為了讓更多的企業(yè)進(jìn)入云端，谷歌公司必須使用各種工具和措施贏得用戶(hù)的信任。

谷歌公司需要一個(gè)很好的安全故事。它希望用戶(hù)信任其提供的內(nèi)容和業(yè)務(wù)流程。要做到這一點(diǎn)，其基于云計(jì)算的服務(wù)和內(nèi)部安全團(tuán)隊(duì)工作要比其競(jìng)爭(zhēng)對(duì)手做得更好。這是一個(gè)長(zhǎng)期的過(guò)程，但是谷歌公司相信隨著變革的潮流，所有的事情都不將可避免。“對(duì)于具有安全意識(shí)的公司來(lái)說(shuō)，云計(jì)算是唯一可行的解決方案。”杰出的谷歌公司工程師NielsProvos說(shuō)。他在3月舉辦的Google Cloud Next會(huì)議上，闡述了谷歌云等云平臺(tái)如何為企業(yè)提供專(zhuān)業(yè)的管理和安全基礎(chǔ)架構(gòu)。

Provos表示：“我們的基礎(chǔ)設(shè)施趨于同質(zhì)化，以及我們對(duì)安全性的綜合全面的立場(chǎng)降低了復(fù)雜性，使我們能夠以規(guī)模的方式提供安全保障。”而且，谷歌公司非常重視安全性，擁有700名軟件工程師和安全工程師。

但是，云計(jì)算巨頭如何確保防御攻擊者的攻擊，這些攻擊其中包括國(guó)家層面的企圖竊取私有光纖網(wǎng)絡(luò)的數(shù)據(jù)呢？

保護(hù)谷歌數(shù)據(jù)中心

在安全方面，谷歌公司堅(jiān)信可以進(jìn)行縱深防御。從數(shù)據(jù)中心的物理安全來(lái)看，這很明顯，多層次的檢查將確保只有授權(quán)的人員才能進(jìn)入高度安全的設(shè)施。

只有通過(guò)谷歌數(shù)據(jù)中心的門(mén)禁，才允許通過(guò)預(yù)先授權(quán)的員工進(jìn)行，而這些員工只是谷歌所有員工中的一小部分，就像傳統(tǒng)的數(shù)據(jù)中心一樣，在進(jìn)入建筑物之前需要進(jìn)行第二次檢查。

谷歌公司數(shù)據(jù)中心業(yè)務(wù)副總裁JoeKava表示，最終進(jìn)入數(shù)據(jù)中心大樓的安全通道需要通過(guò)生物掃描檢驗(yàn)，諸如虹膜掃描的生物識(shí)別掃描。

在數(shù)據(jù)中心內(nèi)部，為了安全而采取隔離升旗，最重要的區(qū)域則得到基于激光的地板下入侵檢測(cè)系統(tǒng)的保護(hù)。谷歌公司的物理安全庫(kù)中的其他工具包括金屬探測(cè)器，車(chē)輛障礙物，以及通常采用的網(wǎng)絡(luò)攝像機(jī)，但通過(guò)視頻分析軟件進(jìn)行監(jiān)控。

在數(shù)據(jù)中心內(nèi)，谷歌公司為存儲(chǔ)驅(qū)動(dòng)器采用了嚴(yán)格的端到端監(jiān)管鏈，以確保每個(gè)存儲(chǔ)驅(qū)動(dòng)器被占用。首先使用條形碼掃描從服務(wù)器中檢出失效或計(jì)劃更新的驅(qū)動(dòng)器，并將其帶到安全區(qū)域進(jìn)行數(shù)據(jù)擦除。

在處理之前，所有驅(qū)動(dòng)器都被安全地擦除，而那些無(wú)法驗(yàn)證為已被安全擦除的驅(qū)動(dòng)器被物理破碎。那些驅(qū)動(dòng)器然后通過(guò)工業(yè)木材切碎機(jī)切成碎片。

　　谷歌安全啟動(dòng)堆棧

設(shè)計(jì)不信任機(jī)制

除了物理數(shù)據(jù)中心之外，谷歌公司還針對(duì)安全性設(shè)計(jì)了整個(gè)基礎(chǔ)設(shè)施堆棧。Provos表示，使用加密簽名來(lái)確保未經(jīng)檢測(cè)而無(wú)法進(jìn)行未經(jīng)授權(quán)的更改。這從低級(jí)組件（如BIOS）開(kāi)始，并包括引導(dǎo)過(guò)程的所有關(guān)鍵組件，如引導(dǎo)加載程序，內(nèi)核和基本操作系統(tǒng)。他說(shuō)，所有這些都是由谷歌公司控制，建造和強(qiáng)化的。

該體系結(jié)構(gòu)確保只有當(dāng)引導(dǎo)過(guò)程的所有組件都可以被驗(yàn)證時(shí)，服務(wù)器才會(huì)被分配一個(gè)身份。根據(jù)Provos的說(shuō)法，啟動(dòng)鏈的信任根源可能取決于服務(wù)器，可以在可鎖定的固件芯片，運(yùn)行谷歌公司編寫(xiě)的安全代碼的微控制器，或谷歌公司上個(gè)月公布的Titan安全芯片上。

谷歌公司關(guān)于Titan安全芯片的細(xì)節(jié)仍然很少：它是一種定制的安全芯片，旨在防止從BIOS級(jí)別進(jìn)行攻擊，并幫助識(shí)別和認(rèn)證在谷歌數(shù)據(jù)中心內(nèi)部運(yùn)行的硬件和服務(wù)。Provos表示，Titan目前應(yīng)用在服務(wù)器和外圍設(shè)備上。

“我們可以為數(shù)據(jù)中心的每個(gè)服務(wù)器提供唯一的身份，這些身份可以綁定到硬件根目錄以及機(jī)器啟動(dòng)的軟件。然后，機(jī)器身份用于對(duì)來(lái)自機(jī)器上的低級(jí)管理服務(wù)的API呼叫進(jìn)行身份驗(yàn)證。”Provos說(shuō)。

在谷歌公司生態(tài)系統(tǒng)中，二進(jìn)制文件被加密，而所有數(shù)據(jù)在寫(xiě)入磁盤(pán)之前都被加密，Provos解釋說(shuō)。另外，加密密鑰僅在需要的時(shí)刻存儲(chǔ)在RAM中。默認(rèn)情況下，遠(yuǎn)程過(guò)程調(diào)用（RPC）和數(shù)據(jù)中心之間的其他通信或通信將自動(dòng)加密。

Provos指出，安全性在應(yīng)用層執(zhí)行，所有服務(wù)都被設(shè)計(jì)為使得它們必須相互證明彼此的身份。他說(shuō)：“我們不依賴(lài)內(nèi)部分段或防火墻作為我們的主要安全機(jī)制。”

防范DDoS

　　Google Titan安全芯片

拒絕服務(wù)（DoS）和分布式拒絕服務(wù)（DDoS）攻擊意味著當(dāng)今的安全性不僅僅局限于簡(jiǎn)單地保護(hù)黑客，而且還必須確保合法的用戶(hù)可以訪問(wèn)給定的云服務(wù)或內(nèi)容。谷歌公司可以說(shuō)是打擊DoS攻擊的最前沿。

首先，谷歌公司的基礎(chǔ)架構(gòu)規(guī)模允許它簡(jiǎn)單地進(jìn)行較少的DoS嘗試。谷歌公司還建立了多層防御，以進(jìn)一步降低這些攻擊成功的機(jī)會(huì)，例如谷歌前端（GFE）引擎的工程，以吸收默認(rèn)情況下的Syn洪水，IP碎片洪水和端口耗盡攻擊等傳統(tǒng)策略。

此外，中央DoS服務(wù)分析了通過(guò)幾層硬件和軟件負(fù)載均衡器時(shí)的入站流量的統(tǒng)計(jì)信息，Provos說(shuō)，并且將動(dòng)態(tài)地配置它們來(lái)降低或限制與DoS攻擊相關(guān)的流量。這在Google前端（GFE）重復(fù)水平，可以提供有關(guān)持續(xù)攻擊的更詳細(xì)的應(yīng)用級(jí)統(tǒng)計(jì)信息。

當(dāng)然，在網(wǎng)絡(luò)連接和服務(wù)器容量方面，任何DoS防御都必須有足夠的容量。Provos表示，網(wǎng)絡(luò)連接是谷歌公司九年前成為第一家鋪設(shè)海外電纜的非電信公司的原因。

該公司繼續(xù)致力于增加其數(shù)據(jù)中心的帶寬，他表示：“在我們最新一代木星網(wǎng)絡(luò)中，我們將單個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的容量提高了100多倍。我們的木星網(wǎng)絡(luò)可以提供每秒超過(guò)一秒的總平分帶寬。其容量將足夠讓10萬(wàn)臺(tái)服務(wù)器以10Gbps的速度互相通信，并減輕DoS攻擊。“

谷歌公司正在努力說(shuō)服云用戶(hù)切換到云端，而這種云計(jì)算則建立在與各種谷歌服務(wù)相同的技術(shù)上。毫無(wú)疑問(wèn)，云計(jì)算巨頭亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）是谷歌云的景象。谷歌公司高管表示，AWS強(qiáng)調(diào)用戶(hù)如何被迫前臺(tái)支付以獲得更好的價(jià)格，同時(shí)可以從相對(duì)有限的計(jì)算實(shí)例中進(jìn)行選擇。

谷歌云宣稱(chēng)可以實(shí)現(xiàn)每分鐘計(jì)費(fèi)，持續(xù)使用提供折扣，為更長(zhǎng)時(shí)間的實(shí)例提供較低的費(fèi)率，以及定制機(jī)器類(lèi)型，可以自定義在谷歌云上運(yùn)行的虛擬機(jī)的每個(gè)方面。

有些人建議說(shuō)，谷歌公司對(duì)企業(yè)的需求不敏感，并且傾向于超前發(fā)展。谷歌云副總裁DianeGreene否認(rèn)：“我們是一家全面的企業(yè)公司。這意味著提供向后兼容性。”

現(xiàn)在，東南亞的市場(chǎng)競(jìng)爭(zhēng)正在加劇。谷歌公司聘請(qǐng)了曾長(zhǎng)期擔(dān)任AmazonWebServices（AWS）執(zhí)行官RickHarshman負(fù)責(zé)亞太地區(qū)和日本的谷歌云。在新加坡，第二個(gè)谷歌數(shù)據(jù)中心預(yù)計(jì)將在今年上半年上市，預(yù)計(jì)將在此推出谷歌云服務(wù)。