Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מחיקת נתונים ב-Google Cloud

התוכן הזה עודכן לאחרונה במאי 2024, והוא מציג את המצב הקיים במועד כתיבתו. מדיניות האבטחה ומערכות האבטחה של Google עשויות להשתנות בעתיד, כי אנחנו כל הזמן פועלים לשיפור ההגנה על הלקוחות שלנו.

במסמך הזה מפורטת סקירה כללית של התהליך המאובטח שמתרחש כשמוחקים את נתוני הלקוחות ב- Google Cloud. כפי שמוגדר Google Cloud בתנאים ובהגבלות, נתוני הלקוחות הם נתונים שהלקוחות ומשתמשי הקצה מספקים ל-Google באמצעות השירותים שבחשבון שלהם.

במאמר הזה מתואר איך נתוני הלקוחות מאוחסנים ב- Google Cloud, צינור הנתונים למחיקה ואיך אנחנו מונעים שחזור של נתונים שמאוחסנים בפלטפורמה שלנו.

מידע על המחויבויות שלנו למחיקת נתונים מופיע בנספח לעיבוד נתונים ב-Cloud (לקוחות).

אחסון ושכפול נתונים

Google Cloud מציע שירותי אחסון ושירותי מסדי נתונים כמו Bigtable ו-Spanner. רוב האפליקציות והשירותים ניגשים לתשתית האחסון של Google באופן עקיף באמצעות שירותי הענן האלה. Google Cloud

שכפול נתונים הוא קריטי להשגת פתרונות עם זמן אחזור נמוך, זמינות גבוהה, מדרגיות ועמידות. עותקים מיותרים של נתוני לקוחות יכולים להישמר באופן מקומי, אזורי ואפילו גלובלי, בהתאם להגדרה ולדרישות של הפרויקטים. יכול להיות שפעולות שמתבצעות בנתונים ב- Google Cloud ישוכפלו בו-זמנית בכמה מרכזי נתונים, כדי שנתוני הלקוחות יהיו זמינים מאוד. כשמתרחשים שינויים בסביבת החומרה, התוכנה או הרשת שמשפיעים על הביצועים, נתוני הלקוחות מועברים באופן אוטומטי ממערכת או ממתק אחד למערכת או למתק אחרים, בהתאם להגדרות התצורה של הלקוחות, כדי שהפרויקטים של הלקוחות ימשיכו לפעול בהיקף מלא וללא הפרעה.

ברמת האחסון הפיזי, נתוני הלקוחות מאוחסנים במצב מנוחה בשני סוגים של מערכות: מערכות אחסון פעילות ומערכות אחסון לגיבוי. שני סוגי המערכות האלה מעבדים את הנתונים באופן שונה. מערכות אחסון פעילות הן שרתי הייצור שלGoogle Cloudשמריצים את שכבות האחסון והאפליקציות של Google. מערכות פעילות הן מערכים גדולים של דיסקים וכוננים שמשמשים לכתיבת נתונים חדשים, וגם לאחסון ולאחזור נתונים בכמה עותקים משוכפלים. מערכות אחסון פעילות עוברות אופטימיזציה לביצוע פעולות קריאה וכתיבה בזמן אמת על נתוני לקוחות במהירות ובקנה מידה גדול.

מערכות אחסון הגיבוי של Google שומרות עותקים מלאים ואינקרמנטליים של המערכות הפעילות של Google למשך תקופה מוגדרת, כדי לעזור ל-Google לשחזר נתונים ומערכות במקרה של הפסקה זמנית או אסון. בניגוד למערכות פעילות, מערכות גיבוי מיועדות לקבל צילומי מצב תקופתיים של מערכות Google, והעותקים של הגיבוי יוצאים משימוש אחרי תקופת זמן מוגבלת, כשנוצרים עותקים חדשים של הגיבוי.

בכל מערכות האחסון שמתוארות למעלה, נתוני הלקוחות מוצפנים כשהם מאוחסנים במצב לא פעיל. מידע נוסף זמין במאמר ברירת המחדל של הצפנה במנוחה.

פייפליין למחיקת נתונים

אחרי שנתוני הלקוחות מאוחסנים ב- Google Cloud, המערכות שלנו מתוכננות לאחסן את הנתונים בצורה מאובטחת עד שצינור מחיקת הנתונים משלים את השלבים שלו. בקטע הזה מתוארים שלבי המחיקה.

שלב 1: בקשת מחיקה

מחיקת נתוני הלקוחות מתחילה כששולחים בקשת מחיקה. בדרך כלל, בקשת מחיקה מופנית למשאב ספציפי, לGoogle Cloud פרויקט או לחשבון Google. יכול להיות שנפעל בדרכים שונות לגבי בקשות למחיקה, בהתאם להיקף הבקשה:

מחיקת משאבים: אפשר למחוק משאבים ספציפיים שמכילים נתוני לקוחות, כמו קטגוריות של Cloud Storage, בכמה דרכים דרך Google Cloud המסוף או באמצעות API. לדוגמה, אפשר להשתמש בפקודה remove bucket או gcloud storage rm כדי למחוק קטגוריית אחסון דרך שורת הפקודה, או לבחור קטגוריית אחסון ולמחוק אותה ממסוף Google Cloud .
מחיקת פרויקט: אם אתם הבעלים של פרויקט Google Cloud , אתם יכולים להשבית אותו. מחיקת פרויקט פועלת כבקשה למחיקה בכמות גדולה של כל המשאבים שמקושרים למספר הפרויקט המתאים.
מחיקת חשבון Google: כשמוחקים את חשבון Google, כל הפרויקטים שלא משויכים לארגון ושנמצאים בבעלותכם בלבד נמחקים. אם יש כמה בעלים של פרויקט שלא משויך לארגון, הפרויקט לא יימחק עד שכל הבעלים יוסרו מהפרויקט או ימחקו את חשבונות Google שלהם. התהליך הזה מבטיח שהפרויקטים ימשיכו לפעול כל עוד יש להם בעלים.
מחיקה של חשבון Google Workspace או Cloud Identity: ארגונים שמקושרים לחשבון Google Workspace או Cloud Identity נמחקים כשמוחקים חשבון Google Workspace או Cloud Identity. מידע נוסף זמין במאמר בנושא מחיקת חשבון Google של הארגון.

אתם משתמשים בבקשות למחיקת נתונים בעיקר כדי לנהל את הנתונים שלכם. עם זאת, Google יכולה להנפיק בקשות מחיקה באופן אוטומטי, למשל כשאתם מסיימים את הקשר שלכם עם Google.

שלב 2: מחיקה עם אפשרות שחזור

מחיקה רכה היא נקודה בתהליך שבה יש תקופה קצרה של הכנה פנימית ושחזור, כדי לוודא שיש זמן לשחזר נתונים שסומנו למחיקה בטעות או בשגיאה. יכול להיות שבמוצרים ספציפיים Google Cloud תוגדר תקופת שחזור כזו לפני שהנתונים יימחקו ממערכות האחסון הבסיסיות, כל עוד התקופה הזו תואמת ללוח הזמנים הכולל של Google למחיקת נתונים.

כשפרויקטים נמחקים, מערכתGoogle Cloud מזהה קודם את מספר הפרויקט הייחודי ואז משדרת אות השעיה למוצרי Google Cloud (לדוגמה, Compute Engine ו-Bigtable) שמכילים את מספר הפרויקט הזה. במקרה כזה, Compute Engine משעה פעולות שמשויכות למספר הפרויקט הזה, והטבלאות הרלוונטיות ב-Bigtable נכנסות לתקופת שחזור פנימית של עד 30 ימים. בסוף תקופת השחזור,Google Cloud משדר אות לאותם מוצרים כדי להתחיל במחיקה לוגית של משאבים שקשורים למספר הפרויקט הייחודי. לאחר מכן, Google ממתינה (ובמקרה הצורך, משדרת מחדש את האות) כדי לקבל אות אישור (ACK) מהמוצרים הרלוונטיים להשלמת מחיקת הפרויקט.

כשסוגרים חשבון Google, Google Cloud יכול להיות שיוטל פרק זמן פנימי לשחזור החשבון למשך עד 30 ימים, בהתאם לפעילות הקודמת בחשבון. אחרי שתקופת החסד הזו מסתיימת, משודר אות שמכיל את מזהה המשתמש בחשבון לחיוב שנמחק למוצרי Google, ומשאבים Google Cloud שקשורים רק למזהה המשתמש הזה מסומנים למחיקה.

שלב 3: מחיקה לוגית ממערכות פעילות

אחרי שהנתונים מסומנים למחיקה ותקופת השחזור מסתיימת, הנתונים נמחקים ברצף ממערכות האחסון הפעילות וממערכות הגיבוי של Google. במערכות פעילות, הנתונים נמחקים בשתי דרכים.

בכל מוצרי Google Cloud הפרויקט בקטגוריות Compute,‏ Storage ו-Database, למעט Cloud Storage, עותקים של הנתונים שנמחקו מסומנים כשטח אחסון זמין ונמחקים עם הזמן. במערכת אחסון פעילה כמו Bigtable, נתונים שנמחקו מאוחסנים כרשומות בתוך טבלה מובנית גדולה. דחיסת טבלאות קיימות כדי להחליף נתונים שנמחקו עלולה להיות יקרה, כי היא מחייבת כתיבה מחדש של טבלאות של נתונים קיימים (שלא נמחקו). לכן, אירועים של מנגנון איסוף מסוג mark-and-sweep ואירועים של דחיסה משמעותית מתוזמנים להתרחש במרווחי זמן קבועים כדי לפנות נפח אחסון ולהחליף נתונים שנמחקו.

ב-Cloud Storage, נתוני הלקוחות נמחקים גם באמצעות מחיקה קריפטוגרפית. זוהי טכניקה מקובלת בתחום שגורמת לכך שהנתונים לא יהיו קריאים, כי היא מוחקת את מפתחות ההצפנה שדרושים לפענוח הנתונים. אחד היתרונות של שימוש במחיקה קריפטוגרפית, בין אם היא כוללת מפתחות הצפנה שסופקו על ידי Google או על ידי הלקוח, הוא שאפשר להשלים מחיקה לוגית גם לפני שכל הבלוקים שנמחקו של הנתונים האלה נמחקים במערכות האחסון הפעילות ובמערכות הגיבוי שלGoogle Cloud.

שלב 4: תפוגה ממערכות גיבוי

בדומה למחיקה מהמערכות הפעילות של Google, נתונים שנמחקו מוצאים ממערכות הגיבוי באמצעות שיטות של החלפת נתונים והצפנה. עם זאת, במקרה של מערכות גיבוי, נתוני הלקוחות מאוחסנים בדרך כלל בתוך תמונות מצב גדולות ומצטברות של מערכות פעילות, שנשמרות לתקופות זמן סטטיות כדי להבטיח את המשכיות העסקית במקרה של אסון (לדוגמה, הפסקת חשמל שמשפיעה על מרכז נתונים שלם), כשעלול להיות צורך לשחזר מערכת שלמה ממערכות גיבוי, למרות הזמן והעלות הכרוכים בכך. בהתאם לשיטות סבירות להמשכיות עסקית, מתבצעות תמונות מצב מלאות ומצטברות של מערכות פעילות במחזורים יומיים, שבועיים וחודשיים, והן מוצאות משימוש אחרי תקופה מוגדרת מראש כדי לפנות מקום לתמונות המצב החדשות ביותר.

כשמפסיקים להשתמש בגיבוי, הוא מסומן כשטח אחסון פנוי ונמחק כשמבצעים גיבויים חדשים יומיים, שבועיים או חודשיים.

חשוב לדעת: כל מחזור גיבוי סביר כרוך בעיכוב מוגדר מראש בהעברת בקשה למחיקת נתונים דרך מערכות הגיבוי. כשנתוני לקוחות נמחקים ממערכות פעילות, הם לא מועתקים יותר למערכות גיבוי. גיבויים שבוצעו לפני המחיקה יפוגו באופן קבוע על סמך מחזור הגיבוי שהוגדר מראש.

לבסוף, יכול להיות שהמחיקה הקריפטוגרפית של הנתונים שנמחקו תתרחש לפני שתוקף הגיבוי שמכיל נתוני לקוחות יפוג. בלי מפתח ההצפנה ששימש להצפנת נתוני לקוחות ספציפיים, אי אפשר לשחזר את נתוני הלקוחות, גם במהלך יתרת משך החיים שלהם במערכות הגיבוי של Google.

ציר הזמן של המחיקה

Google Cloud מתוכנן להשיג רמה גבוהה של מהירות, זמינות, עמידות ועקביות. התכנון של מערכות שעברו אופטימיזציה לשיפור מאפייני הביצועים האלה צריך להיות מאוזן בקפידה עם הצורך למחוק נתונים בזמן. Google Cloud מתחייבת למחוק נתוני לקוחות תוך תקופה של עד שישה חודשים (180 ימים). ההתחייבות הזו כוללת את השלבים של צינור ההסרה של Google שמתוארים למעלה, כולל:

שלב 2: אחרי שליחת בקשת המחיקה, הנתונים מסומנים בדרך כלל למחיקה באופן מיידי, והמטרה שלנו היא לבצע את השלב הזה תוך 24 שעות לכל היותר. אחרי שהנתונים מסומנים למחיקה, יכול להיות שיחול עליהם תקופת שחזור פנימית של עד 30 יום, בהתאם לשירות או לבקשת המחיקה.
שלב 3: הזמן הדרוש להשלמת משימות איסוף אשפה ולהשגת מחיקה לוגית ממערכות פעילות. תהליכים אלה עשויים להתרחש מיד לאחר קבלת בקשת המחיקה, בהתאם לרמת שכפול הנתונים ולתזמון מחזורי איסוף האשפה המתמשכים. לאחר הגשת בקשת המחיקה, מחיקת נתונים ממערכות פעילות אורכת בדרך כלל כחודשיים, וזה בדרך כלל זמן מספיק כדי להשלים שני מחזורי איסוף אשפה עיקריים ולהבטיח שהמחיקה הלוגית תושלם.
שלב 4: מחזור הגיבוי של Google מתוכנן כך שנתונים שנמחקו יפוגו בגיבויים של מרכזי הנתונים תוך שישה חודשים ממועד בקשת המחיקה. יכול להיות שהמחיקה תתבצע מוקדם יותר, בהתאם לרמת השכפול של הנתונים ולתזמון של מחזורי הגיבוי השוטפים של Google.

בתרשים הבא מוצגים השלבים של צינור המחיקה של Google Cloudוהזמן שבו הנתונים נמחקים מהמערכות הפעילות וממערכות הגיבוי.

תרשים של צינור עיבוד נתונים למחיקה.

הבטחת ניקוי בטוח ומאובטח של מדיה

תוכנית מבוקרת לניקוי נתוני מדיה משפרת את האבטחה של תהליך המחיקה, כי היא מונעת מתקפות משפטיות או מתקפות במעבדה על מדיה פיזית לאחסון נתונים אחרי שהיא הגיעה לסוף מחזור החיים שלה.

‫Google עוקבת בקפידה אחרי המיקום והסטטוס של כל ציוד האחסון במרכזי הנתונים, מהרגע שהציוד נרכש והותקן ועד להוצאתו משימוש והשמדתו, באמצעות ברקודים ותגי נכסים שמתועדים במסד הנתונים של Google. אנחנו משתמשים בטכניקות שונות כמו זיהוי ביומטרי, גלאי מתכות, מצלמות, מחסומים לכלי רכב ומערכות מונחות-לייזר לגילוי חדירות כדי למנוע הוצאת ציוד מקומת מרכז הנתונים ללא אישור. מידע נוסף זמין במאמר סקירה כללית על תכנון האבטחה בתשתית של Google.

יכולות להיות מגוון סיבות להוצאה משימוש של אמצעי אחסון פיזיים. אם רכיב כלשהו נכשל בבדיקת ביצועים בכל שלב במהלך מחזור החיים שלו, אנחנו מסירים אותו מהמלאי ומוציאים אותו משימוש. בנוסף, Google משדרגת חומרה שיצאה משימוש כדי לשפר את מהירות העיבוד והיעילות האנרגטית, או כדי להגדיל את קיבולת האחסון. בין אם החומרה מוצאת משימוש בגלל תקלה, שדרוג או כל סיבה אחרת, אמצעי האחסון מוצאים משימוש באמצעות אמצעי הגנה מתאימים. בכוננים הקשיחים של Google נעשה שימוש בטכנולוגיות כמו FDE (הצפנת דיסק מלאה) ונעילת כונן, כדי להגן על הנתונים באחסון במהלך הוצאה משירות. כשמוציאים משימוש כונן קשיח, עובדים מורשים מוודאים שהדיסק נמחק על ידי החלפת הנתונים בכונן באפסים וביצוע תהליך אימות רב-שלבי, כדי לוודא שהכונן לא מכיל נתונים.

אם לא ניתן למחוק את מדיום האחסון מסיבה כלשהי, הוא מאוחסן באופן מאובטח עד להשמדתו הפיזית. בהתאם לציוד הזמין, אנחנו מועכים את הכונן ומעוותים אותו או גורסים אותו לחתיכות קטנות. בכל מקרה, הדיסק עובר מיחזור במתקן מאובטח, כדי להבטיח שאף אחד לא יוכל לקרוא נתונים בדיסקים של Google שהוצאו משימוש. כל מרכזי הנתונים פועלים בהתאם למדיניות סילוק קפדנית, ומשתמשים בטכניקות שמתוארות כדי לעמוד בדרישות של NIST SP 800-88 Revision 1 Guidelines for Media Sanitization ושל DoD 5220.22-M National Industrial Security Program Operating Manual.

מחיקת נתונים ב-Google Cloud קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.