Google亚太区数据中心硬件运维总经理Randy First于7月1日在Google博客发文,以文本叙述带大家探访连自家员工都不一定能进入的Google数据中心,一窥其中秘密。
在Google服务期间,我有很多时间与开发人员一起工作,而数据中心对于他们的工作至关重要,但大多数的开发人员却从未进入过数据中心,甚至仅有1%的Google员工被允许进入数据中心,相信也有很多人非常好奇Google数据中心的高墙背后到底是如何运行的。因此,我将为大家解答各种常见的疑问,例如:为什么参访数据中心会受到如此严格的限制?Google数据中心的安全措施有多严密?我们又如何满足法规要求?
首先说明,为了保护客户资料的安全,我们需要确保数据中心的实体结构绝对安全,因此每座数据中心都有6层的实体安全防护设计,以防止他人未经授权擅自闯入。接着欢迎大家观看Google数据中心安全防护介绍视频,跟着我的同事Stephanie Wong穿越层层保护机制,深入探索数据中心的核心,并继续阅读了解更多秘密:
务必遵守“最低权限”和“禁止尾随”的规定
所有的Google数据中心都严格实施这两项规定。“最低权限”规定意即人员进出应仅具有执行其工作所需的最低权限。如果最低权限是进入第2层,就无法进入第3层。数据中心设施内的各个出入点都设有识别证读卡器来检查所有人员的出入权限,采用这项规定的授权措施随处可见。
第二条规则是“禁止尾随”,尾随是指车辆或人员紧跟前车或前人在未刷卡的情况下进入管制区。如果系统侦测到门打开时间过长或侦测到有人尝试尾随,就会立即向保全人员发出警示。任何闸门或出入口门都必须在关上后,才能让下一辆车或下一个人员刷卡进入。
两道安检程序:首先是检查识别证,接着是通过安检门
很多人也许有看过这种双重验证机制:尝试登录账户时,系统会发送一组动态密码到手机,以进行验证。我们的数据中心就是采用类似的概念,来验证人员的身份和出入权限。要穿越数据中心的某些防护层时,需要先刷一下识别证,然后进入安检门(圆柱形出入口)进行验证。安检门是一种特殊的“半入口”,在人员进入后会检查识别证并扫描眼睛,验证成功后即可取得进入数据中心下一层的权限。安检门区域一次只允许一人进入,因此可以有效防止尾随。
通过安全的装卸区进行收货作业
设施的装卸区是第3层的特殊区域,专门用于处理货物(例如新硬件)的接收和运送。货车必须先取得第3层的出入权限后,才能进入装卸区进行交货。为了进一步确安全全,装卸区空间本身会与数据中心的其他区域隔开,在进行货物的接收或运送时警卫人员也必须在场。
密切关注所有硬盘
硬盘关注对于资料的安全性十分重要,因为硬盘里有加密过的机密信息。我们使用条码和资产标签,从收到硬盘开始,就对数据中心所有硬盘的位置和状态进行滴水不漏的关注,直到销毁为止。只要是数据中心内的硬盘,从安装到停止流通的整个生命周期内,我们都会扫描硬盘资产标签。严密关注硬盘,可确保硬盘不会遗失或落入不肖份子手中。
我们也会频繁进行性能测试,确保硬盘功能正常。如果某个组件未能通过性能测试,该组件就会被列为无法再使用。为了防止磁盘留有任何机密信息,我们会从存储库中移除磁盘,然后在第6层(也就是磁盘清除层)进行磁盘清除及销毁作业。在这层中,磁盘清除格式化程序会使用多步骤程序,抹除磁盘内的资料并将每个人信息料位元替换成零。如果硬盘因故无法清除内容,我们会妥善存放硬盘,以便日后进行实体销毁。
将分层式安全防护措施延伸至技术本身
我们的分层式安全防护措施不仅是对我们数据中心的实体保障,也是我们保护数据中心中内软硬件的方式。在最深层,我们大多数的服务器主板和网络设备都是由Google定制化设计而成。举个例子,我们设计了Titan硬件安全芯片等产品,用来安全识别和验证合法的Google硬件。
在存储空间层,任何进出数据中心以及存储在数据中心的资料都会进行加密保护,也就是说,无论资料是通过网络在Google设施之间移动、还是存储到我们的服务器上,全程都受到妥善保护。Google Cloud客户甚至可以提供自己的加密密钥,并在部署于Google基础架构之外的第三方密钥管理系统中管理密钥,这种深度防御方法有助于强化我们在每个防御据点消弭潜在安全漏洞的能力。
(首图来源:Google)