揭開Google 資料中心面紗！安檢、保密措施帶你看

Google 資料中心，就連Google 員工也僅1% 有權限進入，數據即黃金， ... 台灣資訊科技產業的重要發聲角色，目標是不斷透過傳遞獨特觀點的文字，為台灣 ... 集團資訊 關於我們 集團介紹 我們的團隊 旗下媒體 關鍵評論網 everylittled. INSIDE 運動視界 Cool3c 電影神搜 未來大人物 歐搜哇 旗下節目 多元服務 Ad2 Taketla拿票趣 關鍵議題研究中心 Cr.ED ShareParty 與我們合作 內容行銷與廣告業務 異業合作 加入我們 新聞中心 趨勢 揭開Google資料中心面紗！安檢、保密措施帶你看 2020/07/01 INSIDE硬塞的網路趨勢觀察 Google 、數據 、資安 、安全 、資料中心 Google資料中心，就連Google員工也僅1%有權限進入，數據即黃金，保護內部的規範和安全防護措施到底有哪些？ 評論 Shutterstock/達志影像 評論 原文刊登於GoogleBlog，作者Google亞太區資料中心硬體維運總經理RandyFirst，INSDIE編審後刊出。

在Google服務期間，我有很多時間與開發人員一起工作，而資料中心對於他們的工作至關重要，但大多數的開發人員卻從未踏入過資料中心，甚至僅有1%的Google員工被允許進入資料中心，相信也有很多人非常好奇Google資料中心的高牆背後到底是如何運作的。

因此，我將為大家解答各種常見的疑問，例如：為什麼參訪資料中心會受到如此嚴格的限制？Google資料中心的安全措施有多嚴密？我們又如何滿足法規要求？  首先說明，為了保護客戶資料的安全，我們需要確保資料中心的實體結構絕對安全，因此每座資料中心都有六層的實體安全防護設計，以防止他人未經授權擅自闖入。

接著歡迎大家觀看Google資料中心安全防護介紹影片，跟著我的同事StephanieWong穿越層層保護機制，深入探索資料中心的核心，並繼續閱讀瞭解更多秘辛：務必遵守「最低權限」和「禁止尾隨」的規定 GoogleGoogle所有的Google資料中心都嚴格實施這兩項規定。

「最低權限」規定意即人員進出應僅具有執行其工作所需的最低權限。

如果最低權限是進入第2層，就無法進入第3層。

資料中心設施內的各個出入點都設有識別證讀卡機來檢查所有人員的出入權限，採用這項規定的授權措施隨處可見。

第二條規則是「禁止尾隨」，尾隨是指車輛或人員緊跟前車或前人在未刷卡的情況下進入管制區。

如果系統偵測到門打開時間過長或偵測到有人嘗試尾隨，就會立即向保全人員發出警示。

任何閘門或出入口門都必須在關上後，才能讓下一輛車或下一個人員刷卡進入。

兩道安檢程序：首先是檢查識別證，接著是通過安檢門GoogleGoogle很多人也許有看過這種雙重驗證機制：嘗試登入帳戶時，系統會發送一組動態密碼到手機，以進行驗證。

我們的資料中心就是採用類似的概念，來驗證人員的身分和出入權限。

要穿越資料中心的某些防護層時，需要先刷一下識別證，然後進入安檢門(圓柱型出入口)進行驗證。

安檢門是一種特殊的「半入口」，在人員進入後會檢查識別證並掃描眼睛，驗證成功後即可取得進入資料中心下一層的權限。

安檢門區域一次只允許一人進入，因此可以有效防止尾隨。

透過安全的裝卸區進行收貨作業設施的裝卸區是第3層的特殊區域，專門用於處理貨物(例如新硬體)的接收和運送。

貨車必須先取得第3層的出入權限後，才能進入裝卸區進行交貨。

為了進一步確保安全，裝卸區空間本身會與資料中心的其他區域隔開，在進行貨物的接收或運送時警衛人員也必須在場。

密切追蹤所有硬碟GoogleGoogle硬碟追蹤對於資料的安全性十分重要，因為硬碟裡有加密過的機密資訊。

我們使用條碼和資產標籤，從收到硬碟開始，就對資料中心所有硬碟的位置和狀態進行滴水不漏的追蹤，直到銷毀為止。

只要是資料中心內的硬碟，從安裝到停止流通的整個生命週期內，我們都會掃描硬碟資產標籤。

嚴密追蹤硬碟，可確保硬碟不會遺失或落入不肖份子手中。

我們也會頻繁進行效能測試，確保硬碟功能正常。

如果某個元件未能通過效能測試，該元件就會被列為無法再使用。

為了防止磁碟留有任何機密資訊，我們會從儲存庫中移除磁碟，然後在第6層(也就是磁碟清除層)進行磁碟清除及銷毀作業。

在這層中，磁碟清除格式化程式會使用多步驟程序，抹除磁碟內的資料並將每個資料位元替換成零。

如果硬碟因故無法清除內容，我們會妥善存放硬碟，以便日後進行實體銷毀。

將分層式安全防護措施延伸至技術本身 我們的分層式安全防護措施不僅是對我們資料中心的實體保障，也是我們保護資料中心中內軟硬體的方式。

在最深層，我們大多數的伺服器主機板和網路設備都是由Google客製化設計而成。

舉個例子，我們設計了Titan硬體安全晶片等產品，用來安全識別和驗證合法的Google硬體。

在儲存空間層，任何進出資料中心以及儲存在資料中心的資料都會進行加密保護，也就是說，無論資料是透過網路在Google設施之間移動、還是儲存到我們的伺服器上，全程都受到妥善保護。

GoogleCloud客戶甚至可以提供自己的加密金鑰，並在部署於Google基礎架構之外的第三方金鑰管理系統中管理金鑰，這種深度防禦方法有助於強化我們在每個防禦據點消彌潛在安全漏洞的能力。

看完以上介紹後，如果想瞭解更多Google資料中心的安全防護措施，歡迎參考我們的資料和安全性頁面。

另外在即將舉行的 GoogleCloud2020NextOnAir線上大會中，我們也會分享更多有關安全最佳做法的資訊。

責任編輯：Mia核稿編輯：Anny 分享文章或觀看評論 評論 INSIDE硬塞的網路趨勢觀察 台灣資訊科技產業的重要發聲角色，目標是不斷透過傳遞獨特觀點的文字，為台灣產業發聲，主要關注議題包含但不限於網路創業、數位行銷、金融科技、大數據、人工智慧、物聯網。

品牌 企業如何利用VisionOne來改善資安防護力度呢？（內有影片） 2021/12/16 廣編企劃 資安 、趨勢科技 、網路安全 、趨勢科技LetsTalk 、VisionOne 、XDR 、XDR資安數據分析 趨勢科技的VisionOne可收攏來自伺服器、端點、電子郵件與網路行為等偵測與相關活動數據加以進行分析，確保企業內所有活動行為為正常使用，更可透過可視化呈現海量紀錄關聯後的可疑行為並加以揭露，讓企業即早處置並維持企業安全。

評論 SPONSORED PhotoCredit：趨勢科技 評論 XDR資安數據分析所能帶來效益又有哪些？讓趨勢科技的VisionOne告訴你：《EP5:XDR的必備條件與TrendMicroVisionOne全功能解析》、《EP8:TechDemo–XDR平台功能實作展示-TrendMicroVisionOne》。

目前駭客攻擊手法已經出現眾多形式，甚至每隔一段時間就大幅進化，讓企業必須更頻繁升級資安防護解決方案。

但在現今的資安防護觀念中，透過大量提醒系統遭攻擊的警示訊息，其實對於企業來說沒有太大意義，原因在於企業需要更清楚了解入侵的問題根本所在。

影響企業資安的因素眾多，包含使用第三方程式、應用程式及網路架構存在漏洞，以及郵件潛藏病毒，或是使用老舊作業系統，甚至使用者操作行為產生風險。

而對於目前的企業系統運作模式，與其被動地等待遭攻擊後才作漏洞修補，不如主動做好分析防護，以降低駭客攻克防護系統成功機率。

同時，藉由VisionOne的多重Sensor能有收集相關資安數據並以多維度進行分析及早發現企業的風險所在，將更有利調整資安防護模式，並且減少被攻擊後產生損失及相關成本支出。

趨勢科技提供的VisionOne可對應多面向偵測、主動查找回報安全漏洞，還能透過主動分析提供可信任洞察結果，並且透過關連事件簡化工作流程，以及透過可視化設計呈現風險所在，讓企業能更快依照評估結果調整資安方案，或是修補系統漏洞。

（備註：參考影片）相較其他XDR資安數據分析服務，趨勢科技的VisionOne可針對伺服器、端點或電子郵件等連接活動數據分析，並判斷連接負載與實際活動行為是否合乎正常，更可透過API資源整合安全資訊與事件管理（SIEM），以及資安協調、自動化與回應（SOAR）解決方案，藉此符合企業系統安全運作工作流程需求，更可透過可視化呈現裝置、雲端服務使用狀態確認安全狀態。

（備註：參考影片）除此之外，導入VisionOne不僅能有效減緩企業IT團隊運作壓力，更可讓企業更快掌握系統資安問題，並且能在更短時間內找到問題所在，讓資安風險降低之餘，更能降低成本支出。

分享文章或觀看評論 評論 廣編企劃 由關鍵評論網媒體集團《業務團隊》製作，由各品牌單位贊助。

業務與行銷相關合作，歡迎與我們聯繫。