes de penetração regulares simulando ataques de agentes maliciosos. O GDC verifica periodicamente os sistemas em busca de malware e alerta o GDC sobre infecções. O processo de teste de recuperação de desastres testa a capacidade do GDC de se recuperar de uma situação que envolve um desastre. Esses processos garantem a segurança dos dados e sistemas do GDC.