本文上次更新於 2024 年 5 月,內容反映截至撰文時的情況。我們會持續改善保護客戶的方式,因此 Google 的安全性政策和系統未來可能會改變。
本文概略說明您在 Google Cloud刪除客戶資料時,系統會進行的安全程序。如《Google Cloud 服務條款》所定義,「客戶資料」是指客戶或使用者透過帳戶下的服務提供給 Google 的資料。
本文說明客戶資料在 Google Cloud的儲存方式、刪除管道,以及如何避免儲存在平台上的資料遭到他人修復重建。
如要瞭解我們對資料刪除作業的承諾,請參閱《Cloud 資料處理附加條款 (客戶)》。
資料儲存與複製
Google Cloud 提供儲存服務和資料庫服務,例如 Bigtable 和 Spanner。大多數 Google Cloud 應用程式和服務都是透過這些雲端服務,間接存取 Google 的儲存基礎架構。
資料複製是實現低延遲、高可用性、可擴充且耐用解決方案的關鍵。視您的設定和專案需求而定,您可以在本機、區域甚至全球層級儲存客戶資料的備援複本。在 Google Cloud 中針對資料所採取的動作,可以同時複製到數個資料中心內,因此客戶資料會具有高度可用性。當硬體、軟體或網路環境發生了嚴重影響效能的變動時,系統會依據客戶的設定,自動將客戶資料移轉至其他系統或設施。如此一來,客戶的專案就能繼續維持大規模運行,不受干擾。
在實體儲存層中,客戶資料會以靜態儲存的方式存於兩種類型的系統中:使用中的儲存系統和備份儲存系統。這兩種系統處理資料的方式並不相同,使用中的儲存系統是Google Cloud的實際運作伺服器,用以執行 Google 應用程式和儲存層。使用中系統是由磁碟和硬碟組成的大規模陣列,既會用來寫入新資料,也會將資料儲存在多個備用複本內,並從中擷取資料。使用中的儲存系統經過最佳化處理,最適合針對客戶資料執行迅速且大規模的即時讀取/寫入作業。
Google 的備份儲存系統會在設定期間內存放 Google 使用中系統的完整和增量複本,讓 Google 得以在遇到災難性斷電或天災意外時復原資料和系統。與使用中的系統不同的是,備份系統是用來接收 Google 系統的定期快照,備份複本僅會在一段有限的時間內存在,新備份複本產生後即會淘汰。
在上述的儲存系統中,客戶資料在靜態儲存時即會進行加密。詳情請參閱預設靜態加密。
資料刪除管道
客戶資料儲存在 Google Cloud後,系統會安全地儲存資料,直到資料刪除管道完成各階段程序為止。本節將說明刪除階段。
第 1 階段:刪除要求
當您提出刪除要求,系統就會開始刪除客戶資料。一般而言,刪除要求針對的是特定資源、Google Cloud 專案或您的 Google 帳戶。根據要求範圍,可能有不同處理方式:
- 資源刪除:您可以透過 Google Cloud 控制台或 API,以多種方式刪除含有客戶資料的個別資源,例如 Cloud Storage 值區。舉例來說,您可以發出「remove bucket」或「
gcloud storage rm」指令,透過指令列刪除儲存空間 bucket,也可以選取儲存空間 bucket,然後從 Google Cloud 主控台刪除。 - 專案刪除:如果您是 Google Cloud 專案擁有者,就可關閉專案。刪除專案即是大批刪除與對應專案編號相連的所有資源。
- 刪除 Google 帳戶:刪除所有與機構無關,只屬於您的專案。如果非機構專案有多位擁有者,除非所有擁有者都從專案中移除,或是刪除自己的 Google 帳戶,否則專案不會刪除。此程序可確保專案只要有擁有者,就能繼續執行。
- 刪除 Google Workspace 或 Cloud Identity 帳戶: 如果機構與 Google Workspace 或 Cloud Identity 帳戶繫結, 刪除 Google Workspace 或 Cloud Identity 帳戶時,機構也會一併刪除。詳情請參閱「刪除貴機構的 Google 帳戶」。
您主要使用刪除要求來管理資料。不過,Google 可能會自動發出刪除要求,例如您終止與 Google 的關係時。
第 2 階段:虛刪除
軟性刪除是程序中的一種環節,用以提供短暫的內部暫存期和還原期,確保系統有時間復原因意外或出錯而標示為要刪除的資料。只要符合 Google 整體的刪除時程,個別 Google Cloud 產品可在資料從基礎儲存系統刪除前,採用並設定這類經過定義的復原期。
刪除專案時,Google Cloud 會先找出專屬專案編號,然後對含有該專案編號的 Google Cloud 產品 (例如 Compute Engine 和 Bigtable) 播送停權訊號。在這種情況下,Compute Engine 會停止對該專案號碼的作業,且 Bigtable 內相關的資料表會進入長達 30 天的內部復原期。在復原期快結束的時候,Google Cloud 會對相同的產品播送訊號,開始對專案專屬的 project_number 相連資源進行邏輯刪除作業。然後 Google 會等待 (如果需要的話,再次播送訊號) 以便收集來自適用產品的確認訊號 (ACK),以完成專案刪除作業。
當 Google 帳戶關閉時,視帳戶先前的活動而定, Google Cloud 可能會設下最長達 30 天的內部復原期。寬限期結束後,系統會將含有已刪除帳單帳戶使用者 ID 的訊號播送給 Google 產品,並將只與該使用者 ID 相關聯的 Google Cloud 資源標示為刪除。
第 3 階段:使用中系統的邏輯刪除作業
將資料標示為待刪除,且復原期也全數到期後,資料就會從 Google 使用中的儲存系統與備份儲存系統中相繼刪除。在使用中的系統內,會以兩種方式刪除資料。
在「運算」、「儲存」和「資料庫」專案類別的所有產品中 (Cloud Storage 除外),系統會將已刪除資料的副本標示為可用儲存空間,並隨著時間演進而進行覆寫。 Google Cloud 在 Bigtable 等使用中的儲存系統中,刪除的資料會以大量結構化資料表內的項目形式儲存。壓縮現有資料表來覆寫刪除資料的成本可能會過於高昂,因為系統需要重新寫入現存 (非刪除) 的資料表,所以系統會安排定期收集標示清除的垃圾資料及進行主要壓縮事件的時間,以便收回儲存空間,並對已刪除的資料進行覆寫。
在 Cloud Storage 中,也會透過加密編譯清除的方式來刪除客戶資料。此為業界標準技術做法,將解密資料所需的加密金鑰刪除,讓資料轉變為無法讀取的狀態。使用加密編譯清除法的一大優點在於,不論資料的加密金鑰是由 Google 提供或是客戶自己提供,在Google Cloud使用中和備份儲存系統內所有刪除的資料區覆寫完畢之前,甚至就能先完成邏輯刪除作業。
第 4 階段:備份系統的到期時間
Google 備份系統對已刪除資料的清除方式,與 Google 使用中系統大致相同,兩者均採用覆寫和加密編譯技術。不過,在備份系統中,客戶資料通常會儲存在大型的匯總快照中,這些快照會保留一段時間,以確保發生災害 (例如影響整個資料中心的停機事件) 時,業務能持續運作。此時,可能需要花費時間和金錢,從備份系統完整還原系統。為了延續合理的業務持續性做法,使用中的系統會依照每日、每週及每月的週期產生完整快照和增量快照,並在預先定義的期間過後淘汰舊版快照,挪出空間儲存最新的快照。
備份資料在淘汰後,會標示為可用空間,並在執行每日、每週或每月的新備份時覆寫資料。
請注意,任何合理程度的備份週期,都會在傳遞資料刪除要求時,透過備份系統施加預先定義的延遲時間。客戶資料從使用中的系統刪除後,就不會再複製到備份系統上。在刪除前所做的備份,會按照預先定義的備份週期定時到期。
最後一點是,在含有客戶資料的備份到期之前,可能會先以加密編譯的方式清除已刪除的資料。若缺少用來加密特定客戶資料的加密金鑰,客戶資料在 Google 備份系統上就算仍有效期,也無法復原。
刪除時間表
Google Cloud 所提供的服務極度快速、高度可用又具備耐久和一致性。系統設計必須兼顧這些效能特性,同時滿足及時刪除資料的需求。 Google Cloud 承諾,最久不超過 6 個月 (180 天) 時間,一定會刪除客戶資料。這項承諾涵蓋上述的 Google 刪除管道階段,包括:
- 第 2 階段:刪除要求提出後,資料通常會立即標示為刪除,我們的目標是在最久不超過 24 小時的時間內執行這個步驟。在標示完待刪除的資料後,系統可能會套用最久 30 天的內部復原期,確切時間長短視服務或刪除要求而定。
- 第 3 階段:在使用中的系統完成垃圾資料收集工作,並達成邏輯刪除狀態所需的時間。系統接收到刪除要求後,可能會立即啟動這些程序,端看資料複製的層級和進行中的垃圾收集週期時間而定。提出刪除要求後,通常需要兩個月的時間,才能從使用中的系統刪除資料。一般而言,這段時間足以完成兩次主要垃圾收集週期,並確保得以完成邏輯刪除作業。
- 第 4 階段:Google 備份週期的設計是在刪除要求提出後的六個月內,將資料中心備份中的已刪除資料淘汰。視資料複製的層級和 Google 的進行中備份週期時間點而定,刪除作業可能會更快執行。
下圖顯示 Google Cloud刪除管道的各個階段,以及資料從使用中和備份系統中清除的時間。
確保媒體清理作業安全無虞
嚴格的媒體清理計畫可加強刪除程序的安全性,避免實體儲存媒體在生命週期結束後,遭受鑑識級或實驗室等級的惡意攻擊。
在 Google 的資料中心內,會謹慎追蹤每台儲存設備的位置和狀態,涵蓋收購、安裝、淘汰和銷毀等階段,Google 資產資料庫會追蹤設備的條碼和資產標記,藉此加以管理。我們運用各式各樣的技術,包括生物特徵辨識技術、金屬探測器、監視攝影機、實體路障和雷射入侵偵測系統等,預防設備在未獲授權的情況下,遭人移出資料中心。詳情請參閱 Google 基礎架構安全性設計總覽。
實體儲存媒體可能會因為幾種原因而停用。如果某個元件在生命週期的任一環節未通過效能測試,我們就會將其從庫存清單中移除並淘汰。Google 也會將過時的硬體升級,以改善處理速度和能源效率,或是增加儲存容量。不論硬體是否因為故障、升級或其他原因而停用,停用儲存媒體時,都會採取適當的保護措施。Google 硬碟會使用全磁碟加密 (FDE) 和硬碟鎖定等技術,在停用期間保護靜態資料。淘汰硬碟時,經授權的個別使用者需確認已使用零值覆寫磁碟內容,將資訊清除完畢,並執行多重步驟的驗證程序,以確保硬碟內已無資料。
如果儲存媒體因為某些問題而無法清除內容,我們會妥善存放硬碟,直到可供實體銷毀時再進行作業。屆時會依據可用的設備而定,將硬碟摧毀或搗毀成碎片。無論是何種情況,磁碟都會回收至安全的設施中,確保沒有人能從淘汰的 Google 磁碟讀取資料。各資料中心均需遵守嚴格的資料處置政策,並使用上述手法來遵循以下規範:美國國家標準暨技術研究院特別刊物 (NIST SP) 800-88 修訂版 1《Guidelines for Media Sanitization》(媒體清理規範) 和 美國國防部 (DoD) 5220.22-M《National Industrial Security Program Operating Manual》(國家工業安全計畫操作手冊)。