Часто задаваемые вопросы о безопасности

Нет, проверять безопасность инфраструктуры Cloud Platform таким образом можно без уведомления.  Необходимо лишь соблюдать Правила допустимого использования и Условия использования Cloud Platform, а также следить, чтобы тесты не нарушали работу чужих приложений.  О найденных уязвимостях можно сообщить в рамках программы Vulnerability Reward Program, с правилами которой можно ознакомиться здесь.

Мы используем масштабную и гибкую инфраструктуру на основе высоких технологий. В наших центрах обработки данных установлены изготовленные на заказ серверы. Чтобы обеспечить их надежную работу и защитить данные, мы создали собственную операционную систему. Круглосуточную поддержку обеспечивают более 500 специалистов, в том числе мировые эксперты по компьютерной безопасности, которые оперативно предотвращают и устраняют угрозы. Мы анализируем каждую атаку и активно поддерживаем сообщество, в котором каждый пользователь может рассказать об уязвимостях, обнаруженных в наших системах. Google Cloud Platform ориентирована на безопасность и надежность.

• В центрах обработки данных Google используется уникальное оборудование, а также специальные операционная и файловая системы с повышенным уровнем защиты. Каждый из этих компонентов оптимизирован для обеспечения максимальной безопасности и производительности. Все оборудование находится под контролем специалистов Google, и мы быстро реагируем на любые возможные угрозы безопасности.
• Все данные, которые хранятся в сервисах Cloud Platform и передаются между клиентом и Google, а также между нашими центрами обработки данных, шифруются.
• В 2013 году для защиты от новейших алгоритмов криптоанализа компания Google удвоила длину ключей шифрования RSA до 2048 бит и стала регулярно их менять, установив тем самым новый отраслевой стандарт.

В Google Cloud Platform применяется та же модель защиты, что и во всех сервисах Google. Однако если вы неверно настроите свой экземпляр, он может стать уязвимым для атак. Мы же запираем двери на замок, даже если улицы патрулирует полиция.

Чтобы защитить экземпляры в Google Cloud Platform, соблюдайте следующие рекомендации:

• Используйте безопасное подключение. Для приложений, которые доступны внешним пользователям, рекомендуется тщательно настроить брандмауэры и защитить порты. Подробнее о безопасном подключении к экземплярам ВМ читайте здесь. С рекомендациями для предприятий можно ознакомиться здесь.
• Убедитесь, что брандмауэр проекта блокирует нежелательный доступ. Если во всех правилах брандмауэра оставить IP-адрес 0.0.0/0, то к вашему экземпляру сможет подключиться любой желающий. Если в ваши намерения не входит открывать общий доступ к экземпляру, следует разрешить доступ только вашему приложению и только к определенным портам. Рекомендации см. в разделах Правила брандмауэра и Брандмауэры в руководстве по Compute Engine.
• Используйте надежный пароль. Пароль дает возможность ограничить доступ к экземпляру. Рекомендации по выбору пароля см. здесь. Не забудьте также защитить аккаунт Gmail, который используется для входа в консоль Cloud Platform. Рекомендации см. здесь.
• Регулярно проверяйте наличие обновлений. Для используемого программного обеспечения должны быть установлены все последние обновления и устранены все известные уязвимости.
• Следите за использованием проекта через специальный API. В Google Cloud Platform доступен сервис Stackdriver Logging. Он позволяет собирать и хранить журналы из приложений и сервисов Google Cloud Platform. На основе данных журналов можно создавать показатели, позволяющие своевременно выявлять подозрительное поведение. Документацию по Stackdriver Logging см. здесь. Все подозрительные случаи нужно изучать, чтобы своевременно отражать хакерские атаки.

Дополнительные рекомендации по настройке системы защиты см. здесь.

Ответственность за защиту программного обеспечения, установленного на ВМ, целиком и полностью несет владелец проекта. Если вы подозреваете, что ваш экземпляр был скомпрометирован, предпримите следующие действия, чтобы минимизировать потери:

• Немедленно остановите экземпляр.
• Сообщите пользователям о возникшей ситуации, чтобы они знали, почему ваш сервис не работает.
• Определите уязвимость, проанализировав работу экземпляра и установленного программного обеспечения.
• Проверьте наличие обновлений и известных уязвимостей в программном обеспечении, установленном на ВМ. Установите последние исправления безопасности.
• Примите дополнительные меры защиты, чтобы впредь исключить возможность компрометации. Полностью переустановите проект.
• Следуйте рекомендациям, приведенным в этом разделе, чтобы не допустить повторения проблемы.
• Если вам пришло предупреждение о подозрительной активности вашего проекта в Google Cloud Platform, вы можете подать апелляцию. Для этого войдите в консоль Google Cloud Platform и опишите меры, принятые для защиты экземпляра.

Мы не имеем доступа к вашему экземпляру и не можем выявлять причины проблем. Вам следует самостоятельно идентифицировать уязвимость и принять меры по ее устранению. Дополнительную поддержку можно запросить здесь.

Это может происходить по нескольким причинам, в том числе и из-за сторонних приложений, которыми вы пользуетесь. Мы настоятельно рекомендуем постоянно следить за работой экземпляра, чтобы избежать проблем с безопасностью.

Проверьте, не нарушает ли ваш проект Правила допустимого использования Google Cloud Platform. Иногда, хотя и крайне редко, подозрительное поведение проекта может быть не симптомом нарушений, а следствием уникальных характеристик вашего ПО. Если вы полагаете, что это ваш случай, подайте апелляцию и укажите в ней все нужные подробности. Специалист Google ответит вам в течение двух рабочих дней.

Если вы используете G Suite или управляемый домен для аккаунтов Google, закрыть доступ можно, применив веб-прокси. Подробнее об этом можно прочитать в статье Как заблокировать доступ к пользовательским аккаунтам в Справочном центре для администраторов G Suite.

Пользователи заблокированных аккаунтов получат следующее сообщение: "В этой сети служба Google Developers Console для аккаунта user@domain.com недоступна. За дополнительными сведениями обратитесь к администратору домена".