Toda la seguridad de los servidores de Google pasa por chips creados expresamente

Toda la seguridad de los servidores de Google pasa por chips creados expresamente
6 comentarios Facebook Twitter Flipboard E-mail

Google ha publicado un documento en el que explica la seguridad de su infraestructura en la nube, tanto para sus propias operaciones como para uso por parte del público. El informe data del pasado viernes, y en él se describen seis capas de seguridad y se revelan algunos datos interesantes sobre las operaciones de la Gran G.

Quizá el más interesante de todos ellos es que diseñan sus propios chips, incluyendo uno de "seguridad por hardware que actualmente se está desplegando tanto en servidores como en periféricos". Estos chips permiten a la empresa identificar de forma segura y autenticar dispositivos de Google a nivel físico.

Dicho chip funciona junto con firmas criptográficas empleadas en "componentes a bajo nivel" como la BIOS, el bootloader, el kernel y una imagen base de un sistema operativo. Las firmas se pueden validar durante cada arranque o actualización, y los componentes los controla Google directamente.

Según se recoge, Google también aloja algunos data centers de terceros en sus servidores. Esto quizá forme parte de una estrategia de la empresa del buscador para dar más publicidad a sus capas de seguridad física, entre las que se mencinonan "sistemas de identificación biométricos independientes, cámaras y detectores de metales".

Un vistazo a…
'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE

Así trata Google a los discos duros

Disc 1085276 1920

El documento también explica que el ecosistema de aplicaciones y servicios cifra los datos antes de escribirlos en el disco, lo que dificulta que cualquier firmware malicioso pueda acceder a los datos. Esto funciona indistintamente en "HDDs y SSDs", y llevan un control exhaustivo de su ciclo de vida.

Cuando este termina, cualquier unidad pasa por un proceso de limpieza en múltiples pasos que incluye dos verificaciones independientes. Los que no se pueden borrar de forma segura son destruidos físicamente en las instalaciones de Google.

Más información contenida en el informe describe el proceso de seguridad para los clientes, que comienza con autenticación en dos pasos universal y que después escanea los dispositivos de los empleados de la empresa para asegurar que las imágenes del sistema operativo de los clietnes están al día con los parches de seguridad, así como para controlar las aplicaciones que se pueden instalar.

Procesos cuidadosos de revisión de código

Technology 1283624 1920

También se explica el proceso de revisión de código, contenido en técnicas manuales y automatizadas, a través del cual la Gran G detecta bugs en el que sus desarrolladores escriben. Los que lo revisan manualmente están "dirigidos por un equipo que incluye expertos en seguridad web, criptografía y seguridad de sistemas operativos. Las revisiones también pueden dar como resultado nuevas características de librerías de seguridad".

El código fuente de Google se guarda en un repositorio central con versiones antiguas y actuales del servicio, que se pueden auditar. La infraestructura se puede configurar para requerir que los binarios de un servicio se compilen para ser revisados, comprobados y testeados.

Estas revisiones de código después se inspeccionan y se aprueban por parte de, al menos, un ingeniero que no es el autor del código, y el sistema requiere que las modificaciones del código se aprueben por parte de los propietarios de dicho sistema. Estos requisitos limitan la capacidad de cualquier persona para realizar cambios maliciosos en el código fuente, así como para ofrecer una pista forense de un servicio hasta su fuente.

Máquinas virtuales dentro de la infraestructura

En el documento se detalla el uso de máquinas virtuales, en concreto de una versión personalizada del hipervisor KVM. De hecho, Google asegura que "la mayoría de envíos de código para corrección de errores son para el hipervisor KVM de Linux". Los servicios en la nube de Google se apoyan en las mismas medidas de seguridad, según se recoge.

También hay una explicación del servicio de gestión de identidad y acceso que la empresa utiliza a nivel interno, además de que no confían en "segmentación de la red interna o firewalling" como sus principales mecanismos de seguridad.

Vía | Google
Imagen | Google
En Genbeta | Un ingeniero de seguridad de Google dice que trabajar en antivirus es una pérdida de tiempo

Comentarios cerrados
Inicio