Google 如何保護資料中心的實體空間和邏輯空間

本文上次更新於 2024 年 5 月,內容反映截至撰文時的情況。我們會持續改善保護客戶的方式,因此 Google 的安全性政策和系統未來可能會改變。

每個 Google 資料中心都是由機器、網路裝置和控制系統組成的大型多元環境。資料中心是工業綜合體,需要各種角色和技能來管理、維護及運作。

在這些複雜的環境中,我們最重視的是您的資料安全。 Google 會在機器上實作六層實體控制項 (影片),以及許多邏輯控制項。我們也會持續模擬控制項失效或未套用的威脅情境。

部分威脅情境會模擬內部風險,並假設攻擊者已合法存取資料中心樓層。這些情境揭示了實體和邏輯控制措施之間的空間,同樣需要縱深防禦。這個空間定義為「從機架中的機器到機器的執行階段環境,以手臂長度為單位」,稱為「實體到邏輯空間」

實體到邏輯空間類似於手機周圍的實體環境。即使手機已鎖定,也只允許有正當理由的人實際存取手機。Google 對於儲存您資料的機器,也採取相同做法。

實體到邏輯控制項摘要

在實體到邏輯空間內,Google 會使用三種控管機制,共同運作:

  • 硬體強化:減少每部機器的實體存取路徑 (又稱攻擊面),方法如下:
    • 盡量減少實體存取向量,例如連接埠。
    • 在韌體層級鎖定其餘路徑,包括基本輸入/輸出系統 (BIOS)、任何管理控制器和周邊裝置。
  • 偵測異常事件:實體到邏輯控制項偵測到異常事件時,系統會產生快訊。
  • 系統自我防禦:辨識實體環境的變化,並採取防禦措施來應對威脅。

這些控制項可共同提供深度防禦機制,因應實體到邏輯空間中發生的安全事件。下圖顯示安全機架外殼上啟用的所有三項控制項。

安全機架外殼上啟用的三個控制項。

硬體強化

硬體強化有助於減少實體攻擊面,盡量降低殘餘風險。

傳統企業資料中心採用開放式平面圖,一排排機架之間沒有任何阻隔,因此機架前面板與資料中心機房內的人員之間沒有任何阻隔。這類資料中心可能有多個外部連接埠 (例如 USB-A、Micro-USB 或 RJ-45) 的機器,增加攻擊風險。只要能實際進入資料中心樓層,就能輕易存取可移除式儲存裝置,或將含有惡意軟體的 USB 隨身碟插入外露的前面板連接埠。Google 資料中心採用硬體強化做為基礎控管措施,協助降低這些風險。

硬體強化是指機架及其機器上的一系列預防措施,可盡可能減少實體攻擊面。電腦的強化措施包括:

  • 移除或停用公開的連接埠,並在韌體層級鎖定其餘連接埠。
  • 使用高精準度竄改偵測訊號監控儲存媒體。
  • 加密靜態資料
  • 如果硬體支援裝置認證,請使用這項功能,防止未經授權的裝置部署到執行階段環境。

在特定情況下,為確保沒有人員能實際存取機器,Google 也會安裝安全機架外殼,防止或阻止竄改行為。安全機架外殼可立即阻擋路人,還能觸發警報並通知安全人員。搭配先前討論的機器補救措施,外殼可為實體到邏輯空間提供強大的保護層。

下圖顯示從完全開放式機架到安全機架外殼的演進過程,並說明如何全面強化硬體。

  • 下圖顯示沒有硬體強化的機架:

    沒有硬體強化的機架。

  • 下圖顯示機架,其中包含一些硬體強化措施:

    機架,並進行部分硬體強化。

  • 下圖顯示機架正面和背面,硬體已完全強化:

    機架正反面,硬體全面強化。

異常事件偵測

異常事件偵測功能可讓安全人員瞭解機器何時發生異常事件。

在整個產業中,組織可能需要數月或數年才能發現安全漏洞,而且通常是在發生重大損害或損失後才發現。如果數百萬部生產機器產生大量記錄和遙測資料,您可能無法從中找出關鍵的入侵指標 (IoC)。不過,Google 會使用多個資料串流,協助即時識別潛在的實體到邏輯安全事件。這項控管措施稱為「異常事件偵測」

現代機器會監控並記錄實體狀態,以及實體到邏輯空間中發生的事件。機器會透過無所不在的自動化系統軟體接收這項資訊。這類軟體可能在機器內的微型電腦上執行 (稱為基板管理控制器 (BMC)),或是做為作業系統 Daemon 的一部分執行。這項軟體會回報重要事件,例如登入嘗試、插入實體裝置,以及感應器警報 (例如外殼防竄改感應器)。

對於具有硬體信任根的機器,異常事件偵測信號會變得更強大。硬體信任根可讓系統軟體 (例如 BMC 韌體) 證明已安全啟動。因此,Google 偵測系統對回報事件的有效性更有信心。如要進一步瞭解獨立信任根,請參閱「分散式機器的遠端認證」。

系統自我防禦

系統自我防禦功能可讓系統立即採取防禦措施,回應潛在的安全性問題。

部分威脅情境假設實體到邏輯空間的攻擊者可以破解「硬體強化」一節討論的實體存取措施。這類攻擊者可能以使用者資料或在電腦上執行的機密程序為目標。

為降低這項風險,Google 實施了系統自我防禦機制,可針對任何潛在入侵行為立即做出果斷回應。這項控制項會使用實體環境的遙測資料,在邏輯環境中執行動作。

大多數大規模生產環境在一個機架中有多部實體機器。每部實體機器都會執行多個工作負載,例如虛擬機器 (VM) 或 Kubernetes 容器。每個 VM 都會使用專屬記憶體和儲存空間,執行自己的作業系統。

為判斷哪些工作負載會受到安全事件影響,Google 會彙整硬體強化控制項和異常事件偵測的遙測資料。接著,我們會將資料相互關聯,產生一小組高風險事件,並要求立即採取行動。舉例來說,安全機架門警報和機器底盤開啟信號的組合可能構成高風險事件。

Google 偵測到這類事件時,系統會立即採取行動:

  • 公開的工作負載可以立即終止機密服務,並清除所有機密資料。
  • 網路架構可以隔離受影響的機架。
  • 視情況而定,受影響的工作負載可以在其他機器,甚至是資料中心重新排程。

由於系統具備自我防禦控制機制,即使攻擊者成功取得機器的實體存取權,也無法擷取任何資料,且無法在環境中橫向移動。

後續步驟