Google erläutert Sicherheitskonzept seiner Infrastruktur

Sechs verschiedene Sicherheitsebenen bauen aufeinander auf. Google entwickelt sogar einen eigenen Hardware-Sicherheitschip, der legitime Google-Server und Peripheriegeräte authentifiziert. Die Infrastruktur nutzen Suche und Gmail ebenso wie die Google Cloud Platform.

Google hat ein Whitepaper veröffentlicht, dass die in seiner technischen Infrastruktur integrierten Sicherheitsvorkehrungen beschreibt. Es geht dabei um die grundlegende Infrastruktur für seine Internetdienste. Dazu zählen Verbraucherdienste wie Suche, Gmail und Fotos, aber auch Enterprise-Services wie G Suite und die Google Cloud Platform (GCP).

(Bild: Google)

Die Maßnahmen sind mehrstufig angelegt und bauen aufeinander auf. Sie reichen von der physischen Sicherung der Rechenzentren über die Sicherheit der zugrundeliegenden Hardware und Software bis zu technischen Restriktionen und Verfahren, um die Betriebssicherheit zu garantieren. Die grundlegende Sicherheitsebene ist dabei die Hardware, darauf setzen Service-Auslieferung, Nutzeridentität und Speicherdienste auf. Ganz oben schließen eine gesicherte Internetkommunikation und schließlich die Betriebssicherheit ab.

Zur Hardware gibt Google preis, dass es eigene maßgeschneiderte Chips einschließlich eines Hardware-Sicherheitschips entwickelt, der derzeit sowohl auf Servern als auch Peripheriegeräten zum Einsatz gebracht wird. „Dieser Chip erlaubt uns, auf der Hardwareebene legitime Google-Geräte sicher zu identifizieren und zu authentifizieren“, heißt es dazu. Daneben sollen kryptografische Signaturen Low-Level-Komponenten wie BIOS, Bootloader, Kernel und Betriebssystem-Image sichern. All diese Komponenten sind demnach „von Google kontrolliert, geschaffen und gehärtet“. Mit jeder neuen Hardware-Generation soll die Sicherheit außerdem fortlaufend verbessert werden.

Grundsätzlich verschlüsselt werden die Daten von Googles zahlreichen Anwendungen und Services, bevor sie auf ein Speicherlaufwerk geschrieben werden. Das soll potentiell bösartige Firmware daran hindern, unberechtigt auf Daten zuzugreifen. Die Verschlüsselung von Festplatten wie SSDs wird während ihrer Lebensdauer akribisch überwacht. Bei ihrer späteren Ausmusterung ist die mehrstufige Löschung durch zwei voneinander unabhängige Prüfungen erfolgreich zu verifizieren – andernfalls sind die Laufwerke vor Ort zu schreddern.

Mehr Sicherheit strebt Google auch dann an, wenn einige seiner Server in von Drittanbietern betriebenen Rechenzentren stehen. Hier kommen zusätzlich eigene biometrische Identifikationssysteme, Kameras und Metalldetektoren zum Einsatz, um die physische Sicherheit zu optimieren.

Bei von den Mitarbeitern eingesetzten Geräten ist Zwei-Faktor-Authentifizierung obligatorisch. Regelmäßige Scans sollen sicherstellen, dass die Betriebssysteme auf dem neuesten Stand mit allen Sicherheitspatches sind. Der Internetkonzern gibt außerdem die Anwendungen vor, deren Installation zulässig ist. Zugangsberechtigungen basieren nicht primär darauf, dass sich jemand im LAN des Unternehmens befindet: „Wir nutzen vielmehr Access-Management-Kontrollen auf Anwendungsebene. Das gibt interne Anwendungen nur für bestimmte Nutzer frei, die von einem korrekt verwalteten Gerät und von erwarteten Netzwerken sowie geografischen Standorten kommen.“

Besonderer Schutz gilt Googles eigenem Quellcode. Aktuelle wie frühere Versionen sind in einem zentralen Repository gespeichert und jederzeit auditierbar. Für Zugriffe und Veränderungen gelten präzise Voraussetzungen wie etwa die Zustimmung anderer Softwareentwickler: „Diese Anforderungen schränken die Chancen eines Insiders oder Gegenspielers ein, bösartige Veränderungen am Quellcode vorzunehmen. Es sorgt außerdem für eine forensische Spur von einem Service zurück zu seiner Quelle.“

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Der letzte Abschnitt gilt der Sicherheit der Google Cloud Platform, die mit Amazon Web Services und Microsoft Azure konkurriert. Am Beispiel der Google Compute Engine beschreibt das Dokument eine Reihe weiterer dienstspezifischer Sicherheitsverbesserungen oberhalb der Infrastruktur, die auch die Google Cloud Platform nutzt.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Im Audio-Webinar am 5. Juli 2017 um 11 Uhr erläutert Florian Bettges von HPE wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen.

Themenseiten: Cloud-Computing, Google, Hardware, Server, Sicherheit, Software, Storage

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Google erläutert Sicherheitskonzept seiner Infrastruktur

Kommentar hinzufügen
  • Am 18. Januar 2017 um 3:07 von C

    … und die NSA hat (Dank Patriot Act, FISC/FISA, NSL u. a. mehr) vollen Zugriff drauf, auch auf den Sicherheits-Chip …

    • Am 19. Januar 2017 um 11:04 von Punisher

      Wie wir gelernt haben, hält sich die NSA nicht an geltende Gesetze und spioniert die ganze Welt aus. Da ist es egal wo solche Anlagen stehen. Aber im Prinzip hast du Recht, man müsste das ganze US Zeugs boykottieren. Nur was bleibt da noch übrig?

      • Am 19. Januar 2017 um 12:07 von Antiappler

        Ich bin ganz sicher, das macht nicht nur die NSA in den USA.
        Es gibt bestimmt eine ganze Reihe Länder, in denen so etwas, auch ohne sich an geltende Gesetze zu halten, gemacht wird.
        Und auch etliche Länder, wo das spionieren bestimmt auch Gesetz ist.
        Also kann man auch weiter die Produkte von unseren „Freunden“ kaufen.;-)

        • Am 19. Januar 2017 um 13:32 von Punisher

          Natürlich macht das nicht nur die NSA und auch nicht nur US Geheimdienste. Wie auch hier bei zdnet zu lesen, kaufen sich einige Staaten „offiziell“ Spionagetools. Offiziell ist die Zahl der Staaten und Tools bestimmt nicht kleiner.

      • Am 19. Januar 2017 um 13:46 von C

        @Punisher

        Snowden hat gezeigt, dass das aktuelle Internet (wie es entstanden ist und sich fortentwickelt hat) primär unter der Beobachtung & Kontrolle der 5-eyes steht.

        @Antiappler hat auch recht, dass nicht nur die NSA/USA spionieren bzw. sich Spione an keine (eigenen oder fremden) Gesetze halten.

        Die Erkenntnis ist, dass das Vertrauen dahin ist und man sich selber schützen muss. So gut es halt geht. Weiterhin muss man dafür sorgen, dass auch andere sich zwingend schützen und die Standards & Lösungen hierzu auf transparenter, weltweiter Basis NEU entwickelt & implementiert werden.

        Die Konsequenz aus dieser Erkenntnis wäre, hier in der EU entsprechend NEUE Lösungen in HW, BIOS & SW bzw. NEUE STANDARDS zu schaffen – und diese weltweiten Standardisierungs-Gremien zur Abnahme vorzulegen.
        Mit ARM hätte man eine CPU-Basis – muss aber an dieser nicht kleben bleiben. Da AMD & Intel die Many-Core-CPUs bewusst verschoben haben (obwohl sie es technisch konnten) wäre hier auch ein Ansatz möglich. Mit OSS-Software (so ein gründlicher Code-Review erfolgen würde – insb. der Teile die von US-Firmen beigesteuert wurden) hätte man auch OS/SW-Alternativen zu den US-basierten, kommerziellen Angeboten. Ebenso muss man in Sachen BIOS handeln. Hier gibt es faktisch nur zwei US-Hersteller.

        Kennst Du genau die ME (=Management Engine) in den Intel CPU`s? Ich nicht. Und – warum veröffentlicht nicht Intel das was da passiert – damit man es von neutraler Seite kontrollieren & nachverfolgen kann?

        Die EU hat genügend Geld. Es ist hier und jetzt der Weckruf, sich auf die EIGENEN Fähigkeiten & Möglichkeiten zu besinnen – und diesen lang vernachlässigten Bereich mit öffentlichen Geldern massiv zu fördern und neue Lösungen & Standards zu schaffen. Man hat sich in die US-Abhängigkeit begeben bei einer Fertigung in Asien – und nun gilt es zu handeln um da wieder raus zu kommen. Und zwar schnell, da US-Kryptographen an US-UNIs bedrängt & behindert werden, so diese dem NSA-System nicht hörig sind.
        Außerdem würde man eine eigene, lokale Industrie & Arbeitsplätze aufbauen. Durch Transparenz & Offenheit könnten auch andere Regionen diese Lösungen als weltweiten Standard übernehmen. Nur – es müssen dieses ALLE WOLLEN – und auch danach HANDELN.

        Ich für meinen Teil verabschiede mich sukzessive von den kommerziellen US-Herstellern. Aufgrund SW-Abhängigkeiten bleiben einige Systeme (z. B. XP) bestehen, jedoch isoliert & ohne Internet-Anschluss.
        Bei mir drängt die Zeit bis 2020, da Ich aktuell primär Win-7 basiert arbeite. Eine Migration nach OSS (Linux/UNIX) ist im vollen Gange.

        Es verbleibt der Grundsatz, dass Du Deinem Lieferanten trauen musst in Sachen Sicherheit.

        Gruß & schönen Tag noch.

        • Am 20. Januar 2017 um 10:52 von Punisher

          Finde ich stark wie du das durchziehst! Ich kann zur Zeit leider keinen Rechner isoliert betreiben auf Grund von Software. Und aus den selben Grund kann ich auch nicht ganz weg von Windows.

          Europa, ist ein einziges Rätsel. Es gibt genügend Potential, nur wird dieses eben nicht oder nicht richtig gefördert. Man könnte fast meinen Jemand will das nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *