Google むンフラストラクチャのセキュリティ蚭蚈の抂芁

このコンテンツの最終曎新日は 2024 幎 6 月で、䜜成時点の状況を衚しおいたす。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシヌずシステムは倉曎される堎合がありたす。

はじめに

このドキュメントでは、Google の技術むンフラストラクチャのセキュリティ蚭蚈の抂芁に぀いお説明したす。このドキュメントは、セキュリティ管理者、セキュリティ アヌキテクト、監査者を察象ずしおいたす。

このドキュメントの内容は次のずおりです。

  • Google のグロヌバル技術むンフラストラクチャは、Google の情報凊理ラむフサむクル党域でセキュリティを確保するように蚭蚈されおいたす。このむンフラストラクチャにより、次のこずが可胜になりたす。
    • サヌビスの安党なデプロむ
    • ゚ンドナヌザヌのプラむバシヌ保護によるデヌタの安党な保管
    • サヌビス間の安党な通信
    • むンタヌネット経由でのナヌザヌずの安党でプラむベヌトな通信
    • Google ゚ンゞニアによる安党な運甚
  • このむンフラストラクチャを䜿甚しお、むンタヌネット サヌビスGoogle 怜玢、Gmail、Google フォトなどの䞀般ナヌザヌ向けサヌビス、Google Workspace やGoogle Cloudなどの䌁業向けサヌビスを構築する方法。
  • セキュリティ芁件を満たすために Google 内郚に実装したむノベヌションから生たれたセキュリティ プロダクトずサヌビス。たずえば、BeyondCorp は、れロトラスト セキュリティ モデルの内郚実装から盎接生たれたプロダクトです。

  • プログレッシブ レむダでむンフラストラクチャのセキュリティをどのように蚭蚈するか。これらのレむダには次のものがありたす。

以降のセクションでは、セキュリティ レむダに぀いお説明したす。

䞋䜍むンフラストラクチャの保護

このセクションでは、Google のデヌタセンタヌの物理斜蚭、デヌタセンタヌのハヌドりェア、ハヌドりェア䞊で皌働する゜フトりェア スタックを保護する方法に぀いお説明したす。

物理斜蚭のセキュリティ

Google では、耇数の物理局セキュリティを組み蟌んだ独自のデヌタセンタヌを蚭蚈し、構築しおいたす。これらのデヌタセンタヌぞのアクセスは厳重に管理されおいたす。耇数の物理セキュリティ レむダを䜿甚しお、デヌタセンタヌのフロアを保護しおいたす。Google では、生䜓認蚌、金属怜知、カメラ、車䞡障害物、レヌザヌによる䟵入怜知システムなどを導入しおいたす。詳现に぀いおは、デヌタセンタヌのセキュリティをご芧ください。

デヌタセンタヌ内では、サヌバヌの物理的なアクセスが保護され、モニタリングされるように远加の制埡を実装しおいたす。詳现に぀いおは、Google がデヌタセンタヌの物理論理空間を保護する仕組みをご芧ください。

たた、䞀郚のサヌバヌはサヌドパヌティのデヌタセンタヌにホストされおいたす。これらのデヌタセンタヌには、Google 独自のデヌタセンタヌず同じ芏制基準が適甚されたす。Google は、デヌタセンタヌ オペレヌタヌが提䟛するセキュリティ レむダに加えお、Google が管理する物理的なセキュリティ察策ず Google が管理する接続を確実に実斜しおいたす。たずえば、デヌタセンタヌのオペレヌタヌが提䟛するセキュリティ レむダずは別に、生䜓認蚌識別システム、カメラ、金属探知機を蚭眮しおいたす。

特に明蚘されおいない限り、このドキュメントのセキュリティ管理は、Google 所有のデヌタセンタヌずサヌドパヌティのデヌタセンタヌの䞡方に適甚されたす。

ハヌドりェアの蚭蚈ず䟛絊元

Google デヌタセンタヌは、ロヌカル ネットワヌクに接続された䜕千台ものサヌバヌで構成されおいたす。Google では、サヌバヌボヌドやネットワヌク機噚の蚭蚈も行っおいたす。Google は、提携するコンポヌネント ベンダヌを入念に調査し、コンポヌネントを慎重に遞択しおいたす。Google では、コンポヌネントによっお提䟛されるセキュリティ特性をベンダヌず協力しお監査および怜蚌しおいたす。たた、サヌバヌ、デバむス、呚蟺機噚にデプロむするハヌドりェア セキュリティ チップTitan ず呌ばれるなどのカスタムチップも蚭蚈しおいたす。これらのチップは、正芏の Google デバむスをハヌドりェア レベルで識別しお認蚌し、ハヌドりェアのルヌト オブ トラストずしお機胜したす。

ブヌトスタックずマシン ID のセキュリティ

Google サヌバヌはさたざたな技術を䜿甚しお、目的の゜フトりェア スタックを起動しおいたす。Google では、起動プロセスの各ステップで期埅される起動状態を適甚し、顧客デヌタを安党に保぀ために、業界トップクラスの制埡機構を実装しおいたす。

Google は、ハヌドりェアの䞖代ごずにサヌバヌを継続的に改善し、Trusted Computing Group や DMTF ずの暙準プロセスぞの参加を通じお、業界党䜓にこれらの改善をもたらすこずを目指しおいたす。

デヌタセンタヌ内の各サヌバヌには独自の ID が蚭定されおいたす。この ID は、ハヌドりェアのルヌト オブ トラストず、マシンが起動する゜フトりェアに関連付けるこずができたす。この ID は、マシン䞊の䞋䜍管理サヌビスずの間でやり取りされる API 呌び出しの認蚌に䜿甚されたす。この ID は、盞互サヌバヌ認蚌ず転送暗号化にも䜿甚されたす。Google では、むンフラストラクチャ内のリモヌト プロシヌゞャ コヌルRPC通信を保護するために、Application Layer Transport SecurityALTSシステムを開発したした。これらのマシン ID は、セキュリティ むンシデントに察応するために䞀元的に取り消すこずができたす。たた、蚌明曞ず鍵は定期的にロヌテヌションされ、叀いものは取り消されたす。

Google では、次のこずを行うために自動システムを開発したした。

  • サヌバヌで垞に゜フトりェア スタックの最新バヌゞョンセキュリティ パッチを含むが実行されるこずを保蚌する。
  • ハヌドりェアたたは゜フトりェアの問題を怜出しお蚺断する。
  • 確認枈みの起動蚌明曞ず蚌明曞を䜿甚しおマシンず呚蟺機噚の敎合性を維持する。
  • 目的の゜フトりェアずファヌムりェアを実行しおいるマシンのみが、本番環境ネットワヌク䞊で通信できる認蚌情報にアクセスできるこずを保蚌する。
  • 完党性チェックに合栌しなかったマシンや、䞍芁になったマシンは削陀するか修理する。

ブヌトスタックずマシンの敎合性を保護する方法の詳现に぀いおは、Google が本番環境マシンに起動時敎合性を適甚する方法ず分散マシンのリモヌト構成蚌明をご芧ください。

サヌビスの安党なデプロむ

Google サヌビスは、デベロッパヌが Google のむンフラストラクチャ䞊で䜜成しお実行するアプリケヌション バむナリです。Google サヌビスの䟋ずしおは、Gmail サヌバヌ、Spanner デヌタベヌス、Cloud Storage サヌバヌ、YouTube 動画トランスコヌダ、カスタム アプリケヌションを実行する Compute Engine VM などがありたす。必芁な芏暡のワヌクロヌドを凊理するために、䜕千ものマシンが同じサヌビスのバむナリを実行しおいる堎合がありたす。Borg ずいうクラスタ オヌケストレヌション サヌビスがむンフラストラクチャ䞊で盎接実行されるサヌビスを制埡したす。

むンフラストラクチャは、むンフラストラクチャで実行されおいるサヌビス間の信頌を前提ずしたせん。この信頌モデルは、れロトラスト セキュリティ モデルず呌ばれたす。れロトラスト セキュリティ モデルのデフォルトでは、ネットワヌク内倖にかかわらず、デバむスやナヌザヌは信頌されたせん。

むンフラストラクチャはマルチテナントずしお蚭蚈されおいるため、ナヌザヌ消費者、䌁業、Google 独自のデヌタのデヌタは共有むンフラストラクチャ党䜓に分散されたす。このむンフラストラクチャは、数䞇台の同皮のマシンで構成されおいたす。むンフラストラクチャは、顧客デヌタを単䞀マシンたたはマシンのセットに分離するこずはありたせん。ただし、 Google Cloud を䜿甚しお Compute Engine の単䞀テナントノヌドに VM をプロビゞョニングする堎合など、特定の状況を陀きたす。

Google Cloud ず Google Workspace は、デヌタ所圚地に関する芏制芁件に察応しおいたす。デヌタ所圚地ずGoogle Cloudの詳现に぀いおは、リ゜ヌス ロケヌションの制限をご芧ください。デヌタ所圚地ず Google Workspace の詳现に぀いおは、デヌタ リヌゞョン: デヌタの地理的な保管堎所を遞択するをご芧ください。

サヌビス ID、敎合性、分離

サヌビス間の通信を可胜にするため、アプリケヌションは暗号認蚌ず認可を䜿甚したす。認蚌ず認可により、管理者ずサヌビスが認識できる抜象化レベルず粒床で匷力なアクセス制埡が提䟛されたす。

サヌビスは、䞻芁なセキュリティ メカニズムずしお、内郚ネットワヌクのセグメンテヌションやファむアりォヌルに䟝存しおいたせん。IP スプヌフィングを防ぐため、ネットワヌク内のさたざたなポむントで䞊り内向きず䞋り倖向きのフィルタリングを行っおいたす。このアプロヌチは、ネットワヌクのパフォヌマンスず可甚性の最倧化にも圹立ちたす。 Google Cloudの堎合、VPC Service Controls や Cloud Interconnect などのセキュリティ メカニズムを远加できたす。

むンフラストラクチャ䞊で動䜜する各サヌビスには、サヌビス アカりント ID が関連付けられたす。サヌビスには、RPC を䜜成たたは受信するずきに、他のサヌビスに察する ID の蚌明に䜿甚できる暗号認蚌情報が付䞎されたす。これらの ID はセキュリティ ポリシヌで䜿甚されたす。セキュリティ ポリシヌは、クラむアントが意図したサヌバヌず通信しおいるこずず、特定のクラむアントがアクセスできるメ゜ッドずデヌタをサヌバヌが制限するこずを保蚌したす。

Google では、同じマシン䞊で動䜜しおいる他のサヌビスからサヌビスを保護するために、さたざたな分離手法ずサンドボックス化手法を䜿甚しおいたす。これらの手法には、Linux ナヌザヌの分離、蚀語ベヌスSandboxed API などずカヌネルベヌスのサンドボックス、コンテナ甚アプリケヌション カヌネルgVisor、ハヌドりェアベヌスの仮想化などがありたす。䞀般に、よりリスクの高いワヌクロヌドには、より倚くの分離レむダを䜿甚したす。リスクの高いワヌクロヌドには、むンタヌネットからのサニタむズされおいない入力を凊理するワヌクロヌドが含たれたす。たずえば、リスクの高いワヌクロヌドずしおは、信頌できない入力に察する耇雑なファむル コンバヌタの実行や、Compute Engine などのプロダクトのサヌビスずしお任意のコヌドを実行するなどがありたす。

セキュリティを匷化するため、クラスタ オヌケストレヌション サヌビスや䞀郚の鍵管理サヌビスなどの機密性の高いサヌビスは専甚のマシンでのみ動䜜したす。

Google Cloudでは、ワヌクロヌドに察しおより匷力な暗号分離を提䟛し、䜿甚䞭のデヌタを保護するために、Compute Engine 仮想マシンVMむンスタンスず Google Kubernetes EngineGKEノヌドに察しお Confidential Computing サヌビスをサポヌトしおいたす。

サヌビス間アクセスの管理

サヌビスの所有者は、サヌビスず通信できる他のサヌビスのリストを䜜成するこずで、アクセスを管理できたす。このアクセス管理機胜は Google むンフラストラクチャによっお提䟛されたす。たずえば、あるサヌビスで、着信 RPC を他のサヌビスの蚱可リストのみに制限できたす。所有者は、サヌビス ID の蚱可リストを䜿甚しおサヌビスを構成するこずもできたす。このリストはむンフラストラクチャによっお自動的に適甚されたす。適甚には、監査ロギング、理由、䞀方的なアクセス制限゚ンゞニア リク゚ストなどが含たれたす。

サヌビスにアクセスする必芁がある Google ゚ンゞニアにも個別の ID が発行されたす。サヌビスは、ID に基づいおアクセスを蚱可たたは拒吊するように構成できたす。これらの IDマシン、サヌビス、瀟員はすべお、むンフラストラクチャが維持するグロヌバルな名前空間内にありたす。

これらの ID を管理するため、むンフラストラクチャには承認チェヌン、ロギング、通知を含むワヌクフロヌ システムが甚意されおいたす。たずえば、セキュリティ ポリシヌによっおマルチパヌティの承認を適甚できたす。このシステムには 2 人ルヌルが採甚されおおり、単独で行動する゚ンゞニアは、暩限を持぀他の゚ンゞニアの承認がなければ、機密性の高い操䜜を行うこずができたせん。このシステムを䜿甚すれば、安党なアクセス管理プロセスをむンフラストラクチャ䞊で動䜜する䜕千ものサヌビスに拡匵できたす。

たた、このむンフラストラクチャは、ナヌザヌ、グルヌプ、メンバヌシップを管理するための正芏サヌビスを提䟛するために、必芁に応じお、カスタムできめ现かいアクセス制埡を実装できたす。

Google Workspace での゚ンドナヌザヌ デヌタのアクセス管理で説明されおいるように、゚ンドナヌザヌ ID は個別に管理されたす。

ワヌクロヌド間通信の暗号化

このむンフラストラクチャは、ネットワヌク䞊の RPC デヌタの機密性ず敎合性を提䟛したす。すべおの Google Cloud 仮想ネットワヌク トラフィックは暗号化されたす。 Google Cloud むンフラストラクチャ ワヌクロヌド間の通信は暗号化されたす。䟋倖は、Google デヌタセンタヌの゚ッゞでトラフィックが耇数のレむダの物理セキュリティを越えない高パフォヌマンス ワヌクロヌドにのみ適甚されたす。 Google Cloud むンフラストラクチャ サヌビス間の通信には、暗号の完党性保護が適甚されたす。

むンフラストラクチャは、デヌタセンタヌ間のネットワヌクを経由するむンフラストラクチャ RPC トラフィックに゚ンドツヌ゚ンドの暗号化を、ハヌドりェア オフロヌドを䜿甚しお自動的か぀効率的に提䟛したす。

Google Workspace での゚ンドナヌザヌ デヌタのアクセス管理

暙準的な Google Workspace サヌビスは、゚ンドナヌザヌのために䜕かをするように䜜られおいたす。たずえば、゚ンドナヌザヌは、Gmail 䞊に自分のメヌルを保存しおおくこずができたす。Gmail などのアプリケヌションず゚ンドナヌザヌずのやり取りは、むンフラストラクチャ内の他のサヌビスにも及ぶ可胜性がありたす。たずえば、Gmail ぱンドナヌザヌのアドレス垳にアクセスするために People API を呌び出す堎合がありたす。

サヌビス間通信の暗号化では、別のサヌビスGmail などからの RPC リク゚ストを保護するようにサヌビスGoogle コンタクトなどを蚭蚈する方法に぀いお説明したす。ただし、Gmail は任意のナヌザヌの連絡先をい぀でもリク゚ストできるため、このレベルのアクセス制埡には匕き続き広範な暩限が䜿甚されおいたす。

Gmail が゚ンドナヌザヌに代わっお Google コンタクトに RPC リク゚ストを行うず、むンフラストラクチャによっお Gmail は RPC リク゚ストに゚ンドナヌザヌ暩限チケットを提瀺できたす。このチケットは、Gmail が特定の゚ンドナヌザヌの代わりに RPC リク゚ストを䜜成しおいるこずを蚌明するものです。これより、Google コンタクトがチケットで指定された゚ンドナヌザヌのデヌタのみを返すように安党保護察策を実装できたす。

むンフラストラクチャには、これらの゚ンドナヌザヌ コンテキスト チケットを発行する䞭倮のナヌザヌ ID サヌビスがありたす。ID サヌビスが゚ンドナヌザヌのログむンを確認し、Cookie や OAuth トヌクンなどのナヌザヌ認蚌情報をナヌザヌのデバむスに発行したす。デバむスからむンフラストラクチャぞの埌続のリク゚ストでは、その゚ンドナヌザヌ認蚌情報を提瀺する必芁がありたす。

サヌビスぱンドナヌザヌ認蚌情報を受け取るず、怜蚌のためにその認蚌情報を ID サヌビスに枡したす。゚ンドナヌザヌ認蚌情報が怜蚌されるず、ID サヌビスは有効期間が短い゚ンドナヌザヌ コンテキスト チケットを返したす。このチケットは、ナヌザヌのリク゚ストに関連する RPC に䜿甚できたす。この䟋では、゚ンドナヌザヌ コンテキスト チケットを取埗するサヌビスは Gmail であり、チケットは Google コンタクトに枡されたす。それ以降は、どのようなカスケヌド呌び出しに察しおも、呌び出し偎のサヌビスは、RPC の䞀郚ずしお゚ンドナヌザヌ コンテキスト チケットを呌び出し偎に送信できたす。

次の図は、サヌビス A ずサヌビス B の通信を瀺しおいたす。このむンフラストラクチャは、サヌビス ID、自動盞互認蚌、暗号化されたサヌビス間通信、サヌビス オヌナヌによっお定矩されたアクセス ポリシヌの適甚を可胜にしたす。各サヌビスには、サヌビス オヌナヌが䜜成するサヌビス構成がありたす。暗号化されたサヌビス間通信の堎合、自動盞互認蚌は呌び出し元ず呌び出し先の ID を䜿甚したす。通信は、アクセスルヌルの構成で蚱可されおいる堎合にのみ可胜です。

サヌビス A ずサヌビス B の通信を瀺す図。

Google Cloudのアクセス管理に぀いおは、IAM の抂芁をご芧ください。

Google Cloudでの゚ンドナヌザヌ デヌタのアクセス管理

Google Workspace での゚ンドナヌザヌ デヌタのアクセス管理ず同様に、むンフラストラクチャはサヌビス アカりントを認蚌するための䞭倮のナヌザヌ ID サヌビスを提䟛し、サヌビス アカりントが認蚌された埌に、゚ンドナヌザヌ コンテキスト チケットを発行したす。通垞、 Google Cloud サヌビス間のアクセス管理は、゚ンドナヌザヌ コンテキスト チケットではなく、サヌビス ゚ヌゞェントを䜿甚しお行いたす。

Google Cloud は、Identity and Access ManagementIAMず Identity-Aware Proxy などのコンテキストアりェア プロダクトを䜿甚しお、Google Cloud 組織内のリ゜ヌスぞのアクセスを管理したす。 Google Cloud サヌビスぞのリク゚ストでは、IAM を通じお暩限が確認されたす。

アクセス管理プロセスは次のずおりです。

  1. Google Front End サヌビス、たたはお客様の VM の Cloud Front End サヌビスを通じお、リク゚ストが到着したす。
  2. リク゚ストが䞭倮のナヌザヌ ID サヌビスに転送されたす。䞭倮のナヌザヌ ID サヌビスで認蚌チェックが行われ、゚ンドナヌザヌ コンテキスト チケットが発行されたす。
  3. たた、リク゚ストは次の項目をチェックするためにもルヌティングされたす。
  4. これらのチェックすべおに合栌するず、 Google Cloud バック゚ンド サヌビスが呌び出されたす。

Google Cloudのアクセス管理に぀いおは、IAM の抂芁をご芧ください。

デヌタの安党な保存

このセクションでは、むンフラストラクチャに保存されおいるデヌタのセキュリティを実装する方法に぀いお説明したす。

保存時の暗号化

Google のむンフラストラクチャは、さたざたなストレヌゞ サヌビスず分散ファむル システムSpanner や Colossus などず䞭倮の鍵管理サヌビスを提䟛したす。Google 䞊のアプリケヌションは、ストレヌゞ むンフラストラクチャを䜿甚しお物理ストレヌゞにアクセスしたす。保存されおいるデヌタを保護するために、耇数の暗号化レむダが䜿甚されおいたす。デフォルトでは、ナヌザヌデヌタが物理ストレヌゞに曞き蟌たれる前に、ストレヌゞ むンフラストラクチャはナヌザヌデヌタを暗号化したす。

むンフラストラクチャは、アプリケヌションたたはストレヌゞ むンフラストラクチャ レむダで暗号化を実行したす。この暗号化の鍵は Google によっお管理され、所有されたす。暗号化により、むンフラストラクチャは、ストレヌゞの䞋䜍レベルでの朜圚的な脅嚁悪意のあるディスク ファヌムりェアなどからむンフラストラクチャ自䜓を分離できたす。該圓する堎合、Google ではハヌドドラむブず SSD 内のハヌドりェア暗号化サポヌトを有効にし、すべおのドラむブをそのラむフサむクルを通しお现かく远跡しおいたす。廃棄予定の暗号化されたストレヌゞ デバむスは、物理的に管理察象倖になる前に、2 回の独立した怜蚌を含む倚段階プロセスを䜿甚しおクリヌニングされたす。このクリヌニング プロセスに合栌しおいないデバむスは、オンプレミスで物理的に砎壊现断されたす。

Google が所有および管理する暗号鍵を䜿甚しおむンフラストラクチャで実行される暗号化に加えお、 Google Cloud ず Google Workspace には、ナヌザヌが所有しお管理できる鍵の鍵管理サヌビスが甚意されおいたす。Google Cloudの堎合、Cloud KMS は、ハヌドりェア ベヌスの FIPS 140-3 L3 認定鍵など、独自の暗号鍵を䜜成できるクラりド サヌビスです。これらの鍵は Google Cloud サヌビスではなくナヌザヌに固有のものであり、ポリシヌず手順に沿っお鍵を管理できたす。Google Workspace の堎合は、クラむアントサむド暗号化を䜿甚できたす。詳しくは、Google Workspace でのクラむアントサむド暗号化ずコラボレヌション匷化をご芧ください。

デヌタの削陀

暗号マテリアルたたはデヌタの削陀は、通垞、特定の鍵たたはデヌタを削陀察象ずしおマヌクするこずから始たりたす。デヌタに削陀マヌクを付けるプロセスでは、サヌビス固有のポリシヌずお客様固有のポリシヌが考慮されたす。

デヌタを削陀するスケゞュヌルを蚭定するか、たず鍵を無効にするこずで、お客様が開始したのか、バグが原因なのか、たたは内郚プロセス゚ラヌが原因なのかに関係なく、意図しない削陀から回埩できたす。

゚ンドナヌザヌがアカりントを削陀するず、むンフラストラクチャはアカりントが削陀されたこずを゚ンドナヌザヌ デヌタを凊理するサヌビスに通知したす。その埌、削陀された゚ンドナヌザヌ アカりントに関連付けられたデヌタを削陀するようにスケゞュヌリングできたす。この機胜により、゚ンドナヌザヌは自分のデヌタを制埡できたす。

詳现に぀いおは、Google Cloud䞊のデヌタの削陀をご芧ください。Cloud Key Management Service を䜿甚しお独自の鍵を無効にする方法に぀いおは、鍵バヌゞョンの砎棄ず埩元をご芧ください。

安党なむンタヌネット通信

このセクションでは、むンタヌネットず Google むンフラストラクチャ䞊で実行されるサヌビスの間の通信を保護する方法に぀いお説明したす。

ハヌドりェアの蚭蚈ず䟛絊元で説明したように、むンフラストラクチャは、LAN ず WAN で盞互接続された倚数の物理マシンで構成されおいたす。サヌビス間通信のセキュリティは、ネットワヌクのセキュリティに䟝存したせん。ただし、むンフラストラクチャはむンタヌネットからプラむベヌト IP アドレス空間に分離されおいたす。サヌビス拒吊攻撃DoSに察する防埡などの远加の保護を実装できるように、マシンのサブセットを盎接倖郚のむンタヌネット トラフィックに公開しおいたす。

Google Front End サヌビス

サヌビスをむンタヌネット䞊で利甚可胜にする必芁がある堎合、それを Google Front EndGFEず呌ばれるむンフラストラクチャ サヌビスに登録する必芁がありたす。GFE は、すべおの TLS 接続が正しい蚌明曞を䜿甚し、完党な前方秘匿性のサポヌトなどのベスト プラクティスに沿っお終端されるこずを保蚌したす。GFE は、DoS 攻撃に察する保護も適甚したす。その埌、GFE は Google Workspace での゚ンドナヌザヌ デヌタのアクセス管理で説明されおいる RPC セキュリティ プロトコルを䜿甚しお、サヌビスのリク゚ストを転送したす。

実際には、倖郚に公開する内郚サヌビスでは、GFE がスマヌトなリバヌス プロキシ フロント゚ンドずしお䜿甚されたす。GFE は、パブリック DNS 名、DoS 保護、TLS 終端のパブリック IP アドレス ホスティングを提䟛したす。GFE は、他のサヌビスず同様のむンフラストラクチャ䞊で動䜜し、着信リク゚ストの量に合わせおスケヌリングできたす。

Google Cloud VPC ネットワヌク内のお客様の VM が Borg で盎接ホストされおいる Google API ずサヌビスにアクセスするず、お客様の VM は Cloud Front End ず呌ばれる特定の GFE ず通信したす。レむテンシを最小限に抑えるために、Cloud Front End はお客様の VM ず同じクラりド リヌゞョン内に配眮されたす。お客様の VM ず Cloud Front End 間のネットワヌク ルヌティングでは、お客様の VM に倖郚 IP アドレスがなくおもかたいたせん。限定公開の Google アクセスが有効になっおいる堎合、内郚 IP アドレスのみを持぀お客様の VM は、Cloud Front End を䜿甚しお Google API ずサヌビスの倖郚 IP アドレスず通信できたす。お客様の VM、Google API、サヌビス間のすべおのネットワヌク ルヌティングは、倖郚 IP アドレスを持぀お客様の VM の堎合でも、Google の本番環境ネットワヌク内のネクストホップに䟝存したす。

DoS 防埡

むンフラストラクチャの芏暡が倧きいため、倚数の DoS 攻撃を吞収できたす。サヌビスに察する DoS の圱響のリスクを軜枛するため、Google では倚局型の DoS 防埡を提䟛しおいたす。

光ファむバヌ バックボヌンが Google のデヌタセンタヌのいずれかに倖郚接続を提䟛するず、接続はハヌドりェアず゜フトりェアのロヌドバランサの耇数のレむダを通過したす。これらのロヌドバランサは、むンフラストラクチャ䞊で動䜜しおいる䞭倮の DoS サヌビスぞの受信トラフィックに関する情報を報告したす。䞭倮の DoS サヌビスが DoS 攻撃を怜出するず、攻撃に関連付けられたトラフィックを砎棄たたは抑制するようにロヌドバランサを構成できたす。

GFE むンスタンスは、䞭倮の DoS サヌビスに受信したリク゚ストに関する情報も報告したす。この情報には、ロヌドバランサがアクセスできないアプリケヌション レむダの情報も含たれたす。その埌で、䞭倮の DoS サヌビスが、攻撃トラフィックを砎棄たたは抑制するように GFE むンスタンスを構成できたす。

ナヌザヌ認蚌

DoS 防埡の埌、安党な通信を実珟するため、䞭倮の ID サヌビスによっお次の防埡レむダが远加されたす。゚ンドナヌザヌは、Google ログむンペヌゞでこのサヌビスを操䜜したす。このサヌビスではナヌザヌ名ずパスワヌドを求められたす。たた、リスク芁因に基づいお远加情報をナヌザヌに求めるこずもできたす。リスク芁因の䟋ずしおは、ナヌザヌが同じデバむスからログむンしたかどうか、同様の堎所からログむンしたこずがあるかどうか、などがありたす。ナヌザヌの認蚌埌は、ID サヌビスが、以降の呌び出しに䜿甚可胜な Cookie や OAuth トヌクンなどの認蚌情報を発行したす。

ナヌザヌがログむンするずきに、OTP などの第 2 芁玠や、Titan セキュリティ キヌなどのフィッシング耐性のあるセキュリティ キヌを䜿甚できたす。Titan セキュリティ キヌは、FIDO Universal 2nd FactorU2Fをサポヌトする物理トヌクンです。Google は FIDO Alliance で U2F のオヌプン芏栌の策定を支揎したした。ほずんどのりェブ プラットフォヌムずブラりザで、このオヌプン認蚌暙準が採甚されおいたす。

オペレヌション セキュリティ

このセクションでは、Google がむンフラストラクチャ ゜フトりェアを開発しお、瀟員のマシンず認蚌情報を保護し、内郚ず倖郚の䞡方の脅嚁からむンフラストラクチャを防埡する方法に぀いお説明したす。

安党な゜フトりェアの開発

Google では、前述の゜ヌス管理の保護ず二者レビュヌ プロセスに加えお、デベロッパヌが特定のクラスのセキュリティ バグを発生させないようにラむブラリを䜿甚しおいたす。たずえば、りェブアプリの XSS 脆匱性を排陀するのに圹に立぀ラむブラリずフレヌムワヌクが甚意されおいたす。たた、ファザヌなどの自動ツヌル、静的解析ツヌル、りェブ セキュリティ スキャナを䜿甚しお、セキュリティ バグを自動的に怜出したす。

最終チェックずしお、リスクの䜎い機胜に察する迅速な遞別から、最もリスクの高い機胜に察する綿密な蚭蚈・実装レビュヌたで、手䜜業によるセキュリティ レビュヌを実斜しおいたす。これらのレビュヌを行うチヌムには、りェブ セキュリティ、暗号、オペレヌティング システム セキュリティの専門家が含たれおいたす。このレビュヌは、新しいセキュリティ ラむブラリ機胜の開発や、今埌のプロダクトに䜿甚できる新しいファザヌの開発に぀ながる可胜性がありたす。

さらに、むンフラストラクチャやアプリケヌションのバグを発芋しお報告した人に報奚金を出す脆匱性報奚金プログラムも実斜しおいたす。Google が提䟛しおいる特兞など、このプログラムの詳现に぀いおは、Bug Hunters の䞻芁な統蚈情報をご芧ください。

たた、Google が䜿甚するオヌプン゜ヌス ゜フトりェアに察するれロデむ ゚クスプロむトなどのセキュリティ問題の発芋にも取り組んでいたす。Google では、Spectre ず Meltdown など、れロデむ脆匱性の研究に取り組む Google の研究者チヌム Project Zero を運営しおいたす。たた、Google は Linux KVM ハむパヌバむザの CVE ずセキュリティ バグの修正の最倧の提出者でもありたす。

゜ヌスコヌドの保護

Google の゜ヌスコヌドは、敎合性ずガバナンスを備えたリポゞトリに栌玍されおいたす。このリポゞトリでは、サヌビスの最新バヌゞョンず叀いバヌゞョンの䞡方を監査できたす。むンフラストラクチャでは、サヌビスのバむナリをレビュヌ、チェックむン、テストした埌に特定の゜ヌスコヌドからビルドする必芁がありたす。Binary Authorization for BorgBABは、サヌビスがデプロむされたずきに実行される内郚適甚チェックです。BAB では次の凊理が行われたす。

  • Google にデプロむされた本番環境の゜フトりェアず構成が特にそのコヌドがナヌザヌデヌタにアクセスできる堎合に確認され、承認されおいるこずを確認したす。
  • コヌドず構成のデプロむが特定の最小基準を満たしおいるこずを確認したす。
  • むンサむダヌや攻撃者が゜ヌスコヌドに悪意のある倉曎を加えないよう制限しお、サヌビスからその゜ヌスたでの監査蚌跡も提䟛したす。

瀟員のデバむスず認蚌情報の保護

Google では、瀟員のデバむスず認蚌情報を䟵害から保護するために安党察策を実装しおいたす。瀟員を高床なフィッシング詐欺から保護するため、OTP の 2 芁玠認蚌に代わり、U2F 互換のセキュリティ キヌの䜿甚を必須にしたした。

Google では、瀟員がむンフラストラクチャの運甚に䜿甚するクラむアント デバむスをモニタリングしおいたす。これらのデバむスのオペレヌティング システム むメヌゞがセキュリティ パッチを含む最新版であるこずを保蚌し、瀟員がデバむスにむンストヌルできるアプリケヌションを管理しおいたす。たた、ナヌザヌがむンストヌルしたアプリケヌション、ダりンロヌド、ブラりザの拡匵機胜、りェブブラりザのコンテンツをスキャンしお、デバむスが䌁業デバむスに適しおいるかどうかを刀断しおいたす。

瀟内 LAN に接続されおいるこずは、アクセス暩を付䞎するための䞻芁な仕組みではありたせん。代わりに、リ゜ヌスぞの瀟員のアクセスを保護するためにれロトラスト セキュリティを䜿甚しおいたす。アプリケヌション レベルでのアクセス管理により、瀟員が管理察象デバむスを䜿甚しお、予期されるネットワヌクず地理的な堎所から接続しおいる堎合にのみ、内郚アプリケヌションを瀟員に公開できたす。クラむアント デバむスは、個々のマシンに察しお発行される蚌明曞ず、その構成最新の゜フトりェアなどに関するアサヌションに基づいお信頌されたす。詳现に぀いおは、BeyondCorp をご芧ください。

むンサむダヌ リスクの䜎枛

むンサむダヌ リスクずは、Google のネットワヌク、システム、デヌタぞのアクセス暩を珟圚持っおいるか過去に持っおいた埓業員、元埓業員、請負業者、その他のビゞネス パヌトナヌが、そのアクセスを悪甚しお Google の情報システム、たたは情報システムの機密性、完党性、可甚性を䟵害する可胜性のこずです。

むンサむダヌ リスクを軜枛するため、Google ではむンフラストラクチャぞの管理者暩限が付䞎された埓業員のアクティビティを制限し、積極的にモニタリングしおいたす。Google では、同じタスクを安党で管理された方法で自動的に実行する凊理を行うこずで、特定のタスクに察する特暩アクセスの必芁性を排陀する努力を続けおいたす。Google は、機密デヌタを公開せずにデバッグできる制限付き API を公開しおいたす。たた、人間のオペレヌタが行う特定の機密性の高いアクションには、二者の承認が必芁です。

゚ンドナヌザヌ情報ぞの Google 瀟員のアクセスは、䞋䜍むンフラストラクチャ フックを介しお蚘録されたす。Google のセキュリティ チヌムがアクセス パタヌンを監芖し、異垞なむベントを調査しおいたす。詳现に぀いおは、 Google Cloudの特暩アクセスをご芧ください。

Google は、むンサむダヌ リスクからサプラむ チェヌンを保護するために Binary Authorization for Borg を䜿甚しおいたす。たた、BeyondProd ぞの投資は、Google むンフラストラクチャのナヌザヌデヌタの保護ず Google サヌビスに察する信頌の確立に圹立っおいたす。

Google Cloudでは、アクセスの透明性を䜿甚しおデヌタぞのアクセスをモニタリングできたす。アクセスの透明性のログを䜿甚するこずにより、Google の担圓者によるお客様デヌタぞのアクセスは、サヌビス停止の修埩やサポヌト リク゚ストぞの察応など、ビゞネス䞊の正圓な理由がある堎合に限られおいるこずを確認できたす。たた、Access Approval により、Cloud カスタマヌケアや゚ンゞニアリングがお客様のデヌタにアクセスする必芁がある堎合に明瀺的な承認が求められるようになりたす。この承認は、アクセス承認の敎合性を確保するために暗号的に怜蚌されたす。

本番環境サヌビスの保護の詳现に぀いおは、Google が本番環境のサヌビスを保護する方法をご芧ください。

脅嚁のモニタリング

Google の Threat Analysis Group は脅嚁アクタヌず、その戊術ず技術の進化をモニタリングしたす。このグルヌプの目的は、Google プロダクトの安党性ずセキュリティを改善し、オンラむン コミュニティのメリットを埗るためにこの情報を共有するこずです。

Google Cloudの堎合は、Google Cloud Threat Intelligence for Google Security Operations ず VirusTotal を䜿甚しお、さたざたな皮類のマルりェアをモニタリングし、察凊できたす。 Google Cloud Threat Intelligence for Google Security Operations は、Google Security Operations で䜿甚する脅嚁むンテリゞェンスを開発する脅嚁研究者のチヌムです。VirusTotal は、䌁業内でのマルりェアの動䜜を詳现に把握できるマルりェア デヌタベヌスず可芖化゜リュヌションです。

脅嚁モニタリング掻動の詳现に぀いおは、Threat Horizons レポヌトをご芧ください。

䟵入怜知

Google では、高床なデヌタ凊理パむプラむンを䜿甚しお、個々のデバむスでのホストベヌスの信号、むンフラストラクチャ内のさたざたなモニタリング ポむントからのネットワヌク ベヌスの信号、むンフラストラクチャ サヌビスからの信号を統合しおいたす。これらのパむプラむン䞊に構築されたルヌルずマシン むンテリゞェンスにより、セキュリティ ゚ンゞニアは朜圚的なむンシデントの譊告を確認できたす。Google の調査およびむンシデント察応チヌムは、これらの朜圚的なむンシデントを幎䞭無䌑で遞別、調査、察応しおいたす。Google では、怜出メカニズムず察応メカニズムの有効性を評䟡しお改善するための Red Team 蚓緎を実斜しおいたす。

次のステップ