Google は、自社の運用とパブリック クラウド サービスに使用するクラウドをどのように保護しているかを説明したインフラストラクチャ セキュリティ設計の概要を公開しました。
先週金曜日に公開されたこの文書は、6層のセキュリティを概説し、アルファベット傘下のGoogleの事業に関する興味深い事実を明らかにしている。中でも特に注目すべきは、「当社はカスタムチップも設計しており、その中には現在サーバーと周辺機器の両方に導入されているハードウェアセキュリティチップも含まれる。これらのチップにより、正規のGoogleデバイスをハードウェアレベルで安全に識別・認証することが可能になる」という点だ。
このシリコンは、「BIOS、ブートローダー、カーネル、基本オペレーティングシステムイメージなどの低レベルコンポーネント」で使用される暗号署名と連携して動作します。
「これらの署名は、起動時またはアップデートのたびに検証できます」と文書には記されており、「コンポーネントはすべてGoogleによって管理、構築、強化されています。ハードウェアの新世代ごとに、セキュリティの継続的な向上に努めています。例えば、サーバー設計の世代に応じて、ブートチェーンの信頼性を、ロック可能なファームウェアチップ、Googleが作成したセキュリティコードを実行するマイクロコントローラー、または前述のGoogle設計のセキュリティチップのいずれかに根ざしたものにしています」と付け加えています。
この文書が明らかにしたもう1つの興味深い情報は、「Googleはサードパーティのデータセンターでもサーバーの一部をホストしている」という点だ。この事実は、他社の仮想データセンターと連携する際には「独立した生体認証システム、カメラ、金属探知機」など独自の物理的なセキュリティ層を導入しているとGoogleが説明するために挙げられている。
文書ではさらに、Google の一連のアプリケーションとサービスは、悪意のあるディスク ファームウェアによるデータへのアクセスを困難にするために、データがディスクに書き込まれる前にデータを暗号化すると説明されている。
ディスクは次のように処理されます。
当社のハードドライブとSSDにはハードウェア暗号化機能が搭載されており、各ドライブのライフサイクル全体を綿密に追跡しています。廃棄された暗号化ストレージデバイスは、当社の管理下から物理的に出荷される前に、2段階の独立した検証を含む複数段階のプロセスで消去されます。この消去手順に合格しないデバイスは、オンプレミスで物理的に破壊(シュレッダー処理など)されます。
この文書の別の箇所では、ユニバーサルな二要素認証から始まり、企業が従業員のデバイスをスキャンして「これらのクライアントデバイスのオペレーティングシステムイメージがセキュリティパッチで最新のものであることを確認し、インストールできるアプリケーションを制御する」クライアントセキュリティについて説明している。
「当社はさらに、ユーザーがインストールしたアプリ、ダウンロード、ブラウザ拡張機能、Webから閲覧したコンテンツをスキャンし、企業クライアントに適しているかどうかを確認するシステムも備えています」と、このウェブ大手は続けている。
「社内LANへの接続は、アクセス権限を付与するための主要な手段ではありません。代わりに、アプリケーションレベルのアクセス管理制御を採用しています。これにより、適切に管理されたデバイス、想定されたネットワーク、および地理的な場所からアクセスする特定のユーザーのみに社内アプリケーションを公開できます。」
また、Googleが開発者が作成したソフトウェアのバグを検出するために使用している自動および手動のコードレビュー手法についても説明されています。手動レビューは、「ウェブセキュリティ、暗号化、オペレーティングシステムセキュリティの専門家を含むチームによって実施されます。このレビューは、将来の他の製品に適用できる新しいセキュリティライブラリ機能やファジングツールの開発にもつながります。」
また、ソースコードを保護するために Google がどれだけ努力しているかについては、次のように説明されています。
Google のソースコードは中央リポジトリに保存されており、サービスの現在のバージョンと過去のバージョンの両方を監査できます。さらに、このインフラストラクチャは、サービスのバイナリを特定のレビュー済み、チェックイン済み、テスト済みのソースコードからビルドすることを必須とするように設定できます。このようなコードレビューには、作成者以外の少なくとも 1 人のエンジニアによる検査と承認が必要であり、システムへのコード変更は必ずそのシステムの所有者の承認を得る必要があります。これらの要件により、内部関係者や敵対者がソースコードに悪意のある変更を加える可能性が制限されるだけでなく、サービスからそのソースまで遡ってフォレンジック調査の痕跡を残すことができます。
文書には他にも多くの情報が記載されており、例えばGoogleのパブリッククラウドではKVMハイパーバイザーのカスタムバージョンで仮想マシンが稼働しているというニュースもあります。また、Googleは「Linux KVMハイパーバイザーのCVEとセキュリティバグ修正の最大の提出元」であることを文書の中で誇っています。さらに、Googleクラウドは他のGoogleサービスと同じセキュリティサービスに基づいていることも分かりました。
また、同社の社内サービスIDおよびアクセス管理スキームについても説明されており、詳細は下図の通りです。さらに、「当社は、主要なセキュリティ対策として、社内ネットワークのセグメンテーションやファイアウォールに依存していません」というニュースも掲載されています。これは、ネットワーク仮想化やマイクロセグメンテーションへの関心の高さとは少し矛盾しています。
Google のサービス ID およびアクセス管理スキーム
同社は、メイン文書で議論されているセキュリティの各側面を詳述した文書も公開しています。これらの文書はマスター文書の末尾にリストされ、リンクされています。®
