กูเกิลเปิดรายงานการออกแบบโครงสร้างพื้นฐานของบริษัทเพื่อความมั่นคงปลอดภัย แสดงข้อมูลตั้งแต่ฮาร์ดแวร์และซอฟต์แวร์เพื่อการรักษาความปลอดภัยทั้งบริการลูกค้าบุคคลอย่าง Gmail, Search, หรือ Photos ไปจนถึงลูกค้าองค์กร เช่น Google Cloud Platform หรือ G Suite

ความปลอดภัยเริ่มตั้งแต่ระดับกายภาพ ที่กูเกิลสร้างศูนย์ข้อมูลของตัวเองและจัดการความปลอดภัยด้วยตัวเอง ฮาร์ดแวร์ของกูเกิลมีชิปรักษาความปลอดภัยเฉพาะของกูเกิลเพื่อการยืนยันว่าเป็นฮาร์ดแวร์ของกูเกิลจริง ในบางกรณีกูเกิลจะใช้ศูนย์ข้อมูลภายนอก แต่จะรักษาความปลอดภัยเพิ่มเติม อาจจะติดกล้องวงจรปิดแยก, มีระบบยืนยันตัวตนด้วยข้อมูลชีวภาพแยก, หรือแม้แต่มีเครื่องตรวจโลหะ

กระบวนการเชื่อมต่อข้ามบริการอาศัยการยืนยันตัวตนด้วยกระบวนการเข้ารหัสลับ (cryptographic) เป็นหลัก แทนที่จะอาศัยการป้องกันไฟร์วอลล์ แม้ว่าจะมีระบบป้องกันการปลอมไอพีอยู่ด้วยก็ตาม

ซอร์สโค้ดต้องเก็บไว้ในศูนย์กลางทั้งเวอร์ชั่นล่าสุดและเวอร์ชั่นก่อนหน้า กระบวนการนำโค้ดเข้าระบบต้องมีผู้อนุมัตินอกจากคนเขียนโค้ดเองอย่างน้อยหนึ่งคน และก่อนนำโค้ดขึ้นรันต้องได้รับอนุมัติจากเจ้าของระบบ

การรักษาความลับลูกค้า สตอเรจทั้งหมดต้องถูกลบข้อมูลและยืนยันอย่างน้อยสองครั้งก่อนนำฮาร์ดแวร์ออกจากศูนย์ข้อมูล หากยืนยันไม่ได้ ตัวสตอเรจจะถูกบดทำลายในศูนย์ข้อมูลเอง ขณะที่ข้อมูลในระบบที่รันอยู่จะรับคำสั่งลบข้อมูลและลบข้อมูลออกภายหลัง

บัญชีกูเกิลของพนักงานเองถูกบังคับใช้ U2F ทั้งบริษัท การติดตั้งซอฟต์แวร์และดาวน์โหลดข้อมูลทั้งหมดถูกมอนิเตอร์ รวมถึงข้อมูลจากการเข้าเว็บ การที่เครื่องพนักงานอยู่ในเน็ตเวิร์คบริษัทไม่ได้แปลว่าจะมีสิทธิ์เข้าถึงข้อมูลเพิ่มเติม แอปพลิเคชั่นต่างๆ ถูกกำหนดสิทธิ์เป็นรายบุคคล ตัวซอฟต์แวร์ในเครื่องพนักงานถูกมอนิเตอร์เพื่อยืนยันว่าลงอัพเดตครบถ้วน

บริษัทจำกัดผู้มีสิทธิ์ผู้ดูแลระบบระดับล่างอย่างมาก และผู้ที่ล็อกอินได้ก็จะถูกมอนิเตอร์อย่างหนักจากทีมความมั่นคงปลอดภัยอีกที

เอกสารเช่นนี้นอกจากจะเป็นการโฆษณากูเกิลเองแล้ว หลายส่วนน่าจะลอกมาใช้งานในองค์กรที่ต้องการความปลอดภัยสูงๆ กันได้

ที่มา - Google Cloud, The Register