23 марта 2017

Аппаратная защита коммуникаций в Google Cloud


Google разработал и внедрил в свои сервера новый чип Titan для аппаратной аутентификации между компьютерами и периферией внутри датацентров Google Cloud.

Таким образом, даже если злоумышленники под видом персонала Google проникнут в помещение любого датацентра, то им не удасться установить аппаратную закладку для считывания информации в виде лже-сервера или переферийного устройства, т.к. их аппаратный жучок не будет опознан, как доверенное устройство, и не сможет подключиться ни к одному настоящему устройству Google Cloud.

Напомню, что ранее Google уже аппаратно защитил фактически все возможные уровни доступа к данным.

Изначально, ещё в момент создания облака Google, оно было сразу задумано для работы  с клиентами (Web приложениям и в браузере пользователей) только по защищённым протоколам SSL/TLS.

Тем не менее, в первое время, коммуникации между датацентрами и внутри датацентров хоть и проходили исключительно по частной сети Google, оставались логически незащищёнными.

После заявлений Сноудена о том, что существуют системы прослушки трафика между датацентрами на уровне кабеля, Google внедрил аппаратную защиту всех внешних соединений, включая шифрование трафика между своими датацентрами в своей частной сети.

Теперь Google аппаратно защитил соединения между серверами внутри датацентров, видимо на случай возможного проникновения или выявления проблем с низшим техническим персоналом, который устанавливает и меняет сервера в датацентрах (а этих серверов уже давно более миллиона).

Ну, и наконец для конченных параноиков в Google Cloud есть функция аппаратного шифрования диска ваших персональных машин с помощью вашего персонального ключа, хранящегося например на вашем Yubikey 4, без которого даже администраторы Google не смогут прочитать ваши данные (правда и ничем не смогут вам помочь, если "что-то пойдёт не так").

Комментариев нет: