התוכן הזה עודכן לאחרונה במאי 2024, והוא מציג את המצב הקיים במועד כתיבתו. מדיניות האבטחה ומערכות האבטחה של Google עשויות להשתנות בעתיד, כי אנחנו כל הזמן פועלים לשיפור ההגנה על הלקוחות שלנו.
במסמך הזה מפורטת סקירה כללית של התהליך המאובטח שמתרחש כשמוחקים את נתוני הלקוחות ב- Google Cloud. כפי שמוגדר Google Cloud בתנאים ובהגבלות, נתוני הלקוחות הם נתונים שהלקוחות ומשתמשי הקצה מספקים ל-Google באמצעות השירותים שבחשבון שלהם.
במאמר הזה מתואר האופן שבו נתוני לקוחות מאוחסנים ב- Google Cloud, צינור ההשמדה ואיך אנחנו מונעים שחזור של נתונים שמאוחסנים בפלטפורמה שלנו.
מידע על המחויבויות שלנו למחיקת נתונים מופיע בנספח לעיבוד נתונים ב-Cloud (לקוחות).
אחסון ושכפול נתונים
Google Cloud מציע שירותי אחסון ושירותי מסדי נתונים כמו Bigtable ו-Spanner. רוב האפליקציות והשירותים ניגשים לתשתית האחסון של Google באופן עקיף באמצעות שירותי הענן האלה. Google Cloud
שכפול נתונים הוא קריטי להשגת פתרונות עם זמן אחזור נמוך, זמינות גבוהה, מדרגיות ועמידות. עותקים מיותרים של נתוני לקוחות יכולים להישמר באופן מקומי, אזורי ואפילו גלובלי, בהתאם להגדרה ולדרישות של הפרויקטים. פעולות שמתבצעות בנתונים ב- Google Cloud עשויות להיות משוכפלות בו-זמנית בכמה מרכזי נתונים, כדי שנתוני הלקוחות יהיו זמינים מאוד. כשמתרחשים שינויים בסביבת החומרה, התוכנה או הרשת שמשפיעים על הביצועים, נתוני הלקוחות מועברים באופן אוטומטי ממערכת או ממתקן אחד למערכת או למתקן אחר, בהתאם להגדרות התצורה של הלקוחות, כדי שהפרויקטים של הלקוחות ימשיכו לפעול בהיקף מלא וללא הפרעה.
ברמת האחסון הפיזי, נתוני הלקוחות מאוחסנים במנוחה בשני סוגים של מערכות: מערכות אחסון פעילות ומערכות אחסון לגיבוי. שני סוגי המערכות האלה מעבדים את הנתונים באופן שונה. מערכות אחסון פעילות הן שרתי הייצור שלGoogle Cloudשמריצים את שכבות האחסון והאפליקציות של Google. מערכות פעילות הן מערכים גדולים של דיסקים וכוננים שמשמשים לכתיבת נתונים חדשים, וגם לאחסון ולאחזור נתונים בכמה עותקים משוכפלים. מערכות אחסון פעילות עוברות אופטימיזציה לביצוע פעולות קריאה וכתיבה בזמן אמת של נתוני לקוחות במהירות ובקנה מידה גדול.
מערכות אחסון הגיבוי של Google שומרות עותקים מלאים ואינקרמנטליים של המערכות הפעילות של Google למשך תקופה מוגדרת, כדי לעזור ל-Google לשחזר נתונים ומערכות במקרה של הפסקה זמנית בשירות או אסון. בניגוד למערכות פעילות, מערכות גיבוי מיועדות לקבל צילומי מצב תקופתיים של מערכות Google, והעותקים של הגיבוי יוצאים משימוש אחרי תקופת זמן מוגבלת, כשנוצרים עותקים חדשים של הגיבוי.
בכל מערכות האחסון שמתוארות למעלה, נתוני הלקוחות מוצפנים כשהם מאוחסנים במצב לא פעיל. מידע נוסף זמין במאמר ברירת המחדל של הצפנה במנוחה.
צינור עיבוד נתונים למחיקת נתונים
אחרי שנתוני הלקוחות מאוחסנים ב- Google Cloud, המערכות שלנו מתוכננות לאחסן את הנתונים בצורה מאובטחת עד שצינור מחיקת הנתונים ישלים את השלבים שלו. בקטע הזה מתוארים שלבי המחיקה.
שלב 1: בקשת מחיקה
מחיקת נתוני הלקוחות מתחילה כששולחים בקשת מחיקה. בדרך כלל, בקשת מחיקה מופנית למשאב ספציפי, לGoogle Cloud פרויקט או לחשבון Google. הטיפול בבקשות למחיקה עשוי להיות שונה בהתאם להיקף הבקשה:
- מחיקת משאבים: אפשר למחוק משאבים ספציפיים שמכילים נתוני לקוחות, כמו קטגוריות של Cloud Storage, בכמה דרכים דרך Google Cloud המסוף או באמצעות API. לדוגמה, אפשר להשתמש בפקודה remove bucket או
gcloud storage rmכדי למחוק קטגוריית אחסון דרך שורת הפקודה, או לבחור קטגוריית אחסון ולמחוק אותה ממסוף Google Cloud . - מחיקת פרויקט: אם אתם הבעלים של פרויקט ב- Google Cloud , אתם יכולים להשבית אותו. מחיקת פרויקט פועלת כבקשה למחיקה בכמות גדולה של כל המשאבים שמקושרים למספר הפרויקט המתאים.
- מחיקת חשבון Google: כשמוחקים את חשבון Google, נמחקים כל הפרויקטים שלא משויכים לארגון ושנמצאים בבעלותכם בלבד. אם יש כמה בעלים של פרויקט שלא שייך לארגון, הפרויקט לא יימחק עד שכל הבעלים יוסרו מהפרויקט או ימחקו את חשבונות Google שלהם. התהליך הזה מבטיח שהפרויקטים ימשיכו לפעול כל עוד יש להם בעלים.
- מחיקה של חשבון Google Workspace או Cloud Identity: ארגונים שמקושרים לחשבון Google Workspace או Cloud Identity נמחקים כשמוחקים את החשבון. מידע נוסף זמין במאמר בנושא מחיקת חשבון Google של הארגון.
אתם משתמשים בבקשות למחיקת נתונים בעיקר כדי לנהל את הנתונים שלכם. עם זאת, Google יכולה להנפיק בקשות מחיקה באופן אוטומטי, למשל כשאתם מסיימים את הקשר שלכם עם Google.
שלב 2: מחיקה עם אפשרות שחזור
מחיקה רכה היא השלב בתהליך שבו מספקים תקופת הכנה ושחזור פנימית קצרה, כדי לוודא שיש זמן לשחזר נתונים שסומנו למחיקה בטעות או בשגיאה. יכול להיות שבמוצרים ספציפיים Google Cloudתוגדר תקופת שחזור כזו לפני שהנתונים יימחקו ממערכות האחסון הבסיסיות, כל עוד התקופה הזו תואמת ללוח הזמנים הכולל של Google למחיקת נתונים.
כשפרויקטים נמחקים, מערכתGoogle Cloud מזהה קודם את מספר הפרויקט הייחודי ואז משדרת אות השעיה למוצרי Google Cloud Google (לדוגמה, Compute Engine ו-Bigtable) שמכילים את מספר הפרויקט הזה. במקרה כזה, Compute Engine משעה פעולות שמשויכות למספר הפרויקט הזה, והטבלאות הרלוונטיות ב-Bigtable נכנסות לתקופת שחזור פנימית של עד 30 ימים. בסוף תקופת השחזור,Google Cloud משדר אות לאותם מוצרים כדי להתחיל במחיקה לוגית של משאבים שקשורים למספר הפרויקט הייחודי. לאחר מכן, Google ממתינה (ובמקרה הצורך, משדרת מחדש את האות) כדי לקבל אות אישור (ACK) מהמוצרים הרלוונטיים להשלמת מחיקת הפרויקט.
כשסוגרים חשבון Google, Google Cloud יכול להיות שיוטל פרק זמן פנימי לשחזור החשבון של עד 30 ימים, בהתאם לפעילות הקודמת בחשבון. אחרי שתקופת החסד הזו מסתיימת, אות שמכיל את מזהה המשתמש בחשבון לחיוב שנמחק משודר למוצרי Google, ומשאבים Google Cloud שקשורים רק למזהה המשתמש הזה מסומנים למחיקה.
שלב 3: מחיקה לוגית ממערכות פעילות
אחרי שהנתונים מסומנים למחיקה ותקופת השחזור מסתיימת, הנתונים נמחקים ברצף ממערכות האחסון הפעילות וממערכות הגיבוי של Google. במערכות פעילות, הנתונים נמחקים בשתי דרכים.
בכל מוצרי Google Cloud הפרויקט בקטגוריות Compute, Storage ו-Database, מלבד Cloud Storage, עותקים של הנתונים שנמחקו מסומנים כשטח אחסון זמין ונמחקים עם הזמן. במערכת אחסון פעילה כמו Bigtable, נתונים שנמחקו מאוחסנים כרשומות בתוך טבלה מובנית גדולה. דחיסת טבלאות קיימות כדי להחליף נתונים שנמחקו עלולה להיות יקרה, כי היא מחייבת כתיבה מחדש של טבלאות של נתונים קיימים (שלא נמחקו). לכן, אירועים של garbage collection מסוג mark-and-sweep ואירועי דחיסה גדולים מתוזמנים להתרחש במרווחי זמן קבועים כדי לפנות נפח אחסון ולהחליף נתונים שנמחקו.
ב-Cloud Storage, נתוני הלקוחות נמחקים גם באמצעות מחיקה קריפטוגרפית. זוהי טכניקה מקובלת בתחום שגורמת לכך שלא ניתן לקרוא את הנתונים, כי היא מוחקת את מפתחות ההצפנה שדרושים לפענוח הנתונים. אחד היתרונות של שימוש במחיקה קריפטוגרפית, בין אם היא כוללת מפתחות הצפנה שסופקו על ידי Google או על ידי הלקוח, הוא שאפשר להשלים מחיקה לוגית גם לפני שכל הבלוקים שנמחקו של הנתונים האלה נמחקים במערכות האחסון הפעילות ובמערכות הגיבוי שלGoogle Cloud.
שלב 4: תפוגה ממערכות גיבוי
בדומה למחיקה מהמערכות הפעילות של Google, נתונים שנמחקו מוצאים ממערכות הגיבוי באמצעות שיטות של החלפת נתונים והצפנה. עם זאת, במקרה של מערכות גיבוי, נתוני הלקוחות בדרך כלל מאוחסנים בתוך תמונות מצב מצטברות גדולות של מערכות פעילות, שנשמרות לתקופות זמן סטטיות כדי להבטיח את המשכיות העסקית במקרה של אסון (לדוגמה, הפסקה זמנית בשירות שמשפיעה על מרכז נתונים שלם), כשעלול להיות צורך לשחזר מערכת שלמה ממערכות גיבוי, למרות הזמן והעלות הכרוכים בכך. בהתאם לשיטות סבירות להמשכיות עסקית, מתבצעות תמונות מצב מלאות ואינקרמנטליות של מערכות פעילות במחזורים יומיים, שבועיים וחודשיים, והן מוצאות משימוש אחרי תקופה מוגדרת מראש כדי לפנות מקום לתמונות המצב החדשות ביותר.
כשגיבוי יוצא משימוש, הוא מסומן כשטח אחסון זמין ונכתב עליו גיבוי חדש שמתבצע מדי יום, שבוע או חודש.
חשוב לדעת: כל מחזור גיבוי סביר כרוך בעיכוב מוגדר מראש בהעברת בקשה למחיקת נתונים דרך מערכות הגיבוי. כשנתוני לקוחות נמחקים ממערכות פעילות, הם לא מועתקים יותר למערכות גיבוי. גיבויים שבוצעו לפני המחיקה יפוגו באופן קבוע על סמך מחזור הגיבוי שהוגדר מראש.
לבסוף, יכול להיות שהמחיקה הקריפטוגרפית של הנתונים שנמחקו תתרחש לפני שתוקף הגיבוי שמכיל נתוני לקוחות יפוג. בלי מפתח ההצפנה ששימש להצפנת נתוני לקוחות ספציפיים, אי אפשר לשחזר את נתוני הלקוחות, גם במהלך יתרת משך החיים שלהם במערכות הגיבוי של Google.
ציר הזמן של המחיקה
Google Cloud מתוכנן להשגת רמה גבוהה של מהירות, זמינות, עמידות ועקביות. התכנון של מערכות שעברו אופטימיזציה למאפייני הביצועים האלה צריך להיות מאוזן בקפידה עם הצורך למחוק נתונים בזמן. Google Cloud מתחייבת למחוק נתוני לקוחות תוך תקופה של שישה חודשים לכל היותר (180 ימים). ההתחייבות הזו כוללת את השלבים של צינור ההסרה של Google שמתוארים למעלה, כולל:
- שלב 2: אחרי שליחת בקשת המחיקה, הנתונים מסומנים בדרך כלל למחיקה באופן מיידי, והמטרה שלנו היא לבצע את השלב הזה תוך 24 שעות לכל היותר. אחרי שהנתונים מסומנים למחיקה, יכול להיות שיחול עליהם תקופת שחזור פנימית של עד 30 יום, בהתאם לשירות או לבקשת המחיקה.
- שלב 3: הזמן שנדרש להשלמת משימות של garbage collection ולהשגת מחיקה לוגית ממערכות פעילות. התהליכים האלה עשויים להתבצע מיד אחרי קבלת בקשת המחיקה, בהתאם לרמת הרפליקציה של הנתונים ולתזמון של מחזורי garbage collection שמתבצעים. אחרי שליחת בקשת המחיקה, בדרך כלל חולפים כחודשיים עד שהנתונים נמחקים ממערכות פעילות. זה בדרך כלל מספיק זמן כדי להשלים שני מחזורים גדולים של garbage collection, וכדי לוודא שהמחיקה הלוגית הושלמה.
- שלב 4: מחזור הגיבוי של Google מתוכנן כך שנתונים שנמחקו יפוגו בגיבויים של מרכזי הנתונים תוך שישה חודשים מבקשת המחיקה. יכול להיות שהמחיקה תתבצע מוקדם יותר, בהתאם לרמת השכפול של הנתונים ולתזמון של מחזורי הגיבוי השוטפים של Google.
בתרשים הבא מוצגים השלבים של צינור המחיקה של Google Cloudוהזמן שבו הנתונים נמחקים מהמערכות הפעילות וממערכות הגיבוי.
הבטחת ניקוי בטוח ומאובטח של מדיה
תוכנית מבוקרת לניקוי נתוני מדיה משפרת את האבטחה של תהליך המחיקה, כי היא מונעת מתקפות משפטיות או מתקפות במעבדה על מדיה פיזית לאחסון נתונים אחרי שהיא הגיעה לסוף מחזור החיים שלה.
Google עוקבת בקפידה אחרי המיקום והסטטוס של כל ציוד האחסון במרכזי הנתונים, מהרגע שהציוד נרכש והותקן ועד להוצאתו משימוש והשמדתו, באמצעות ברקודים ותגי נכסים שמתועדים במסד הנתונים של Google. אנחנו משתמשים בטכניקות שונות כמו זיהוי ביומטרי, גלאי מתכות, מצלמות, מחסומים לכלי רכב ומערכות מונחות-לייזר לגילוי חדירות כדי למנוע הוצאת ציוד מקומת מרכז הנתונים ללא אישור. מידע נוסף זמין במאמר סקירה כללית על תכנון האבטחה בתשתית של Google.
יכולות להיות מגוון סיבות להוצאה משימוש של אמצעי אחסון פיזיים. אם רכיב כלשהו נכשל בבדיקת ביצועים בכל שלב במהלך מחזור החיים שלו, אנחנו מסירים אותו מהמלאי ומוציאים אותו משימוש. בנוסף, Google משדרגת חומרה שיצאה משימוש כדי לשפר את מהירות העיבוד והיעילות האנרגטית, או כדי להגדיל את קיבולת האחסון. בין אם החומרה מוצאת משימוש בגלל תקלה, שדרוג או כל סיבה אחרת, אמצעי האחסון מוצאים משימוש באמצעות אמצעי הגנה מתאימים. בכוננים הקשיחים של Google נעשה שימוש בטכנולוגיות כמו FDE (הצפנת דיסק מלאה) ונעילת כונן, כדי להגן על הנתונים באחסון במהלך הוצאה משירות. כשמוציאים משימוש כונן קשיח, עובדים מורשים מוודאים שהדיסק נמחק על ידי החלפת הנתונים בכונן באפסים וביצוע תהליך אימות רב-שלבי, כדי לוודא שהכונן לא מכיל נתונים.
אם לא ניתן למחוק את מדיום האחסון מסיבה כלשהי, הוא מאוחסן באופן מאובטח עד להשמדתו הפיזית. בהתאם לציוד הזמין, אנחנו מועכים את הכונן ומעוותים אותו או גורסים אותו לחתיכות קטנות. בכל מקרה, הדיסק עובר מיחזור במתקן מאובטח, כדי להבטיח שאף אחד לא יוכל לקרוא נתונים בדיסקים של Google שהוצאו משימוש. כל מרכזי הנתונים פועלים בהתאם למדיניות סילוק קפדנית, ומשתמשים בטכניקות שמתוארות כדי לעמוד בדרישות של NIST SP 800-88 Revision 1 Guidelines for Media Sanitization ושל DoD 5220.22-M National Industrial Security Program Operating Manual.