2017/01/17

Google revela sistemas de segurança que usa nos seus servidores


Como é que um gigante tecnológico como a Google mantêm toda a sua infraestrutura em segurança num mundo onde existem vulnerabilidades a cada esquina? Agora já não é preciso imaginar, pois a Google fez o favor de o partilhar com o mundo.

Quem tiver visitado um data center, mesmo sendo um dos "pequenos", poderá ficar impressionado com o nível de segurança envolvido, a nível de controlo de acesso ao próprio local, às máquinas, etc. Portanto, se isso é assim num mini-data-center corriqueiro, como será num data center da Google... e como será que a Google garante a segurança das suas máquinas quando as coloca em data centers de terceiros? Com muita paranóia (no bom sentido) e assumindo que tudo pode ser uma vulnerabilidade.

A Google partilhou como mantém toda a sua infraestrutura em segurança, e não há dúvida que - tal como se esperaria - as coisas são impressionantes, e a todos os níveis: desde a segurança a nível de acesso físico aos locais, como a nível de garantir que as máquinas não foram alteradas indevidamente, como a nível de autenticação para garantir que cada utilizador é mesmo quem diz ser, como a nível registo dos dados nos suportes físicos, etc. etc

Aliás, começando por este último ponto, todos os dados que sejam escritos em disco são encriptados, de forma a que qualquer tentativa de acesso aos mesmos (mesmo que fosse feito através de uma vulnerabilidade no firmware dos discos) seja inútil; e quando é altura de reciclar um disco, todos eles sofrem um (duplo) processo de eliminação de dados, com posterior tentativa de recuperação de dados. Se os dados não forem considerados garantidamente irrecuperáveis, o disco será destruído fisicamente em vez de ser reutilizado.


Também todas as comunicações, mesmo as internas, são feitas usando encriptação, para garantir que qualquer intercepção dos dados, onde quer que pudesse ser feita, será de pouca utilidade (poderá chocar alguns que por isso a Google não aposte no sistema tradicional de compartimentalização com firewalls que tentam separar áreas inseguras das áreas "seguras", concentrando-se em garantir que as regras de segurança só permitem que um utilizador/serviço só tenha acesso aos serviços que está autorizado aceder, se estiver a utilizar um dispositivo autorizado, numa localização também autorizada.) E também não fica esquecida a possibilidade de que um próprio funcionário pudesse tentar infiltrar-se no sistema, com o processo de alteração de código nos servidores a ser auditado e validado por diferentes pessoas, antes de poder entrar em funcionamento.

E, para quem estiver com ideias de interferir com os servidores a nível de hardware, descobrimos também que todos os servidores da Google contam com chips de segurança concebidos pela própria Google (ou outros sistemas com função idêntica) para garantir que não há intrusos que se possam fazer passar por uma máquina legítima.


Enfim... muita informação para digerir por quem se interessar com este aspecto dos bastidores que permitem que os serviços que tão bem conhecemos, continuem a funcionar num mundo onde tudo o que está na internet está continuamente sob ataque.

1 comentário: