یک غول فناوری همچون گوگل چگونه توانسته زیرساخت امنیتی خود را پیاده‌سازی کند؟

یک غول فناوری همچون گوگل چگونه توانسته زیرساخت امنیتی خود را پیاده‌سازی کند؟

پس از حملهٔ Dyn DDoS که به ماه اکتبر سال ۲۰۱۶ برمی‌گردد، همهٔ ما شاهد بودیم که تا چه میزان وسائل هوشمندمان آسیب‌پذیر‌ند به طوری که کلیهٔ سرویس‌های Netflix ،Spotify و Amazon از دسترس خارج شدند! روی هم‌ رفته، از زمان حملات دیداس فوق‌الذکر تاکنون، بحث‌های زیادی پیرامون اینکه چگونه امنیت سرویس‌های خود را بهبود بخشیم شده است (برای آشنایی بیشتر با مفهوم DDoS، به مقالهٔ دیداس چیست؟ مراجعه نمایید.) به هر حال، بعضی مواقع مشاهده کردن یک نمونهٔ موفق که در دنیای واقعی اتفاق افتاده است به ما در درک بهتر مفاهیم کمک می‌کند؛ بنابراین در این مقاله ما قصد داریم زیرساخت امنیتی طراحی شده توسط گوگل را بررسی نموده، جنبه‌های مهم در هر لایه از این زیرساخت را مطرح و با بیان نمودن مفاهیمی کلیدی، این بحث را به پایان برسانیم. 

زیرساخت سخت‌افزاری
امنیت از لایهٔ سخت‌افزار شروع می‌شود به طوری که در واقع داده‌ها بر روی هزاران سرور در دیتاسنترها ذخیره شده‌اند. بالاتر از پروتکل‌های احراز هویت کارمندان که از آن جمله می‌توان به احراز هویت بیومتریک، دوربین‌ها و لیزرهای تشخیص دهندهٔ نفوذ اشاره کرد، گوگل همچنین یک چیپ امنیتی طراحی کرده است که وظیفهٔ بررسی قانونی بودن سخت‌افزار را بر عهده دارد. همچنین هر سیستم (کِرنِل، بوت‌لودر، بایاس، ایمیج اصلی سیستم‌عامل) دارای یک امضای رمزنگاری شده است که اطمینان حاصل می‌کند هر وسیله در حال استفاده از لایهٔ نرم‌افزاری صحیحی می‌باشد.

توسعهٔ سرویس‌ها
در هر نقطه‌ای، سرویس‌های مختلف گوگل (برای مثال سرور SMTP Gmail، سرور ذخیره‌سازی BigTable یا اِنکُدکنندهٔ ویدیو‌های YouTube) ممکن است بر روی هزاران سیستم در حال اجرا باشند که کلاستر آن‌ها به وسیلهٔ سرویسی تحت عنوان Borg کنترل می‌شوند. نکته‌ای اساسی در این بین وجود دارد و آن هم اینکه زیرساخت اصلی هیچ اعتمادی بین سرویس‌هایی که در حال اجرا بر روی یک بستر هستند، قائل نمی‌شود. برای شناسایی کاربر، بی‌عیب و نقص بودن داده‌ها و مجزا بودن هر سرویس از سایر سرویس‌ها، گوگل این نکته را مد نظر داشته است که سرویس‌ها نباید به لایه‌بندی داخلی شبکه یا حتی فایروال به عنوان مکانیزم اصلی امنیتی تکیه کنند.

ممکن است این نکته عجیب به نظر برسد که با وجود اینکه در حال حاضر بسیاری از کمپانی‌ها بر روی Virtualization و Microsegmentation تمرکز کرده‌اند، اما گوگل در تلاش برای ساختن معماری Perimeterless می‌باشد (به طور کلی، منظور از Virtualiztion مجازی‌سازی است که توصیه می‌کنیم برای کسب اطلاعات بیشتر در این رابطه، به مقالهٔ درآمدی بر رایانش ابری و مجازی‌سازی: دو مقولهٔ مرتبط اما کاملا متفاوت! مراجعه نمایید؛ Microsegmentation -که معادل فارسی دقیقی برای آن نداریم- به فرایند تقسیم‌بندی یک حوزه به بخش‌های کوچک‌تر به منظور بهبود پرفورمنس و امنیت شبکه اطلاق می‌گردد.)

فضای ذخیره‌سازی داده
قبل از اینکه داده‌ای بر روی سرورهای گوگل ذخیره شود، سرویس مرکزی مدیریت کلیدها اقدام به اِنکریپشن داده‌ها می‌نماید که این کار باعث می‌شود تا هرگونه Firmware مخرب به سادگی نتواند دست به سرقت اطلاعات کاربران بزند. گوگل حتی پا را از این هم فراتر گذاشته و هر هارد‌دیسکی را در چرخهٔ زندگی‌اش به صورت دقیق رصد می‌کند. هارددیسک‌هایی که دیگر از رده خارج شده‌اند، تا زمانی‌ که به طور کامل پاک نشوند و همچنین طی دو سیکل مجزا پاک بودن آن‌ها بررسی نشده باشد، امکان خارج شدن از دیتاسنترهای گوگل را ندارند (علاوه بر این، هارددیسک‌هایی که مرحلهٔ پاک شدن را طی نمی‌کنند، به صورت کامل خُرد خواهند شد!)

ارتباطات اینترنتی
گوگل از سرویسی تحت عنوان Google Front End یا به اختصار GFE جهت حفاظت در برابر حملات DoS استفاده می‌کند که این کار برای اطمینان حاصل کردن از به درستی خاتمه یافتن ارتباط TLS صورت می‌گیرد. همچنین GFE امکانی تحت عنوان Smart Reverse-Proxy Front End جهت مدیریت ترافیک و همچنین شناسایی تهدیدها را به منظور پیاده‌سازی امنیت بیشتر، کار می‌گیرد (در پاسخ به این سؤال که TLS چیست،‌ بایستی گفت که این اصطلاح مخفف واژگان Transport Layer Security به معنی تحت‌الفظی «امنیت در لایهٔ نقل‌وانتقال داده‌ها» است که به عنوان یکی از پروتکل‌های رمزنگاری است که ارتباطات اینترنتی تحت شبکه را ایمن‌تر می‌سازد.)

امنیت عملیاتی
تا اینجا، کلیهٔ معیارهای امنیتی مورد بحث قرار گرفته برای استفاده در زیرساخت طراحی شده بودند اما این در حالی است که باز هم گوگل در عمل نیاز دارد تا زیرساخت عملکردی کاملاً ایمنی داشته باشد تا بتواند به هدفش که چیزی نیست جز امنیت کامل، دست یابد. گوگل برای مقابله با آسیب‌پذیری‌های از جنس XSS، اقدام به توسعهٔ لایبرری‌هایی برای استفاده در اپلیکیشن‌های تحت وب نموده است؛ همچنین این شرکت ابزارهای خودکاری برای تشخیص ایرادات امنیتی برای دولوپرهایش ایجاد نموده است و روی هم رفته، این غول فناوری دنیا کلیهٔ دسترسی‌ها را در لایهٔ نرم‌افزار با دقت بررسی می‌کند (برای آشنایی بیشتر با مفهوم حملات ایکس‌اس‌اس، به مقالهٔ آشنایی با مفهوم XSS و به‌کارگیری آن در زبان برنامه‌نویسی PHP مراجعه نمایید.)

نتیجه‌گیری
در پاسخ به این سؤال که «چرا گوگل استراتژی‌های امنیتی‌اش را به صورت عمومی منتشر کرده است؟» برخی کارشناسان فناوری بر این باورند که این یک نوع استراتژی فروش و بازاریابی گوگل است تا بتواند در مقابل سرویس AWS شرکت آمازون و یا دیگر رقبا حرفی برای گفتن داشته باشد! نظر شما چیست؟

منبع