在 Google 服務期間,我有很多時間與開發人員一起工作,而資料中心對於他們的工作至關重要,但大多數的開發人員卻從未踏入過資料中心,甚至僅有 1% 的 Google 員工被允許進入資料中心,相信也有很多人非常好奇 Google 資料中心的高牆背後到底是如何運作的。因此,我將為大家解答各種常見的疑問,例如:為什麼參訪資料中心會受到如此嚴格的限制?Google 資料中心的安全措施有多嚴密?我們又如何滿足法規要求? 

首先說明,為了保護客戶資料的安全,我們需要確保資料中心的實體結構絕對安全,因此每座資料中心都有六層的實體安全防護設計,以防止他人未經授權擅自闖入。接著歡迎大家觀看 Google 資料中心安全防護介紹影片,跟著我的同事 Stephanie Wong 穿越層層保護機制,深入探索資料中心的核心,並繼續閱讀瞭解更多秘辛:
務必遵守「最低權限」和「禁止尾隨」的規定  

所有的 Google 資料中心都嚴格實施這兩項規定。「最低權限」規定意即人員進出應僅具有執行其工作所需的最低權限。如果最低權限是進入第 2 層,就無法進入第 3 層。資料中心設施內的各個出入點都設有識別證讀卡機來檢查所有人員的出入權限,採用這項規定的授權措施隨處可見。

第二條規則是「禁止尾隨」,尾隨是指車輛或人員緊跟前車或前人在未刷卡的情況下進入管制區。如果系統偵測到門打開時間過長或偵測到有人嘗試尾隨,就會立即向保全人員發出警示。任何閘門或出入口門都必須在關上後,才能讓下一輛車或下一個人員刷卡進入。

兩道安檢程序:首先是檢查識別證,接著是通過安檢門
很多人也許有看過這種雙重驗證機制:嘗試登入帳戶時,系統會發送一組動態密碼到手機,以進行驗證。我們的資料中心就是採用類似的概念,來驗證人員的身分和出入權限。要穿越資料中心的某些防護層時,需要先刷一下識別證,然後進入安檢門 (圓柱型出入口) 進行驗證。安檢門是一種特殊的「半入口」,在人員進入後會檢查識別證並掃描眼睛,驗證成功後即可取得進入資料中心下一層的權限。安檢門區域一次只允許一人進入,因此可以有效防止尾隨。

透過安全的裝卸區進行收貨作業

設施的裝卸區是第 3 層的特殊區域,專門用於處理貨物 (例如新硬體) 的接收和運送。貨車必須先取得第 3 層的出入權限後,才能進入裝卸區進行交貨。為了進一步確保安全,裝卸區空間本身會與資料中心的其他區域隔開,在進行貨物的接收或運送時警衛人員也必須在場。

密切追蹤所有硬碟
硬碟追蹤對於資料的安全性十分重要,因為硬碟裡有加密過的機密資訊。我們使用條碼和資產標籤,從收到硬碟開始,就對資料中心所有硬碟的位置和狀態進行滴水不漏的追蹤,直到銷毀為止。只要是資料中心內的硬碟,從安裝到停止流通的整個生命週期內,我們都會掃描硬碟資產標籤。嚴密追蹤硬碟,可確保硬碟不會遺失或落入不肖份子手中。

我們也會頻繁進行效能測試,確保硬碟功能正常。如果某個元件未能通過效能測試,該元件就會被列為無法再使用。為了防止磁碟留有任何機密資訊,我們會從儲存庫中移除磁碟,然後在第 6 層 (也就是磁碟清除層) 進行磁碟清除及銷毀作業。在這層中,磁碟清除格式化程式會使用多步驟程序,抹除磁碟內的資料並將每個資料位元替換成零。如果硬碟因故無法清除內容,我們會妥善存放硬碟,以便日後進行實體銷毀。

將分層式安全防護措施延伸至技術本身

我們的分層式安全防護措施不僅是對我們資料中心的實體保障,也是我們保護資料中心中內軟硬體的方式。在最深層,我們大多數的伺服器主機板和網路設備都是由 Google 客製化設計而成。舉個例子,我們設計了 Titan 硬體安全晶片等產品,用來安全識別和驗證合法的 Google 硬體。

在儲存空間層,任何進出資料中心以及儲存在資料中心的資料都會進行加密保護,也就是說,無論資料是透過網路在 Google 設施之間移動、還是儲存到我們的伺服器上,全程都受到妥善保護。Google Cloud 客戶甚至可以提供自己的加密金鑰,並在部署於 Google 基礎架構之外的第三方金鑰管理系統中管理金鑰,這種深度防禦方法有助於強化我們在每個防禦據點消彌潛在安全漏洞的能力。

看完以上介紹後,如果想瞭解更多 Google 資料中心的安全防護措施,歡迎參考我們的資料和安全性頁面。另外在即將舉行的 Google Cloud 2020 Next On Air 線上大會中,我們也會分享更多有關安全最佳做法的資訊。


本文作者:Google 亞太區資料中心硬體維運總經理 Randy First