Raport o bezpieczeństwie w Google przyniósł jedną niespodziankę

Opublikowany niedawno raport na temat bezpieczeństwa infrastruktury Google to w większości całkiem standardowe procedury. Nie dziwi wymaganie uwierzytelnienia użytkowników, ochrona przed atakami DoS czy też szyfrowanie magazynów danych.

Szczególnie zaciekawił mnie fragment mówiący o tym, w jaki sposób składowany jest kod źródłowy usług i aplikacji Google. Niestety, okazał się on do bólu banalny i znajomy każdemu, kto zajmował się tworzeniem oprogramowania. Zwykłe repozytorium, trzymające poprzednie wersje kodu źródłowego (choć Google tego nie zdradza, podejrzewam że to popularny GIT), a w przypadku włączania zmiany do gałęzi produkcyjnej potrzebna jest aprobata innego programisty. Nic ekscytującego.

Czytelnik raportu natrafi jednak na jeden niespodziewany smaczek. W rozdziale poświęconym bezpieczeństwu sprzętowemu znajduje się następujący fragment:

W centrum danych Google znajdują się tysiące serwerów podłączonych do lokalnej sieci. Zarówno płyty główne serwerów jak i ich karty sieciowe są zaprojektowane przez Google. […] Dodatkowo, zaprojektowaliśmy własne mikroprocesory, w tym chip służący do realizacji sprzętowego bezpieczeństwa. Znajduje się on zarówno w serwerach jak i w urządzeniach peryferyjnych. Te mikroprocesory pozwalają nam bezpiecznie zidentyfikować i uwierzytelnić prawdziwe urządzenia należące do Google na poziomie sprzętowym.

Posiadanie tego typu zabezpieczeń w dużym stopniu ogranicza możliwości takich ataków jak podmienienie firmware’u sprzętu czy bootloadera systemu.

W innym rozdziale raportu Google zdradza, że urządzenia należące do pracowników są regularnie skanowane pod kątem bezpieczeństwa i aktualizacji systemu operacyjnego. Zmniejsza to możliwość ataków na znane błędy w systemach i aplikacjach przyniesionych na urządzeniu pracownika do sieci lokalnej firmy.

Cały dokument znajduje się pod tym adresem, a na jego końcu znajdziemy dodatkowe odnośniki do bardziej szczegółowych raportów.