> > > > Sicherheit geht vor: Google Infrastructure Security Design

Sicherheit geht vor: Google Infrastructure Security Design

Veröffentlicht am: von

google cloud platformGoogle hat ein Dokument veröffentlich, in dem man einen groben Überblick zu den Maßnahmen zur Datensicherheit in den eigenen Rechenzentren gibt. Das Infrastructure Security Design Overview beinhaltet Informationen zur Sicherheit im operativen Geschäft eines Rechenzentrums, der Sicherheit innerhalb der Kommunikation, der Datensicherheit, Authentifizierung von Innen und Außen (durch Mitarbeiter und Nutzer der Clouddienste) sowie der Hardware-Infrastruktur.

Wer möchte kannst selbst einen Blick in das Dokument werfen. Einige Punkte wollen wir gesondert ansprechen. Üblich für solche Rechenzentren ist, dass diese derart abgesichert sind, dass nur so wenige Mitarbeiter wie nötig Zugang zu den sensiblen Systemen haben. Überwachungskameras, Laser-basierte Annäherungssysteme, hohe Mauern und andere Sicherheitsmaßnahmen sind in diesem Bereich obligatorisch. Google versucht die Rechenzentren weitestgehend selbst zu betreiben. Nur selten mietet man sich in Drittanbieter-Rechenzentren ein. Sollte dies der Fall sein, müssen die Sicherheitsmaßnahmen von Google selbst kontrolliert werden – so die eigenen Vorgaben.

Um Hardware-Manipulationen zu vermeiden, verwendet Google in den Servern nur eigene Hardware, die man bei Auftragsfertigern bauen lässt. Damit soll verhindert werden, dass manipulierte Hardware ein Rechenzentrum kompromittiert.

"A Google data center consists of thousands of server machines connected to a local network. Both the server boards and the networking equipment are custom-designed by Google. We vet component vendors we work with and choose components with care, while working with vendors to audit and validate the security properties provided by the components. We also design custom chips, including a hardware security chip that is currently being deployed on both servers and peripherals. These chips allow us to securely identify and authenticate legitimate Google devices at the hardware level."

Auch auf dem Software-Level setzt Google auf eine möglichst hohe Sicherheit durch Secure Boot Stacks und verschlüsselte Signaturen, die auch hier Manipulationen verhindern sollen.

"Google server machines use a variety of technologies to ensure that they are booting the correct software stack. We use cryptographic signatures over low-level components like the BIOS, bootloader, kernel, and base operating system image. These signatures can be validated during each boot or update. The components are all Google-controlled, built, and hardened. With each new generation of hardware we strive to continually improve security: for example, depending on the generation of server design, we root the trust of the boot chain in either a lockable firmware chip, a microcontroller running Google-written security code, or the above mentioned Google-designed security chip."

Um die Hard- und Software aneinander zu binden, was eine zusätzliche Sicherheit bieten soll, verwendet Google spezifische Identitäten für alle Komponenten. Diese sind aneinander gebunden und demzufolge funktionieren Hard- und Software nur gemeinsam. Durch die bereits erwähnte Validierung der Hardware sowie die Signaturen in der Software soll über die Maßnahme eine weitere Sicherheitsstufe eingezogen werden.

Sämtliche Kommunikation innerhalb des Rechenzentrums erfolgt natürlich verschlüsselt. Gleiches gilt auch für den Datenaustausch zwischen den verschiedenen Rechenzentren sowie die Kommunikation mit dem Endnutzer. Wohl die größte Gefahr droht inzwischen nicht mehr durch Fehler in der Hard- und Software sondern vielmehr durch die Mitarbeiter in einem Rechenzentrum – ob nun gewollt oder ungewollt sei einmal dahingestellt. Dazu werden natürlich auch die Mitarbeiter bzw. deren Verhalten überwacht. Zugriffsrechte werden nur in soweit vergeben, wie sie auch notwendig sind. Auf Nutzerinformationen kann nur zugegriffen werden, wenn dies unter kontrollierten Bedingungen geschieht.

Zum Abschluss betont Google noch einmal, dass die Sicherheit und Privatsphäre für Google an erster Stelle steht. Alle Maßnahmen in den Rechenzentren zielen darauf ab, dies sicherzustellen.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (2)

#1
customavatars/avatar184350_1.gif
Registriert seit: 10.12.2012

Stabsgefreiter
Beiträge: 356
Guter Einblick, danke. War vorhersehbar dass solch ein Unternehmen Maßnahmen unternimmt um die Daten zu sichern, die sie von den Nutzern "erhalten".

An die Daten kommen diese ja besonders schnell, da haben die sich einige Kniffe einfallen lassen, die sie dem Benutzer als "Sicherheitsfeature" verkaufen, zwecks "Identifikation".

Letzens erst wieder beim vpn-client ein anderes Land ausgewählt, Norwegen.
"Es tut uns Leid ... verdächtige Aktivitäten.
Geben Sie ihre Mobilnummer an, wir schicken einen Code zur Bestätigung."
Okay, will ich nicht also Passwort zurückgesetzt.
Nach dem erneuten anmelden: "Es tut uns Leid, ihr Konto wurde gesperrt".

Bei Paypal der gleiche Mist, blos wird mir hier nicht einmal die Option zur Passwortrücksetzung angeboten.

Wer bei facebook sein Geburtsdatum/Sicherheitsfragen vergisst, soll seinen Personalausweis hochladen.
Oh, man.
#2
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12475
Zitat Hyrasch;25236614
Okay, will ich nicht also Passwort zurückgesetzt.
Nach dem erneuten anmelden: "Es tut uns Leid, ihr Konto wurde gesperrt".
Äh, das hast du auch über den VPN angefordert, oder wie?
Dann ist das ja nur logisch >_> Ein Angreifer könnte auch im Besitz deiner Maildaten sein, oder diese abfangen.

Zitat Hyrasch;25236614
Wer bei facebook sein Geburtsdatum/Sicherheitsfragen vergisst, soll seinen Personalausweis hochladen.
Oh, man.
Geburtsdatum und Sicherheitsfragen vergessen? :confused:

Die methode per Perso, auch wenn das hierzulande verboten wäre, wär mir lieber als das was sie früher hatten wo man Daten über seine "Freunde" nennen musste :D
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

    Logo von IMAGES/STORIES/2017/AVM

    AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

  • Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

  • Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

    Logo von IMAGES/STORIES/2017/DNS-1111

    Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

  • Schweizer ISP bietet 10 GBit/s für 34 Euro

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

  • Vodafone garantiert bei 500-Mbit/s-Anschlüssen nur 200 Mbit/s

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone hat schon vor einigen Monaten mit der Vermarkten von Anschlüsse mit 500 Mbit/s über das Kabelnetz begonnen. Der Ausbau ist in der Zwischenzeit vorangeschritten und das Unternehmen meldet, dass fast 30 % der angebundenen Haushalte auf die derzeit höchste Geschwindigkeit zugreifen... [mehr]

  • 250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]