Ushbu bo'limda biz internet va Google infratuzilmasida ishlaydigan xizmatlar o'rtasidagi aloqani qanday himoyalashimiz tasvirlangan.
Uskuna dizayni va kelib chiqishi bo'limida muhokama qilinganidek , infratuzilma LAN va WAN orqali o'zaro bog'langan ko'plab jismoniy mashinalardan iborat. Xizmatlararo aloqa xavfsizligi tarmoq xavfsizligiga bog'liq emas. Biroq, biz o'z infratuzilmamizni internetdan shaxsiy IP manzil maydoniga ajratamiz. Xizmatni rad etish (DoS) hujumlaridan himoya qilish kabi qo'shimcha himoyalarni amalga oshirishimiz uchun biz faqat mashinalarning bir qismini tashqi internet trafigiga ta'sir qilamiz.
Google Front End xizmati
Agar xizmat internetda mavjud bo'lishi kerak bo'lsa, u o'zini Google Front End (GFE) deb nomlangan infratuzilma xizmatida ro'yxatdan o'tkazishi mumkin. GFE barcha TLS ulanishlarini to'g'ri sertifikatlar bilan va mukammal oldinga siljish maxfiyligini qo'llab-quvvatlash kabi eng yaxshi amaliyotlarga rioya qilish orqali to'xtatilishini ta'minlaydi. GFE shuningdek, DoS hujumlariga qarshi himoya vositalarini qo'llaydi. Keyin GFE Google Workspace’dagi oxirgi foydalanuvchi ma’lumotlariga kirishni boshqarish bo‘limida muhokama qilingan RPC xavfsizlik protokolidan foydalangan holda xizmatga so‘rovlarni yo‘naltiradi .
Aslida, o'zini tashqarida nashr etishi kerak bo'lgan har qanday ichki xizmat GFE-dan aqlli teskari proksi-server sifatida foydalanadi. GFE o'zining umumiy DNS nomini, DoS himoyasini va TLSni tugatishning umumiy IP manzilini taqdim etadi. GFE har qanday boshqa xizmatlar kabi infratuzilmada ishlaydi va kiruvchi so'rovlar hajmiga mos kelishi mumkin.
Google Cloud’dagi mijoz VM’lari GFE’da ro‘yxatdan o‘tmaydi. Buning o'rniga, ular Compute Engine tarmoq stekidan foydalanadigan GFE ning maxsus konfiguratsiyasi bo'lgan Cloud Front End bilan ro'yxatdan o'tadilar. Cloud Front End mijozning VM’lariga o‘zlarining umumiy yoki shaxsiy IP-manzillari orqali bevosita Google xizmatidan foydalanish imkonini beradi. (Shaxsiy IP-manzillar faqat Private Google Access yoqilganda mavjud.)
DoS himoyasi
Bizning infratuzilmamiz ko'lami unga ko'plab DoS hujumlarini o'zlashtirishga imkon beradi. Xizmatlarga DoS ta'siri xavfini yanada kamaytirish uchun bizda ko'p bosqichli, ko'p qatlamli DoS himoyasi mavjud.
Bizning optik tolali magistralimiz ma'lumotlar markazlarimizdan biriga tashqi ulanishni ta'minlaganida, ulanish apparat va dasturiy ta'minot yuk balanslagichlarining bir necha qatlamlaridan o'tadi. Ushbu yuk balanslagichlari infratuzilmada ishlaydigan markaziy DoS xizmatiga kiruvchi trafik haqida ma'lumot beradi. Markaziy DoS xizmati DoS hujumini aniqlaganida, xizmat yuk balanslagichlarini hujum bilan bog'liq trafikni tushirish yoki kamaytirish uchun sozlashi mumkin.
GFE misollari, shuningdek, markaziy DoS xizmatiga qabul qilingan so'rovlar haqida ma'lumot beradi, jumladan, yuk balanslagichlari kirish huquqiga ega bo'lmagan dastur qatlami ma'lumotlari. Keyinchalik markaziy DoS xizmati GFE misollarini hujum trafigini tushirish yoki kamaytirish uchun sozlashi mumkin.
Foydalanuvchi autentifikatsiyasi
DoS himoyasidan so'ng xavfsiz aloqa uchun keyingi himoya qatlami markaziy identifikatsiya xizmatidan keladi. Yakuniy foydalanuvchilar ushbu xizmat bilan Google login sahifasi orqali o'zaro aloqada bo'lishadi. Xizmat foydalanuvchi nomi va parolni so'raydi, shuningdek, foydalanuvchilardan xavf omillari asosida qo'shimcha ma'lumot olish uchun da'vo qilishi mumkin. Xavf omillariga misol sifatida foydalanuvchilarning o'tmishda bir xil qurilmadan yoki shunga o'xshash joydan kirganligi kiradi. Foydalanuvchini autentifikatsiya qilgandan so'ng, identifikatsiya xizmati keyingi qo'ng'iroqlar uchun ishlatilishi mumkin bo'lgan cookie-fayllar va OAuth tokenlari kabi hisob ma'lumotlarini chiqaradi.
Titan Security Key kabi fishingga chidamli xavfsizlik kalitlari kabi ikkinchi omillardan foydalanishlari mumkin . Titan xavfsizlik kaliti FIDO universal 2-faktorini (U2F) qo'llab-quvvatlaydigan jismoniy tokendir . Biz FIDO ittifoqi bilan U2F ochiq standartini ishlab chiqishga yordam berdik. Ko'pgina veb-platformalar va brauzerlar ushbu ochiq autentifikatsiya standartini qabul qildilar.