Google xizmatlari - bu bizning ishlab chiquvchilarimiz infratuzilmamizda yozadigan va ishga tushiradigan ikkilik ilovalar. Gmail serverlari, Spanner maʼlumotlar bazalari, Cloud Storage serverlari, YouTube video transkoderlari va mijoz ilovalari bilan ishlaydigan Compute Engine VM’lari Google xizmatlariga misol boʻla oladi. Ish yukining talab qilinadigan ko'lamini boshqarish uchun minglab mashinalar bir xil xizmatning ikkilik fayllarini ishga tushirishi mumkin. Borg deb nomlangan klaster orkestrlash xizmati to'g'ridan-to'g'ri infratuzilmada ishlaydigan xizmatlarni boshqaradi.
Infratuzilma infratuzilmada ishlaydigan xizmatlar o'rtasida hech qanday ishonchni o'z zimmasiga olmaydi. Ushbu ishonch modeli nol ishonchli xavfsizlik modeli deb ataladi . Ishonchsiz xavfsizlik modeli tarmoq ichida yoki tashqarisida bo'lishidan qat'i nazar, sukut bo'yicha hech qanday qurilma yoki foydalanuvchi ishonchli emasligini anglatadi.
Infratuzilma ko'p ijarachilarga mo'ljallanganligi sababli, mijozlarimiz (iste'molchilar, korxonalar va hatto o'z ma'lumotlarimiz) ma'lumotlari umumiy infratuzilma bo'ylab taqsimlanadi. Ushbu infratuzilma o'n minglab bir hil mashinalardan iborat. Infratuzilma mijozlar ma’lumotlarini bitta mashina yoki mashinalar to‘plamiga ajratmaydi, faqat Compute Engine uchun yagona ijarachi tugunlarida VM’larni ta’minlash uchun Google Cloud’dan foydalanayotganingiz kabi muayyan holatlar bundan mustasno .
Google Cloud va Google Workspace maʼlumotlar rezidentligi boʻyicha meʼyoriy talablarni qoʻllab-quvvatlaydi. Maʼlumotlar rezidentligi va Google Cloud haqida qoʻshimcha maʼlumot olish uchun “ Maʼlumotlar rezidentligi va suvereniteti talablarini amalga oshirish ” boʻlimiga qarang . Maʼlumotlar rezidentligi va Google Workspace haqida koʻproq maʼlumot olish uchun Maʼlumotlar mintaqalari: Maʼlumotlaringiz uchun geografik joylashuvni tanlang .
Xizmat identifikatori, yaxlitligi va izolyatsiyasi
Xizmatlararo aloqani yoqish uchun ilovalar kriptografik autentifikatsiya va avtorizatsiyadan foydalanadi. Autentifikatsiya va avtorizatsiya ma'murlar va xizmatlar tushuna oladigan mavhumlik darajasida kuchli kirish nazoratini ta'minlaydi.
Xizmatlar asosiy xavfsizlik mexanizmi sifatida ichki tarmoq segmentatsiyasi yoki xavfsizlik devoriga tayanmaydi. Tarmoqimizning turli nuqtalarida kirish va chiqish filtri IP-spoofingning oldini olishga yordam beradi. Ushbu yondashuv, shuningdek, tarmog'imiz unumdorligi va mavjudligini maksimal darajada oshirishga yordam beradi. Google Cloud uchun siz VPC Service Controls va Cloud Interconnect kabi qo'shimcha xavfsizlik mexanizmlarini qo'shishingiz mumkin .
Infratuzilmada ishlaydigan har bir xizmat bog'langan xizmat hisobi identifikatoriga ega. Xizmat kriptografik hisobga olish ma'lumotlari bilan ta'minlangan bo'lib, u RPClarni yaratish yoki qabul qilishda boshqa xizmatlarga o'z shaxsini tasdiqlash uchun foydalanishi mumkin. Bu identifikatorlar xavfsizlik siyosatida qo'llaniladi. Xavfsizlik siyosati mijozlarning mo'ljallangan server bilan bog'lanishini va serverlar ma'lum mijozlar kirishi mumkin bo'lgan usullar va ma'lumotlarni cheklashini ta'minlaydi.
Xizmatni bir xil mashinada ishlaydigan boshqa xizmatlardan himoya qilish uchun biz turli xil izolyatsiya va qum zonasi usullaridan foydalanamiz. Bu usullarga Linux foydalanuvchilarini ajratish, tilga asoslangan (masalan, Sandboxed API ) va yadroga asoslangan sandboxlar, konteynerlar uchun dastur yadrosi (masalan, gVisor ) va apparat virtualizatsiyasi kiradi. Umuman olganda, biz xavfli ish yuklari uchun ko'proq izolyatsiya qatlamlaridan foydalanamiz. Xavfli ish yuklari qo'shimcha ishlov berishni talab qiladigan foydalanuvchi tomonidan taqdim etilgan narsalarni o'z ichiga oladi. Masalan, xavfliroq ish yuklari foydalanuvchi tomonidan taqdim etilgan maʼlumotlarda murakkab fayl konvertorlarini ishga tushirish yoki App Engine yoki Compute Engine kabi mahsulotlar uchun foydalanuvchi tomonidan taqdim etilgan kodni ishga tushirishni oʻz ichiga oladi.
Qo'shimcha xavfsizlik uchun klaster orkestratsiyasi xizmati va ba'zi asosiy boshqaruv xizmatlari kabi nozik xizmatlar faqat maxsus mashinalarda ishlaydi.
Google Cloud’da ish yuklaringiz uchun kuchliroq kriptografik izolyatsiyani ta’minlash va foydalanilayotgan ma’lumotlarni himoya qilish maqsadida biz Compute Engine VM’lari va Google Kubernetes Engine (GKE) tugunlari uchun maxfiy hisoblash xizmatlarini qo‘llab-quvvatlaymiz.