گوگل اخیراً جزئیات مربوط به زیرساخت امنیتی در مرکز داده‌ی خود را به اشتراک گذاشته است. بسیاری از سرویس‌های گوگل از جمله سرویس اَبر گوگل بر روی این مرکز داده قرار دارد. در حالی‌که بسیاری از سازمان‌ها از انتشار جزئیات امنیتی خود واهمه دارند که مبادا مزایایی برای مهاجمان در پی داشته باشد، گوگل از این مسئله هیچ ترسی ندارد، دلیل این موضوع نیز دو نکته است:
1- گوگل می‌خواهد امنیت بالقوه‌ی زیرساخت‌های خود را به مشتریان سرویس اَبر گوگل اطلاع دهد.
2- گوگل از امنیت زیرساخت‌های خود مطمئن است.

در مقاله‌ای که اخیراً منتشر شد، گوگل زیرساخت خود را در ۶ لایه توضیح داده است.
این زیرساخت در پایین‌ترین سطح حاوی لایه‌ی فیزیکی و سخت‌افزاری است که بر روی آن لایه‌های:
1- سرویس
2- شناسایی کاربر
3- سرویس ذخیره‌سازی
4- ارتباطات اینترنتی
5- عملیات امنیتی وجود دارد.

در بسیاری از قسمت‌ها گوگل خودش مرکز داده را ساخته است و این ساختارها شامل:
شناسایی‌های بیومتریک، شناسایی فلزات، دوربین‌ها، موانع ماشینی، سامانه‌های تشخیص نفوذ مبتنی بر لیزر است.
در برخی موارد که سرویس‌های گوگل بر روی کارگزارهای مراکز داده‌ی دیگر میزبانی می‌شود، گوگل ویژگی‌ها و قابلیت‌های امنیتی خود را به این مراکز داده اضافه می‌کند.

برای هزاران کارگزاری که در مرکز داده‌ی گوگل وجود دارد، خود گوگل صفحات ویژه‌ای را برای آن‌ها طراحی کرده است.
»  ما تراشه‌های ویژه‌ای را طراحی کرده‌ایم که در حال حاضر در کارگزارها و سایر تجهزات جانبی مورد استفاده قرار گرفته است. با استفاده از این تراشه‌ها می‌توانیم در سطح سخت‌افزار، دستگاه‌های گوگل را به‌طور امن شناسایی و احراز هویت کنیم «

هیچ اعتمادِ پیش‌فرضی بین سرویس‌های گوگل چه در داخل مرکز داده و چه خارج از آن وجود ندارد. هر ارتباطی بین سرویس‌های داخلی با استفاده از الگوریتم‌های رمزنگاری در سطح لایه‌ی کاربرد کنترل و احراز هویت می‌شود. همچنان که برای ارتباط سرویس‌های داخلی احزار هویت انجام می‌شود، در زیرساخت امنیتی گوگل با استفاده از الگوریتم‌های رمزنگاری، صحت و حریم خصوصی داده‌ها در فراخوانی فرآیند راه دور (RPC) نیز فراهم می‌شود. تمامی داده‌های WAN (داده‌های تبادل‌شده بین دو مرکز داده) رمزنگاری می‌شوند. این رمزنگاری با استفاده از سخت‌افزارهایی که فرآیند رمزنگاری را تسریع می‌کند، به ترافیک داخلی در مرکز داده نیز گسترش یافته است.

وقتی یک ارتباط بین سرویس‌های داخلی توسط یک کاربر نهایی ایجاد می‌شود (مثلاً سرویس جی‌میل می‌خواهد با سرویس مخاطبان گوگل ارتباط برقرار کند) یک بلیط مجوز کوتاه مدت تولید می‌شود تا اطمینان حاصل شود که سرویس جی‌میل می‌تواند فقط با مخاطبان آن کاربر تعامل داشته باشد.

برای داده‌های ذخیره‌شده، زیرساخت گوگل از یک سرویس مدیریت کلید مرکزی استفاده می‌کند. داده‌های ذخیره‌شده می‌توانند طوری پیکربندی شوند که پیش از نوشته شدن در منابع ذخیره‌سازی فیزیکی، از کلیدهای موجود در این سرویس مدیریت کلید استفاده کنند. ذخیره‌سازی در لایه‌ی کاربرد به زیرساخت اجازه می‌دهد تا خود را از تهدیدات موجود در سطوح پایین‌تر مانند ثابت‌افزارهای مخرب ایزوله کند.

سرویس‌هایی که قرار است در سطح اینترنت قابل دستیابی باشند، توسط Google Front End اجرا می‌شوند. با این کار اطمینان حاصل می‌شود که تمامی ارتباطات TLS از گواهی‌نامه‌های درستی استفاده و از امنیت رو به جلو پشتیبانی می‌کنند.

در زیرساخت گوگل برای محافظت در برابر منع سرویس از چندین لایه‌ی سخت‌افزاری و نرم‌افزاری برای توزیع بار استفاده می‌شود و گزارش هر منع سرویس به سرویس مرکزی ارسال می‌شود. اگر این سامانه حمله‌ی منع سرویس را تشخیص دهد، می‌تواند به بخش‌های توزیع‌کننده‌ی بار دستور دهد ترافیک مورد نظر را حذف کنند.

احراز هویت کاربران چیزی فراتر از مدل نام کاربری و گذرواژه است و چالش‌های مختلفی برای گرفتن اطلاعات مهم از کاربر به این فرآیند اضافه شده است. در این فرآیند سرویس احراز هویت دو-مرحله‌ای نیز ارائه می‌شود همچنین گوگل تلاش دارد با کمک FIDO Alliance، استاندارد بازی را برای احراز هویت دو عاملی توسعه دهد.

برای اطمینان از توسعه‌ی امن نرم‌افزارها، گوگل از کتابخانه‌ها و چارچوب‌هایی استفاده می‌کنند تا آسیب‌پذیری‌های XSS را به حداقل برساند. از ابزارهای خودکار برای شناسایی اشکالات امنیتی استفاده می‌کند و سرویس مرور دستی سازوکارهای امنیتی نیز وجود دارد. علاوه بر این‌ها گوگل برنامه‌ی پاداش در ازای اشکال را نیز راه‌اندازی کرده و تاکنون میلیون‌ها دلار جایزه به محققان امنیتی پرداخت کرده است.

یکی از روش‌های مهم که گوگل در زیرساخت امنیتی خود از آن برای کاهش خطرات داخلی استفاده می‌کند، کاهش دسترسی‌های ادمین و نظارت همیشگی بر این نوع از دسترسی‌ها است. در این روش روال

‌های خودکار برای نظارت بر تعدادی از فعالیت‌های مدیریتی تعریف شده است و در آن PAI ها محدود شده تا در هنگام عیب‌یابی به داده‌های حساس و مهم دسترسی وجود نداشته باشد.

در زیرساخت گوگل در سامانه‌های تشخیص و جلوگیری از نفوذ، بیش از پیش از روش‌های یادگیری ماشین استفاده می‌شود. در آخرین بخش از این مقاله در خصوص بستر اَبر گوگل بحث شده است. این سرویس بر روی همین زیرساخت ایجاد شده و سرویس‌های ویژه‌ی آن بهبود یافته است.

بستر اَبر گوگل، واسط‌های برنامه‌نویسی خود را از طریق GET ارائه می‌کند و از سرویس‌های امنیتی که سایر سرویس‌ها دارند بهره‌مند می‌شود. احراز هویت کاربر انتهایی از طریق سامانه‌ی مرکزی گوگل انجام می‌شود. این سامانه‌ی احزار هویت دارای ویژگی‌های دیگری از جمله تشخیص سرقت حساب کاربری است.

ایجاد ماشین‌های مجازی نیز در بخش کنترل و مدیریت بستر ابر گوگل مؤثر واقع شده است. همان‌طور که گفتیم ترافیک انتقالی از یک مرکز داده به مرکز داده‌ی دیگر، رمزنگاری می‌شود. هنگام ارسال داده‌ها از یک ماشین مجازی به ماشین مجازی دیگر در داخل یک مرکز داده، از همین رمزنگاری استفاده می‌شود. ایزوله‌سازی ماشین مجازی نیز توسط پشته‌ی متن‌باز KVM فراهم شده است.

کنترل امنیت عملیاتی که در اینجا توضیح داده شد برای این است که به مشتریان اطمینان داده شود، گوگل در بستر اَبر از داده‌های مشتریان استفاده‌ای نمی‌کند مگر اینکه ارائه‌ی یک سرویس با استفاده از داده‌های مشتریان ضروری باشد.