Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Eigen securitychip bewaakt Google-servers

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 19 januari 2017 08:00 uur

Hoe ver kan een cloudprovider gaan in het beveiligen van de eigen infrastructuur? Heel ver, zo laat Google zien. Vorige week publiceerde Google een document waarin het haar beveiliging uit de doeken doet. Meest opmerkelijke feit is dat het bedrijf al haar servers heeft voorzien een beveiligingschip die Google zelf heeft ontwikkeld. Dan gaat het niet alleen om servers die in de eigen Google-datacenters staan, maar ook om servers die in niet-Google datacenters worden geplaatst. De chip is verplicht, ook bij colo’s. Dankzij de technologie in de chip is Google in staat om te bepalen of de server, of netwerkdevice, ‘legitiem’ is. Een apparaat dat niet op deze manier kan worden geïndentificeerd, wordt direct afgesloten van Googles netwerkinfra.

Het document verschaft een behoorlijk gedetailleerd overzicht van het securitybeleid van Google dat uit zes lagen bestaat. Dat zijn niet de gebruikelijke lagen die we vaker zien als het gaat om securityarchitectuur. Google heeft een veel meer functionele architectuur waarmee het haar diensten afschermt. Het is dus niet een gelaagde architectuur waarmee netwerkpenetratie wordt weergegeven. Nee, het gaat vooral om de beveiliging van de services zoals Gmail, Google Maps, Picasa en natuurlijk de diensten op het Google Cloud Platform. Een van de lagen is de Service Deployment-laag waarin de beveiliging en toegang op eindgebruikersdata is geregeld, maar ook encryptie van onderling verkeer tussen de diverse services, de service identiteit en integriteit.

Daarnaast besteedt Google heel veel aandacht aan fysieke beveiliging. Bekend is dat vrijwel niemand toegang heeft tot de datacenters die op hun beurt streng beveiligd zijn met camera’s, bewegingssensoren op laserdetectie en verschillende vormen van biometrische beveiliging. Maar de beveiligingschip mag ook tot de categorie ‘fysieke security’ worden gerekend. De chip is een fysiek ding dat in de hardware wordt geplaatst. Daar monitort de chip een heleboel zaken, bijvoorbeeld welke software wordt opgestart en gebruikt op de server – en vooral of dit door Google geverifieerde software is. Voor zaken als de kernel, de bootloader en het besturingssysteem deelt de chip handtekeningen uit die het telkens controleert als er services op de server worden gestart, doorgaans na een reboot of een update.

Dat Google zoveel openheid van zaken geeft, getuigt van een enorm vertrouwen. Google wil vooral laten zien dat security topprioriteit is waaraan honderden engineers elke dag werken. De centrale boodschap is vooral dat er geen platform veiliger is dan Google Cloud. Dat is de troef die Google uitspeelt.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.