Omfattende gennemgang af sikkerhed og sårbarhedsbeskyttelse for Google Apps En Google-hvidbog, februar 2007
Sikkerhed for Google Apps FLERE OPLYSNINGER Online www.google.com/a E-mail apps-enterprise@google.com Sikring af netværksbaserede programmer mod potentielle hackere er nøglen til at sikre succesen for ethvert system. Når det drejer sig om e-mail og samarbejde, er det af altoverskyggende vigtighed. Google investerer milliarder af dollars i teknologi, mennesker og processer for at sikre, at data i Google Apps både er i sikkerhed og forbliver fortrolige. Googles kompetente hold af sikkerhedsmedarbejdere har ansvaret for at udvikle med sikkerheden for øje helt fra grunden, og de gennemser alle udviklinger, koder og det færdige produkt for at sikre, at det helt og fuldt overholder Googles strenge standarder for datasikkerhed og fortrolighed. Den samme infrastruktur, der bruges til at hoste Google Apps og sikre hundredtusindvis af brugeres data, anvendes også til at styre millioner af forbrugeres data og milliarder af dollars i annonceringstransaktioner. Med Google Apps er dine oplysninger i sikkerhed. INTRODUKTION 3 ORGANISATIONS- OG DRIFTSMÆSSIG SIKKERHED 3 Udviklingsmetodik 4 Driftssikkerhed 4 Sikkerhedsgrupper og rådgivning 4 DATASIKKERHED 4 Fysisk sikkerhed 4 Logisk sikkerhed 5 Oplysningsadgang 5 Reserveberedskab 6 IMØDEGÅELSE AF TRUSLER 6 Spam- og virusbeskyttelse 6 Program- og netværksangreb 6 SIKKER ADGANG 7 Slutbrugerbeskyttelse 7 Du har kontrollen 7 DATAFORTROLIGHED 8 KONKLUSION 8
Introduktion Som en del af vores mission om at organisere hele verdens oplysninger er Google ansvarlig for at beskytte mange millioner brugeres data. Dette ansvar tager vi meget alvorligt, og Google er gået særdeles langt for at opnå og leve op til vores brugeres tillid. Google er klar over, at sikre produkter er et vigtigt parameter, når det gælder om at opretholde brugernes tillid, og vi stræber efter at skabe innovative produkter, der tjener brugernes behov og fungerer med deres interesser i højsædet. Google Apps drager fordel af denne omfattende driftserfaring med hensyn til at producere sikre og pålidelige produkter. Googles produkter og tjenester kombinerer avancerede teknologiløsninger med branchens absolut bedste sikkerhedspraksis for at sikre, at kunde- og brugerdata er i sikkerhed. Vi investerer milliarder af dollars for at opnå det pålideligste og sikreste miljø for både data og programmer. Google fokuserer i særlig grad på adskillige sikkerhedsaspekter, der er af yderste vigtighed for virksomhedskunder: Organisations- og driftsmæssig sikkerhed Politikker og procedurer, der skal sørge for sikkerhed i hver eneste fase af udvikling, implementering og løbende drift. Datasikkerhed Sørger for, at kundedata lagres i sikre faciliteter, på sikre servere og i sikre programmer. Imødegåelse af trusler Beskytter brugere og deres oplysninger mod ondsindede angreb og potentielle hackere. Sikker adgang Sørger for, at kun autoriserede brugere kan få adgang til data, og at adgangskanalen er sikker. Datafortrolighed Sørger for, at fortrolige oplysninger bliver ved med at være fortrolige og personlige. Denne hvidbog ser på Googles sikkerhedsstrategi, som anvender adskillige fysiske, logiske og driftsmæssige sikkerhedstiltag for at opnå det bedste i datasikkerhed og fortrolighed. Organisations- og driftsmæssig sikkerhed Grundlaget for Googles sikkerhedsstrategi begynder med vores medarbejdere og processer. Sikkerhed er en kombination af mennesker, processer og teknologi, der når de sættes rigtigt sammen fører til sikker og ansvarlig computerbrug. Sikkerhed er ikke noget, der bare kan indføres til sidst. Faktisk forholder det sig omvendt; det er tænkt ind i produkter, arkitektur, infrastruktur og systemer helt fra begyndelsen. Google anvender et fuldtidsansat sikkerhedshold, der udvikler, dokumenterer og implementerer omfattende sikkerhedspolitikker. Googles sikkerhedsteam består af nogle af verdens førende eksperter i informations-, program- og netværkssikkerhed. Sikkerhedsteamet er opdelt i funktionsområder, der tager sig af henholdsvis perimeterforsvar, infrastrukturforsvar og programforsvar, samt påvisning af og reaktion på sårbarheder. Mange kommer til Google med en tidligere erfaring opnået som ledere indenfor informationssikkerhed i nogle af USA's 500 dygtigste virksomheder. Dette team fokuserer en stor del af deres bestræbelser på præventive tiltag for at sikre, at kode og systemer er sikre helt fra begyndelsen, og de står konstant til rådighed for at reagere dynamisk på sikkerhedsproblemer.
Udviklingsmetodik Googles sikkerhedsindstilling er topprioritet, lige fra det øjeblik et produktdesign bliver skitseret for første gang. Googles ingeniør- og produktteams modtager omfattende træning i grundlæggende sikkerhed. Googles udviklingsmetodik indebærer en flertrinsplan med løbende kontrolpunkter og fuld audit. Googles programsikkerhedsteam er involveret i alle stadier af produktudviklingen, inklusive designgennemgang, kodeaudit, system- og funktionalitetsafprøvning og endelig godkendelse af lancering. Google anvender adskillige erhvervsmæssige og ejendomsretligt beskyttede teknologier for at sørge for, at programmerne er sikre på ethvert niveau. Googles programsikkerhedsteam er også ansvarlig for, at sikre udviklingsprocesser følges, således at kundesikkerheden er på plads. Driftssikkerhed Googles sikkerhedsdriftsteam er fokuseret på at vedligeholde sikkerheden i de driftssystemer, der inkluderer datahåndtering og systemstyring. Disse medarbejdere udfører rutinemæssig audit på datacenterdrift og gennemfører løbende trusselsvurderinger mod Googles fysiske og logiske aktiver. Denne gruppe er også ansvarlig for at sikre, at alle medarbejdere er evalueret og trænet på passende vis, så de udfører deres arbejde på en professionel og sikker måde. Google gør sig desuden store anstrengelser for at evaluere og bekræfte en ansøgers baggrund, før vedkommende bliver ansat i organisationen. Alle medarbejdere, der har ansvar for at vedligeholde sikkerhedsprocesser og - procedurer gennemgår grundig træning i den anvendte praksis, og deres træning bliver løbende opdateret. Sikkerhedsgrupper og rådgivning Udover de ovenfor beskrevne processer samarbejder Google endvidere aktivt med forskellige eksterne sikkerhedsgrupper og drager dermed fordel af den samlede viden, som verdens bedste og dygtigste er indehavere af. Det bidrager til, at Google hele tiden er på forkant med hensyn til sikkerhedsmæssige trends, hurtigt kan reagere på opstående trusler og har rådighed over ekspertise både i og udenfor virksomheden. Google involverer aktivt disse større eksterne sikkerhedsgrupper igennem ansvarlig vidensdeling. Du kan finde yderligere oplysninger om dette program og nogle af nøglesikkerhedseksperterne, som Google opretholder en løbende dialog med, på http://www.google.com/corporate/security.html. Selv med alle disse beskyttelsesniveauer kan ukendte sårbarheder dukke op, og Google er udstyret til at reagere hurtigt over for sikkerhedsadvarsler og sårbarheder. Googles sikkerhedsteam foretager audit på al infrastruktur for at påvise potentielle sårbarheder og samarbejder direkte med ingeniører om omgående at korrigere ethvert kendt problem. Kunder, der anvender Google Apps-premierudgaven, vil blive underrettet om sikkerhedsproblemer, der har betydning for brugerne, så hurtigt som det er muligt via e-mail. Datasikkerhed Sikring af virksomheds- og brugerdata er missionen for Googles sikkerhedsog driftsteams. Googles forretning bygger på brugertillid, og derfor er det en af nøglerne til Googles fortsatte succes som virksomhed. Alle Googles medarbejdere har fået indprentet værdien af ansvarlighed overfor slutbrugeren. Beskyttelse af data er kernen i det, Google handler om. Google er meget omhyggelig med at beskytte for milliarder af dollars forbruger- og annoncetransaktioner; vi bruger præcis samme omhyggelighed, når det drejer sig om Googles kommunikations- og samarbejdsteknologier. Du kan se, at det er grundlaget for, hvem vi er som virksomhed, ved at gennemgå vores adfærdsregler (code of conduct), som du finder på http://investor.google.com/conduct.html.
Fysisk sikkerhed Google driver et af verdens største netværk af distribuerede datacentre, og vi går meget langt for at beskytte både data og immaterielle rettigheder i disse centre. Google driver datacentre over hele verden, og mange Googledatacentre er 100 % ejet og styret, således at ingen udenforstående parter kan opnå adgang. Den geografiske placering af datacentrene er valgt for at give beskyttelse mod katastrofale begivenheder. Kun udvalgte Googlemedarbejdere har adgang til datacentrenes anlæg og de servere, der findes i dem, og denne adgang er strengt kontrolleret og undergivet audit. Sikkerhed overvåges og kontrolleres både lokalt på stedet og centralt i Googles sikkerhedsdriftscentre verden over. Selve anlæggene er ikke blot designet til højst mulig effektivitet, men også for at opnå sikkerhed og pålidelighed. Flere reserveniveauer sikrer løbende drift og tilgængelighed til tjenester selv under de hårdeste og mest ekstreme omstændigheder. Dette inkluderer adskillige reserveniveauer indenfor et center, generatorstrømforsynet backup af løbende drift og fuldt reserveberedskab på tværs af flere spredte centre. Der anvendes topmoderne kontrol til overvågning af centrene, både lokalt og på afstand, og der findes automatiske failover-systemer til sikring af systemerne. Logisk sikkerhed I internetbaseret computerbrug er logisk sikring af data og applikationer lige så kritisk som fysisk sikkerhed. Google går til yderligheder for at sørge for, at applikationer er sikre, at data håndteres sikkert og ansvarligt, og at der ikke kan opnås ekstern uautoriseret adgang til kunde- eller brugerdata. For at opnå dette mål anvender Google forskellige industristandardteknikker samt nogle unikke, innovative tiltag. Et af disse tiltag er anvendelse af specialformålsteknologi fremfor software, der er udviklet til generelle formål. Meget af Googles teknologi er skrevet med det formål at opnå specialformålsfunktioner fremfor computerbrug til generelle formål. Eksempelvis er webserverlaget specielt udviklet og implementeret af Google til kun at udvise de funktioner, der er nødvendige for drift af specifikke applikationer. Derfor er det ikke så sårbart overfor de bredspektrede angreb, som de fleste kommercielle softwareprogrammer er modtagelige overfor. Google har af sikkerhedsmæssige hensyn også gennemført ændringer i kernebiblioteker. Fordi Googles infrastruktur er et dedikeret applikationssystem fremfor en computerplatform til generelle formål, kan flere af tjenesterne, der findes i et standardoperativsystem fra Linux, begrænses eller deaktiveres. Disse ændringer fokuserer på at forbedre de funktioner i systemet, der er nødvendige for at udføre den igangværende opgave, og deaktivere eller fjerne ethvert sårbart systemaspekt, som ikke er nødvendigt. Googles servere er også beskyttet af flere niveauer af firewalls for at beskytte mod angreb. Trafik overvåges på passende vis for forsøg på angreb, og ethvert forsøg håndteres med det formål at beskytte brugerdata. Oplysningsadgang Data som f.eks. e-mails er lagret i et kodet format, der er ydelsesoptimeret, fremfor lagret i et traditionelt filsystem eller som database. Data er spredt over flere fysiske og logiske steder for reserveberesdkab og hensigtsmæssig adgang, hvorved de sløres over for uautoriserede ændringer. Googles fysiske beskyttelsestiltag sikrer som beskrevet ovenfor, at det ikke er muligt at få fysisk adgang til serverne. Al adgang til produktionssystemer udføres af medarbejdere, der anvender krypteret SSH (secure shell). For at få meningsfuld adgang til slutbrugerdata kræver det specialviden omkring datastrukturerne og Googles fortrolige infrastruktur. Dette er et af mange sikkerhedsniveauer, der garanterer, at fortrolige data er sikre i Google Apps.
Googles spredte arkitektur er bygget for at opnå et højere niveau af sikkerhed og pålidelighed end en traditionel arkitekturopbygning med kun én beboer. Individuelle brugerdata er spredt over et antal anonyme servere, klynger og datacentre. Derved opnår vi, at data ikke blot er sikret mod eventuelt tab, men også befinder sig i et særdeles sikkert miljø. Det er kun muligt at opnå adgang til brugerdata med den korrekte autorisation, hvilket garanterer, at det ikke er muligt for en kunde at få adgang til en anden kundes data uden eksplicit viden om deres login-oplysninger. Dette gennemprøvede system forsyner ikke blot millionvis af forbrugere med e-mail, kalenderfunktioner og dokumenter hver eneste dag; det anvendes også af Google som den primære platform, der betjener vores over 10.000 medarbejdere. Reserveberedskab Den program- og netværksarkitektur, som Google bruger, er designet til maksimal pålidelighed og oppetid. Googles gitterbaserede computerfunktionsplatform antager vedvarende hardwarenedbrud, og robust software-failover modstår denne forstyrrelse. Alle Google-systemer er designet til at have et naturligt indbygget reserveberedskab, og hvert undersystem er uafhængigt af eventuelle bestemte fysiske eller logiske servere for den løbende drift. Data gentages mange gange på tværs af Googles klyngebaserede aktive servere, således at data i tilfælde af maskinnedbrud stadig vil være tilgængelig gennem et andet system. Brugerdata er derudover også kopieret på tværs af datacentre. Det betyder, at hvis et helt datacenter fejlede eller blev involveret i en katastrofe, ville et andet datacenter umiddelbart kunne overtage og yde tjenester til brugerne. Imødegåelse af trusler E-mail-virus, phishing-angreb og spam er nogle af de største sikkerhedstrusler i virksomheder i dag. Rapporter viser, at mere end 2/3 af al indkommende e-mail er spam, og at ny e-mail-virus fødes og spredes igennem internettet hver dag. Det kan være en overvældende opgave at holde sig på forkant med udviklingen, og selv virksomheder, der har spam- og virusfiltre, kæmper med at holde dem konstant opdaterede for at kunne modstå de seneste trusler. Derudover er netværksbaserede applikationer mål for ondsindede angreb, der forsøger at ændre data eller få tjenesten til at gå ned. Googles trusselsimødegåelsessystem er i verdensklasse, og det beskytter brugere mod angreb på dataene og i indholdet af deres beskeder og filer. Spam- og virusbeskyttelse Google Apps-kunder drager fordel af et af de stærkeste spam- og phishing-filtre, der findes i branchen i dag. Google har udviklet avancerede teknologifiltre, der lærer fra mønstre i meddelelser, der er identificeret som spam, og disse filtre trænes konstant på tværs af milliarder af e-mail-beskeder. Derfor kan Google meget præcist identificere spam, phishing-angreb og virus og sikre, at brugeres indbakker, kalendere og dokumenter er beskyttede. Ved hjælp af Googles internetbaserede grænseflade blokerer virusbeskyttelse truslen fra ukendte brugere, der spreder en virus i organisationsnetværk eller interne netværk. I modsætning til traditionelle klientbaserede e-mail-programmer hentes meddelelser ikke til skrivebordet. De bliver i stedet scannede for virus på serveren, og Gmail tillader ikke en bruger at åbne en vedhæftet fil, før den er scannet og en eventuel trussel afhjulpet. Derfor kan e-mail-virusser ikke udnytte sikkerhedsproblemer på klientsiden, og brugere kan ikke ubevidst åbne et dokument med en virus. Program- og netværksangreb Udover at filtrere indholdet af data for spam og virus beskytter Google hele tiden sig selv og kunderne mod ondsindede angreb. Hackere leder altid efter en måde at bryde ind i internetbaserede programmer eller få dem til at bryde ned. Nægtelse af tjeneste, IP-spoofing, CSS (cross site scripting) og pakkeændring er blot nogle få af de mange angrebstyper, der dagligt bruges mod netværk. Som en af verdens største udbydere har Google
gjort rigtigt meget for at beskytte mod disse og andre trusler. Al software scannes ved hjælp af en række erhvervsmæssige og ejendomsretligt beskyttede netværk og applikationsscanningspakker. Googles sikkerhedsteam samarbejder også med eksterne parter for at teste og forbedre Googles sikkerhedsposition for både infrastruktur og applikationer. Sikker adgang Ligegyldigt hvor sikre data er i et datacenter, er dataene sårbare, så snart de hentes til en brugers lokale computer. Undersøgelser har vist, at en gennemsnitlig bærbar computer har over 10.000 filer og tusindvis af hentede e-mail-beskeder. Forestil dig, at en af disse firmabærbare falder i hænderne på en ondsindet bruger. Ved blot at bruge en disk, kan en ikke-autoriseret bruger få adgang til dit firmas immaterielle rettigheder og hemmeligheder. Google Apps gør det muligt for virksomheder at formindske denne risiko ved at undgå lokal lagring af data på brugeres bærbare computere. Slutbrugerbeskyttelse Googl e App s' internetbaserede opb ygning g iver dig m ulighed f or at sikre dig, at brugerne har nem adgang til deres data fra et hvilket som helst sted, de måtte befinde sig, mens dataene forbliver i sikkerhed på Googles servere. I stedet for e- mails, der gemmes på en bærbar eller stationær computer, kan brugerne anvende en webbrowser til at få adgang til særdeles interaktive grænseflader for e-mail, kalender og onlinemeddelelser af en kvalitet som på en stationær computer. På samm e m åde kan brugere v ed hjælp af appli kationer som Google Dokumenter f å en høj gr ad af kontrol over oplysninger. Disse dokum enter bliv er liggende på serveren, men brugerne får omfattende redigeringsmuligheder via webbrowseren. Ydermere har brugerne detaljeret kontrol over, hvem der har adgang til disse dokumenter, og de kan oprette en liste over, hvem der kan redigere, og hvem der kun kan få vist dokumenterne. Disse tilladelser håndhæves ved enhver adgang til dokumentet, hvilket betyder, at du undgår problemet med, at et internt dokument bliver videresendt via e-mail uden for din virksomhed. Disse produkter sporer endvidere ændringer på et detaljeret niveau, så det bliver synligt, hvem der har ændret hvad, hvornår. Google Apps beskytter også overførsel af data for at sikre, at brugere har sikker adgang til data uden truslen om, at fortrolige data bliver opsnappet på netværket. Adgang til den internetbaserede administrative konsol til Google Apps samt de fleste slutbrugerapplikationer tilbydes via en SSL-forbindelse (Secure Socket Layer). Google tilbyder HTTPS-adgang til de fleste tjenester i Google Apps, og produktet kan opsættes til kun at tillade HTTPS-adgang til nøgletjenester som f.eks. e-mail og kalender. Denne funktionalitet indebærer, at al brugeradgang til dataene og alle interaktioner er krypteret. Google anvender på intet tidspunkt cookies til at lagre adgangskoder eller kundedata på brugersystemet. Cookies anvendes til sessionoplysninger, og når det er bekvemt for brugerne, men disse oplysninger er på intet tidspunkt følsomme, og de kan heller ikke anvendes til at bryde ind i en brugers konto. Du har kontrollen Udover at give disse forskellige former for beskyttelse af virksomheds- og brugerdata giver Google endvidere erhvervsvirksomheder kontrollen til at integrere virksomhedssikkerhed, adgang, audit og godkendelsesmetodik i Google Apps. Google Apps stiller en single sign-on API, baseret på SAML 2.0, til rådighed, som lader virksomheder anvende eksisterende godkendelsesmekanismer til at give brugere adgang til Google Apps. Virksomheder kan f.eks. anvende Active Directorygodkendelse til at logge en bruger ind, og legitimationsoplysningerne udsendes ikke gennem Google-servere for at få adgang til de internetbaserede værktøjer. Dette giver også virksomheder mulighed for at fortsætte med at håndhæve deres adgangskodestyrke og ændringsfrekvenspolitikker.
Derudover stiller Google en administrationskonsol og API til rådighed til brugerstyring. Administratorer har retten til omgående at lukke adgang til en konto eller slette en konto på anfordring. Dette kan også forbindes til dine interne processer for brugeraktivering og -deaktivering via API'en. Hvad angår e-mail og onlinebeskeder gør Google det også muligt at placere en mail-gateway foran e-mail-systemet. I denne konfiguration går alle indgående og udgående e-mails igennem kundesystemet, og dette giver dig mulighed for at overvåge og arkivere e-mails samt opsætte overvågningskontrol. Datafortrolighed Google er meget opmærksom på virksomheds- og brugerfortrolighed, og vi er klar over, at de data, der befinder sig i applikationerne, er både fortrolige og følsomme. Med Google Apps sikrer Google, at oplysninger ikke bliver kompromitteret. Du kan læse Googles juridisk bindende politik til beskyttelse af personlige oplysninger, der beskytter alle tjenester, på http://www.google.com/privacypolicy.html. I henhold til denne politik og relaterede politikker for de individuelle tjenester, der er indeholdt i Google Apps, har Google-medarbejdere på intet tidspunkt adgang til fortrolige brugerdata. Google angiver også, at denne politik ikke vil blive ændret på nogen som helst potentielt skadelig måde uden udtrykkeligt skriftligt tilsagn fra kunden og/eller brugeren. Konklusion Google Apps er en sikker og pålidelig platform for dine data, som giver dig den seneste teknologi og bedste praksis for datacenterstyring, netværksapplikationssikkerhed og dataintegritet. Når du betror din virksomheds oplysninger til Google, kan du gøre det med fuld tillid, fordi du ved, at al Googles teknologi og investering i infrastruktur bliver anvendt til fulde for at sikre dine datas sikkerhed, fortrolighed og integritet. Du kan få flere oplysninger om Google Apps på http://www.google.com/a eller ved at sende en e-mail til apps-enterprise@google.com. Copyright 2007. Google er et varemærke tilhørende Google Inc. Alle andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive virksomheder.