In einem jetzt veröffentlichten Whitepaper legt Google die zur Absicherung seiner Infrastruktur getroffenen Maßnahmen ausführlich dar. In dem Dokument wird unter anderem beschrieben, wie neben Verbraucherdiensten, etwa der Google-Suche und Gmail, auch Enterprise-Services wie G Suite und die Google Cloud Platform (GCP) abgesichert werden.
Die mehrstufig angelegen Maßnahmen bauen aufeinander auf. Sie beginnn bei der physischen Absicherung der Rechenzentren und gehen über Sicherheitsmaßnahmen für die zugrundeliegenden Hardware und Software bis zu technischen Restriktionen und Verfahren, die dazu beitragen sollen, die Betriebssicherheit zu gewährleisten.
Während vieles davon auch von anderen Rechenzentrumsbetreibern bekannt ist unterscheidet sich Googles Konzept zumindest dadurch, dass es in der Hardware eigene, maßgeschneiderte Chips verbaut und sogar einen Hardware-Sicherheitschip entwickelt. Der wird derzeit sowohl auf Servern als auch Peripheriegeräten genutzt. “Dieser Chip erlaubt uns, auf der Hardwareebene legitime Google-Geräte sicher zu identifizieren und zu authentifizieren”, erklärt der Kontzern. Low-Level-Komponenten wie BIOS, Bootloader, Kernel und Betriebssystem-Image werden durch kryptografische Signaturen gesichert.
Dem Papier zufolge werden die Daten von Googles zahlreichen Anwendungen und Services grundsätzlich verschlüsselt, bevor sie auf ein Speicherlaufwerk geschrieben werden. Das soll zum Beispiel verhindern, dass Firmware unberechtigt auf Daten zugreifen kann. Die Verschlüsselung von Festplatten und SSDs werde während der gesamten Nutzungsdauer überwacht. Wenn sie dann schließlich ausgemustert werden, wird mit zwei voneinander unabhängige Prüfungen nachgeschaut, ob die Daten erfolgreich gelöscht wurden. Im Zweifelsfall werden die Laufwerke vor Ort zerstört.
Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.
Wenn die von Google betriebenen Server in von Dritten betriebenen Rechenzentren stehen kommen dort zusätzlich eigene biometrische Identifikationssysteme, Kameras und Metalldetektoren zum Einsatz, um die physische Sicherheit zu verbessern.
Bei von Google-Mitarbeitern verwendeten Geräten ist Zwei-Faktor-Authentifizierung obligatorisch. Mittels regelmäßiger Scans wird geprüft, ob das Betriebssystem auf dem neuesten Stand ist und alle verfügbaren Sicherheitspatches eingespielt sind. Der Konzern gibt seinen außerdem mit einer Whitelist vor, welche Anwendungen installiert werden dürfen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Für die Zugangsberechtigung wird mit Access-Management-Kontrollen auf Anwendungsebene gesorgt. “Das gibt interne Anwendungen nur für bestimmte Nutzer frei, die von einem korrekt verwalteten Gerät und von erwarteten Netzwerken sowie geografischen Standorten kommen”, führt Google aus.
Aktuelle und frühere Versionen von Googles Quellcode sind in einem zentralen Repository gespeichert und jederzeit auditierbar. Für Zugriffe und Veränderungen sind stzrenge Anforderungen zu erfüllen. Dazu gehört etwa die Zustimmung anderer Softwareentwickler: “Diese Anforderungen schränken die Chancen eines Insiders oder Gegenspielers ein, bösartige Veränderungen am Quellcode vorzunehmen. Es sorgt außerdem für eine forensische Spur von einem Service zurück zu seiner Quelle”, teilt Google mit
[mit Material von Bernd Kling, ZDNet.de]