下载 PDF 版本
简介
长久以来,各类组织总是试图通过公有云来节省费用,或者增强私有数据中心的性能。不过,组织现已重点关注公有云的安全,意识到供应商可以加大在人员和流程上的投入,以提供安全的基础架构。
作为云服务先驱,Google 完全了解这种云端模型的安全隐患。我们的云服务旨在提供比许多传统本地解决方案更出众的安全性。我们将安全作为保护我们自身运营的头等要务,由于 Google 在与我们为客户提供的相同基础架构上运行,因此您的组织可以直接受益于这些保护措施。也正因如此,我们高度重视安全,并将数据保护纳入我们的主要设计标准之一。安全推动着我们的组织结构、培训优先事项和招聘流程的发展,决定着我们数据中心的结构和所采用的技术,也是我们日常运营和灾难规划的核心,包括我们应对威胁的方式。同时,安全也是我们在处理客户数据过程中的首要任务,我们的帐号控制、合规性审核以及我们为客户提供的证书都基于此。
本白皮书概述了 Google 为 Google Cloud 采取的安全性和合规性措施。Google Cloud 是我们的一套公有云产品和服务。本白皮书重点强调安全性,其中详细说明了与 Google 如何保护客户数据相关的组织和技术控制。如需深入了解合规性以及如何满足监管要求,请点击此处。
Google 的安全文化
Google 为所有员工创造了充满活力且包容的安全文化。 这种文化对招聘过程、员工入职、持续培训以及公司范围内意识提升活动的影响显而易见。
员工背景调查
在员工加入之前,Google 会验证个人的教育背景和既往工作经历,并执行内部和外部证明人调查。如果当地劳动法或法律法规允许,Google 还可能进行刑事、信用、移民和安全检查。上述背景调查的范围由待入职员工的目标职位所决定。
针对所有员工的安全培训
所有 Google 员工入职时都将接受安全培训,且在整个 Google 职业生涯中需要接受持续的安全培训。 入职培训时,新员工需要同意我们的行为准则,其中着重强调我们确保客户信息安全无虞的郑重承诺。根据新员工职位的不同,可能需要接受针对安全特定方面的额外培训。 例如,信息安全团队会就安全编码做法、产品设计和自动化漏洞测试工具等主题指导新工程师。工程师还需要参加安全相关主题的技术演示,并会收到涵盖新威胁、攻击模式、缓解措施等主题的安全简报。
内部安全和隐私活动
Google 会定期召开面向所有员工的内部会议,以提高安全和数据隐私方面的意识,并推动相关创新。 安全和隐私是一个不断发展的领域,Google 坚信员工的全力参与是提高意识的关键手段。例如在“隐私周”期间,Google 会于全球办事处举办活动,以提高从软件开发、数据处理和政策执行到实践我们隐私原则等各方面的隐私意识。此外,Google 还定期举办“技术会谈”,经常探讨安全和隐私相关主题。
我们的专门安全团队
Google 的软件工程和运营部门聘请了许多安全和隐私专业人士,其中不乏信息、应用和网络安全领域的全球顶尖专家。此团队负责维护我们的防御系统、制定安全审查流程、构建安全基础架构,以及实施 Google 的安全政策。Google 专门的安全团队采用商用和自定义工具、渗透测试、质量保证 (QA) 措施以及软件安全审核来主动扫描安全威胁。
在 Google,信息安全团队的成员负责审核所有网络、系统和服务的安全计划。他们为 Google 的产品和工程团队提供针对具体项目的咨询服务。此外,他们还负责监控 Google 网络上的可疑活动,应对信息安全威胁,执行日常安全评估和审核,并聘请外部专家进行定期安全评估。我们还专门组建了名为 Project Zero 的全职团队,致力于向软件供应商报告错误,并将其归档到外部数据库,以防范定向攻击。
除了服务于选择 Google 解决方案的用户,安全团队还参与研究和拓展活动,为广大的互联网用户社群提供保护。研究活动示例包括 POODLE SSL 3.0 漏洞和加密套件漏洞的发现。安全团队还发表了相关安全研究论文,以供公众使用。同时,还会组织和参与开源项目与学术会议。
我们专门的隐私权团队
Google 隐私团队与产品开发和安全组织分开运营,但通过审核设计文档和执行代码审核来参与每款 Google 产品的发布,以确保遵循隐私要求。该团队协助发布符合强大隐私标准的产品,即实施透明的用户数据收集,为用户和管理员提供实用的隐私配置选项,同时为我们平台上存储的所有信息提供一如既往的卓越保护。产品发布后,隐私团队会监督审核数据流量的自动化流程,以验证数据使用是否存在异常。此外,隐私团队还会开展研究,为我们的新兴技术提供隐私理想做法方面的思想领导力。
内部审核和合规性专家
Google 拥有一支专门内部审核团队,负责审核全球各地安全法律法规的遵从情况。随着新审核标准的创建,内部审核团队会确定需要提供哪些控制、流程和系统来满足这些标准。该团队还负责协助并支持第三方的独立审核和评估。
与安全研究社区的协作
长期以来,Google 一直与安全研究社区保持着密切关系,并格外重视他们在识别 Google Cloud 和其他 Google 产品中漏洞方面的贡献。我们的漏洞奖励计划鼓励研究人员向我们报告可能会让客户数据面临风险的设计问题和实现问题,奖励金额达数万美元。例如,在 Chrome 中,我们会针对恶意软件和网上诱骗向用户发出警告,并为发现安全漏洞的用户提供奖励。
Google 与安全研究社区展开有力协作,已修复 700 多个 Chrome 安全错误,并提供超过 125 万美元的奖励,且我们各种漏洞奖励计划提供的奖励已超过 200 万美元。我们公开向这些用户致谢,并将他们列为我们产品和服务的贡献者。
运营安全
安全并非事后教训或临时计划重心,而是我们运营中不可或缺的一部分。
漏洞管理
Google 实施了漏洞管理流程,结合使用商业化工具和内部专门构建的工具来扫描软件漏洞,并通过自动和手动渗透工作、质量保证流程、软件安全审查和外部审核来确保软件的安全性。漏洞管理团队负责跟踪和跟进漏洞。确定了需要修复的漏洞之后,便会记录漏洞,并根据严重程度确定优先级,然后为其分配所有者。漏洞管理团队会跟踪此类问题,并经常跟进,直至确认问题已得到修复。另外,Google 还与安全研究社区的成员保持良好关系,全力跟踪 Google 服务和开源工具中报告的问题。有关报告安全问题的更多信息,请访问 Google 应用安全性。
阻止恶意软件
恶意软件的有效攻击可能导致帐号泄露、数据遭窃以及对网络的潜在额外访问。Google 非常重视会危及其网络及客户的上述威胁,并使用各种方法来预防、检测和彻底清除恶意软件。每一天,Google 全力保护数千万用户免受伤害,倘若 Google Chrome、Mozilla Firefox 和 Apple Safari 浏览器用户试图导航的网站将窃取用户个人信息或安装旨在恶意控制用户计算机的软件,Google 便会向相应用户发送警告。恶意软件网站或电子邮件附件会在用户的计算机上安装恶意软件,以窃取私人信息,执行身份盗用,或攻击其他计算机。当用户访问这些网站时,这些软件就会在用户不知情的情况下自动下载并安装到用户的计算机上,从而控制用户的计算机。Google 的恶意软件防护战略第一步是感染预防,即使用手动和自动扫描程序来全面搜索 Google 的搜索索引,寻找可能被恶意软件或网上诱骗用作工具的网站。约 10 亿人定期使用 Google 的安全浏览功能。 Google 的安全浏览技术每天都会检查数十亿个网址,全力找出不安全的网站。我们每天都会新发现数以千计的不安全网站,其中很多皆为遭到入侵的合法网站。当我们检测到不安全的网站时,会在 Google 搜索和网络浏览器中显示警告。除了我们的安全浏览解决方案,Google 还运行免费在线服务 VirusTotal,全面分析文件和网址,通过防病毒引擎和网站扫描程序来识别病毒、蠕虫、特洛伊木马及其他类型的恶意内容。VirusTotal 的使命是开发免费工具和服务,帮助改进防病毒和安全行业,进而提升互联网的安全性。
Google 利用 Gmail、云端硬盘、服务器和工作站中的多个防病毒引擎来帮助识别防病毒签名可能会遗漏的恶意软件。
监控
Google 的安全监控计划侧重于从内部网络流量、系统中员工操作以及外部漏洞知识所收集的信息。我们会针对全球网络的多个点,检查内部流量是否存在可疑行为,例如是否存在可能代表僵尸网络连接的流量。此分析同时使用开源和商业工具进行流量捕获和解析。基于 Google 技术构建的专有关联系统也会为此分析提供支持。通过检查系统日志来识别异常行为,例如对客户数据的尝试访问,以此作为对网络分析的补充。Google 安全工程师会在公共数据存储库中置入常规搜索提醒,以查找可能影响公司基础架构的安全事件。这些提醒会主动审核入站安全报告,并监控公共邮寄名单、博客文章和 Wiki。自动网络分析会帮助确定何时可能存在未知威胁,并上报给 Google 安全员工,然后通过系统日志自动分析来补充网络分析。
事件管理
对可能影响系统或数据机密性、完整性或可用性的安全事件,我们一律执行严格的事件管理流程。事件发生后,安全团队会记录该事件,并根据其严重程度确定其优先级。直接影响客户的事件将被分配最高优先级。此流程将指定操作流程,以及通知、上报、缓解和记录等各个环节的程序。Google 的安全事件管理计划围绕着 NIST 事件处理指南 (NIST SP 800–61) 而设计。主要员工会接受取证和证据处理培训,为事件发生做好准备,包括使用第三方和专有工具。针对关键区域,例如存储敏感客户信息的系统,我们还将执行突发事件响应计划测试。这些测试会考虑各种场景,包括内部威胁和软件漏洞。为确保迅速解决安全事件,Google 安全团队全天候为所有员工提供服务。如果事件涉及客户数据,Google 或其合作伙伴将通过我们的支持团队通知客户,并配合调查工作。我们在白皮书中概述了 Google 的端到端数据突发事件响应流程。
以安全为核心的技术
对于 Cloud Platform 运行的技术平台而言,其构思、设计和构建均以实现安全操作为宗旨。Google 是硬件、软件、网络和系统管理技术方面的创新者。我们针对服务器、专有操作系统和分布于不同地理位置的数据中心进行了专门的设计。我们通过使用“深度防御”原则,创建了比传统技术更安全、更易于管理的 IT 基础架构。
先进的数据中心
对数据安全和保护的高度重视,是 Google 的主要设计标准之一。 Google 数据中心物理安全功能采用分层安全模式,包括经过专门设计的电子门禁卡、警报系统、车辆进出路障、围栏、金属探测器和生物识别技术等安保措施。数据中心楼层则布设了激光入侵检测设备。高分辨率的内外摄像头全天候监控着我们的数据中心,全面检测和追踪入侵者。如果有事件发生,我们可以检查进出日志、活动记录以及监控录像。同时,数据中心还安排了经验丰富的安保人员例行巡逻,他们均接受过严格的背景调查和训练。距离数据中心越近,安全措施也会相应增加。要进出数据中心楼层,只能通过使用安全标志和生物识别技术实现多重访问权限控制的安全走廊。只有担任特定职位并获得批准的员工才可进入。 只有不到 1% 的 Google 员工会踏足我们的数据中心。
为我们的数据中心供电
为实现全天候运行,并确保不间断服务,Google 的数据中心提供冗余供电系统和环境控制功能。每个关键部件都配备一个主电源和备用电源,且每个电源均具有相同的功率。柴油备用发电机可以提供足够的应急电力,以支持各数据中心满负荷运行。冷却系统可维持服务器及其他硬件的恒定工作温度,从而降低服务中断的风险。火灾探测和消防设备有助于防止硬件损坏。热、火灾和烟雾探测器会在受影响的区域、安全操作控制台和远程监控台触发声音和可视警报。
对环境的影响
Google 精心设计和构建自己的设施,以期减轻运营数据中心对环境的影响。我们安装了智能温度控制装置,使用“自然冷却”技术(例如利用外部空气或循环水进行冷却),并且重新设计电力的分配方式,以减少不必要的能源损失。为了衡量改进,我们使用综合效率测量来计算任何设施的性能。我们的各大数据中心均符合较高的环境、工作场所安全和能源管理标准,并获得了相关外部认证,这在主要互联网服务公司中当属第一。 具体而言,我们获得了 ISO 50001 自愿认证,同时我们自己的协议更超出了标准要求。
服务器定制硬件和软件
Google 的数据中心配备我们自行设计和制造的专用定制节能服务器和网络设备。与多数商用硬件不同,Google 服务器没有配备显卡、芯片组或外围设备连接器等可能引入漏洞的非必要组件。我们的生产服务器运行基于精简版强化型 Linux 的定制操作系统。Google 的服务器及其操作系统仅用于提供 Google 服务。服务器资源采用动态分配方式,可实现灵活扩展,并具备快速高效的适应能力,还能够根据客户需求而添加或重新分配资源。这种同构环境采用专有软件予以维护,由其持续监控系统中的二进制修改。如果发现修改与标准 Google 映像不同,系统将自动返回其官方状态。这些自动化、自我修复机制旨在协助 Google 监控和修复不稳定事件,接收关于事件的通知,并减缓网络中潜在的入侵速度。
硬件跟踪和处理
借助条形码和资产标签,Google 可精确地跟踪数据中心内所有设备在获取、安装、停用和销毁各环节的位置和状态。我们还安装了金属探测器和视频监控,以确保设备在未经授权的情况下无法被带出数据中心楼层。如果某个组件在其生命周期中的任何时间点均未通过性能测试,则会从库存中删除该组件并停用。Google 硬盘利用全盘加密 (FDE) 和驱动器锁定等技术来保护静态数据。硬盘停用后,获得授权的人员会将零写入该硬盘并执行多步验证流程以确保该硬盘不包含任何数据,从而核实磁盘已经清空。如果因故无法清空驱动器,我们会以安全方式存储该驱动器,直至可以物理销毁为止。磁盘的物理销毁是一个多阶段过程。首先使用破碎机令硬盘变形,接着使用粉粹机将硬盘粉碎,最后在安全设施中回收这些碎片。每个数据中心都遵守严格的处置政策,如有任何差错,均会立即妥善解决。我们在白皮书中概述了 Google 的端到端数据删除流程。
具有独特安全优势的全球网络
Google 的 IP 数据网络由我们自有光纤、公共光纤和海底电缆所组成。这使我们能够在全球范围内提供高可用性和低延迟的服务。
在其他云服务和本地解决方案中,必须在公共互联网上的设备之间多次传送客户数据,该传送过程称之为“跃迁”。 跃迁次数取决于客户 ISP 与解决方案数据中心之间的距离。每次额外的跃迁都会增加数据被攻击或被拦截的可能性。Google 的全球网络与全球大多数 ISP 相连,可限制在公共互联网中的跃迁次数,以提升传输过程中的数据安全性。
深度防御描述了保护 Google 网络免受外部攻击的多层防御。只有符合我们安全要求的授权服务和协议可以畅通无阻;其他任何内容都将被自动丢弃。行业标准防火墙和访问权限控制列表 (ACL) 可用于强制实施网络隔离。所有流量都通过自定义 Google 前端 (GFE) 服务器进行路由,以检测并阻止恶意请求和分布式拒绝服务 (DDoS) 攻击。此外,GFE 服务器只能在内部与一系列受控制的服务器通信,此“默认拒绝”配置可阻止 GFE 服务器访问非计划的资源。我们将定期检查日志,以便发现编程错误被利用的任何情况。仅授权员工可访问联网设备。
确保传输中的数据安全无虞
数据在通过互联网或在网络内传送时容易遭到未经授权的访问。因此,保护传输中的数据是 Google 的首要任务之一。之前提及的 Google 前端 (GFE) 服务器支持 TLS 等强大加密协议,以保护客户设备与 Google 网络服务和 API 之间的连接。借助 Cloud Load Balancer,云端客户可以将该加密技术应用于 Google Cloud Platform 上运行的服务。Google Cloud Platform 还为客户提供其他传输加密选项,包括用于建立 IPSec 虚拟专用网的 Cloud VPN。我们的传输加密白皮书和应用层传输安全白皮书更深入地介绍了本主题。
低延迟和高可用性解决方案
Google 设计的平台组件具有高度的冗余性。这种冗余适用于我们的服务器设计、我们存储数据的方式、网络和互联网连接以及软件服务本身。这种“一切的冗余”包括按设计处理错误,并能创建不依赖于单一服务器、数据中心或网络连接的解决方案。 Google 的数据中心分布于不同的地理位置,可尽量降低自然灾害、局部地区停电等区域性中断对全球产品的影响。一旦发生硬件、软件或网络故障,平台服务和控制平面会自动而及时地在不同设施之间切换,进而避免平台服务中断,并确保持续运营。 Google 具有高度冗余性的基础架构还可帮助客户避免数据损失。能够跨区域和跨地区创建与部署 Google Cloud Platform 资源。允许客户构建灵活且高度可用的系统。
借助于具有高度冗余性的设计,Google 让 Gmail 在过去几年间的正常运行时间达到 99.984%,并且没有任何计划内停机时间。简而言之,当 Google 需要维护或升级平台时,用户并不会遭遇停机或维护时段。
服务的可用性
在某些司法管辖区中,部分 Google 服务可能无法提供。由于网络中断而导致的中断通常较为短暂,但因政府强制屏蔽而导致的中断则属永久性。Google 的透明度报告还显示了 Google 产品最近出现和持续存在的流量中断问题。我们提供此数据,帮助公众分析和了解在线信息的可用性。
独立的第三方认证
Google Cloud 提供多项第三方认证。如需了解详情,请点击此处。
数据使用情况
我们的理念
Google Cloud 客户的数据归其各自所有,而非 Google 所有。客户存储在我们系统中的数据由客户各自所有,我们不会出于投放广告的目的而扫描该数据,也不会将其出售给第三方。我们会向客户提供适用于 GCP 和 G Suite 的详细数据处理修正条款,二者均说明了我们全力保护客户数据的郑重承诺。修正条款声明,除非为了履行合同义务,否则 Google 不会出于其他任何原因而处理数据。此外,如果客户删除其数据,我们承诺在 180 天内将这些数据从我们的系统中删除。最后,我们会向客户提供相应工具,便于客户在停用我们服务后轻松获取其数据,而不会受到 Google 的罚款或产生额外费用。如需详细了解 Google Cloud 的理念和对客户的承诺,请参阅我们的信任原则。
数据访问权限和限制
管理员权限
为确保数据的私密性和安全性,Google 在逻辑上将每个客户的数据与其他客户和用户的数据隔离开来,即便其数据存储于同一台物理服务器上亦不例外。只有小部分的 Google 员工可以访问客户数据。Google 员工的访问权限与访问级别均根据工作职能与角色予以划分。Google 会按照“最小权限”和“需要知道”原则,为特定职责的人员分配适当的访问权限。Google 员工只能被授予一组有限的默认权限,以便访问员工电子邮件、Google 内部员工门户等公司资源。根据 Google 安全政策的相关规定,如果员工申请额外的访问权限,需遵循正式流程,其中包括提出申请,以及获得数据或系统所有者、管理员或其他高管的批准。管理审批时,使用相应的工作流程工具来维护所有更改的审核记录。这些工具用于控制授权设置和批准流程的修改,确保执行批准政策的一致性。员工的授权设置可用于控制对所有资源的访问权限,包括 Google Cloud 产品的数据和系统。我们仅向已通过多种方式验证身份并获得授权的客户管理员提供支持服务。我们专门的安全、隐私和内部审核团队负责监控和审核 Google 员工的访问,并通过 GCP 访问透明度向客户提供审核日志。
客户管理员权限
在客户组织中,Google Cloud 的管理角色和权限由项目所有者进行配置和控制。这意味着各团队成员可以管理特定服务或行使特定管理职能,而无需获得对所有设置和数据的访问权限。
执法数据要求
作为数据所有者,客户主要负责响应执法数据要求;但是,与其他技术和通信公司一样,Google 可能会收到各国政府和法院关于人员如何使用公司服务的直接要求。我们会采取相应措施,全力保护客户的隐私,限制过多要求,同时履行我们的法律义务。在遵守这些法律要求的同时,我们仍然会尊重您存储在 Google 的数据的私密性和安全性,并将之视作我们的首要任务。收到这类要求后,我们的团队会进行审核,以确认相应要求是否符合法律和 Google 政策的规定。一般情况下,必须由有关机构根据适用法律以书面形式提出要求,并经授权官员签署,我们才会遵从。如果我们认为要求提供的数据范围太广,我们将力争缩小范围,必要时甚至会回绝要求。例如,在 2006 年,美国政府曾要求提供两个月内的用户搜索查询,而 Google 是当时唯一拒绝这项要求的大型搜索公司。我们就该传票提出抗辩,最后法院驳回了政府的要求。在某些情况下,如果我们被要求提供与某 Google 帐号关联的所有信息,我们可能会要求相关机构将其范围缩小到特定的产品或服务。我们坚信,公众应该知晓政府要求 Google 提供用户信息的完整实情。正因如此,我们是第一家定期发布政府数据要求报告的公司。如需详细了解数据要求和 Google 的回应,请参阅我们的透明度报告和政府要求白皮书。除非法律或法院命令明确禁止,否则 Google 将依据政策向客户告知有关针对其数据的要求。
第三方供应商
Google 直接参与服务期间的几乎所有数据处理活动。但是,Google 可能会聘请一些第三方供应商来提供与 Google Cloud 相关的服务,包括客户和技术支持。 在与第三方供应商合作前,Google 会对第三方供应商的安全和隐私权规范进行评估,确保供应商的安全和隐私级别与其访问数据和所提供服务的范围相称。Google 对第三方供应商存在的风险进行评估后,供应商必须签署相应的安全、保密和隐私合同条款。
法规遵从
我们的客户有着不同的法规遵从需求。他们在各种受监管的行业开展业务,这些行业包括金融、制药和制造业。
如需查看最新合规信息,请点击此处。
总结
保护您的数据,是 Google 所有基础架构、产品和员工操作的主要设计考量因素。凭借 Google 的运营规模以及与安全研究社区的协作,我们能够快速修复漏洞或完全防御漏洞。
我们相信,Google 提供的保护级别是大多数公共云提供商或私有企业 IT 团队所难以匹敌。保护数据安全,是 Google 业务中的重要一环,我们可以对安全性、资源和专业知识进行大量投资,其他企业或团队自然无法实现如此的规模。我们的投资使您可以专注于您的业务和创新。数据保护不仅仅关乎安全。Google 可靠的合同承诺确保您可以保持对数据及其处理方式的控制,包括确保您的数据不用于投放广告或提供 Google Cloud 服务之外的任何其他目的。
出于上述原因及其他诸多考量,全球超过五百万组织(包括 64% 的财富 500 强企业)均对 Google 信任有加,并委托 Google管理其最宝贵的资产,也即是信息。Google 将继续投资我们的平台,让您以安全透明的方式从我们的服务中获益。