DevSecOps

17 jan, 2017

Google revela detalhes sobre a segurança de todos os seus servidores

Publicidade

O Google publicou uma visão geral do projeto de segurança de infraestrutura que explica como a empresa protege a nuvem que usa para suas próprias operações e para serviços de nuvem pública.

Revelado na última sexta-feira, o documento descreve seis camadas de segurança e revela alguns factoides interessantes sobre as operações da subsidiária Alphabet, e afirma: “nós também projetamos chips personalizados, incluindo um chip de segurança de hardware que está sendo implantado nos dois servidores e periféricos. Esses chips nos permitem identificar e autenticar de forma segura os dispositivos legítimos do Google no nível do hardware”.

O silício funciona junto com assinaturas criptográficas empregadas “sobre componentes de baixo nível como BIOS, bootloader, kernel e imagem do sistema operacional base”.

[awprm urls=imasters.com.br/noticia/google-anuncia-novo-servico-para-gerenciamento-de-chaves-de-autenticacao-em-nuvem/,https://imasters.com.br/noticia/google-libera-integracao-do-zipkin-com-stackdriver-trace/]

“Essas assinaturas podem ser validadas durante cada inicialização ou atualização”, diz o documento, acrescentando que “os componentes são todos controlados e construídos pelo Google. Com cada nova geração de hardware, nos esforçamos para melhorar continuamente a segurança”.

O documento também revela que “o Google hospeda alguns servidores em data centers de terceiros”, um fato mencionado para que a empresa possa explicar que quando trabalha com outros celeiros de bits, coloca em prática suas próprias camadas de segurança física, como “sistemas independentes de identificação biométrica, câmeras e detectores de metais”.

Além disso, o documento explica que a frota de aplicativos e serviços do Google criptografa os dados antes de serem gravados no disco, para dificultar que firmwares de disco malicioso tenham acesso aos dados; descreve a segurança do cliente, que começa com a autenticação de dois fatores e, em seguida, a empresa verifica os dispositivos dos funcionários para “garantir que as imagens do sistema operacional para esses dispositivos estejam atualizadas com patches de segurança e o controle dos aplicativos que podem ser instalados”; explica as técnicas de revisão de código automatizado e manual que o Google usa para detectar bugs no software que seus desenvolvedores escrevem. As revisões manuais “são conduzidas por uma equipe que inclui especialistas em segurança na web, criptografia e segurança do sistema operacional”.

Em relação ao código-fonte, a empresa esclarece que ele é armazenado em um repositório central onde as versões atuais e passadas do serviço são auditáveis. A infraestrutura também pode ser configurada para exigir que os binários de um serviço sejam construídos a partir de um código-fonte específico, verificado e testado. Essas revisões de código exigem inspeção e aprovação de pelo menos um engenheiro que não seja o autor, e o sistema garante que as modificações de código em qualquer sistema devem ser aprovadas pelos proprietários desse sistema. Esses requisitos limitam a capacidade de se fazer modificações maliciosas no código-fonte.

Segundo o The Register, há muito mais informações no documento, que pode ser conferido neste link.