Cloud : Google lève le voile sur une infrastructure hautement sécurisée

L’approche de Google, en matière de sécurité, est clairement affichée depuis début 2015 : la sécurité périmétrique a fait son temps. C’est toute la logique autour de laquelle s’articule son initiative BeyondCorp détaillée en début d’année dernier, et qui mise sur une sécurité en profondeur et basée sur la confiance. Et l’infrastructure Cloud du géant du Web apparaît traduire cette approche, à tous les niveaux.

Dans un billet de blog, les équipes de la Google Cloud Platform décrivent ainsi une architecture où les serveurs « utilisent diverses technologies pour s’assurer qu’ils exécutent la bonne pile logicielle ». Ce sont là des signatures cryptographiques qui sont à l’œuvre « pour les composants de bas niveau tels que le BIOS, le bootloader, le noyau et l’image de base du système d’exploitation », afin de les valider à chaque démarrage ou mise à jour. Qui plus est, « ces composants sont tous durcis, contrôlés et construits par Google ». Chaque machine dispose en outre de son identité unique « utilisée pour identifier les appels aux API depuis et vers les services d’administration de bas niveau de la machine ».

La même approche s’applique au niveau de chaque service déployé sur l’infrastructure, authentification et autorisation « au niveau applicatif, pour les communications inter-services ». Les services disposent ainsi de leur propre identité et son contrôlés dans une logique d’IAM comme peuvent l’être des utilisateurs : « le propriétaire d’un service peut utiliser les capacités de gestion des accès fournies par l’infrastructure pour spécifier exactement quels autres services peuvent communiquer avec lui ». Et l’infrastructure met également à disposition des services une liste de contrôle d’accès centralisée et des bases de données de groupes pour permettre aux services « d’implémenter leurs propres contrôles d’accès granulaires personnalisés lorsque c’est nécessaire ».

Sans surprise après ces premiers éléments, les communications entre services sont elles-mêmes chiffrées, chaque service pouvant déterminer son propre niveau d’exigence en la manière. Et les communications sortant des centres de calcul et passant sur un WAN sont chiffrées de manière indépendante. Des accélérateurs cryptographiques matériels doivent à terme permettre d’étendre cette approche à l’intérieur des centres de calcul.

La gestion des autorisations est en outre assurée en tenant compte du contexte de l’utilisateur final : l’appel d’un premier service à un second demandant l’accès aux données d’un utilisateur est ainsi assorti d’un ticket temporaire de permission utilisateur.

Les services de stockage de données peuvent être configurés pour tirer profit du service de gestion de clés récemment présenté par Google pour assurer le chiffrement des données au niveau applicatif et ainsi les protéger d’éventuels codes malveillants au niveau du firmware des équipements de stockage. Mais les capacités natives de chiffrement des disques sont également activées. Les disques devant partir au rebus sont effacés « en utilisant un processus à plusieurs étapes qui inclut deux vérifications indépendantes ». Les appareils qui échouent à ce processus sont physiquement détruits, sur site.