Google Cloud Platform Japan Blog
最新情報や使い方、チュートリアル、国内外の事例やイベントについてお伝えします。
Google データセンターにみるセキュリティとデータ保護のベスト プラクティス
2016年3月31日木曜日
* この投稿は米国時間 3 月 24 日、Google の Data Center Operations 担当 VP である Joe Kava によって投稿されたもの(
投稿はこちら
)の抄訳です。
先ごろサンフランシスコで開催された
Google Cloud Platform
(GCP)のユーザー カンファレンス
GCP NEXT 2016
で、本記事の投稿者である私と、Google のセキュリティおよびプライバシー担当 Distinguished Engineer である Niels Provos が基調講演の壇上に立ちました。
講演のテーマは「 Google が世界のデータセンターの設計、構築、運用、セキュリティ確保をどのように行っているか」でした。私たち 2 人は、Google のデータセンターを極めてユニークなものにしている秘密のレシピの一端を披露し、これらのデータセンターで GCP を利用しているお客様にとって、それがどのような意味を持つかについて話をしました。
セキュリティとデータ保護
セキュリティとデータ保護を重視することは、私たち Google にとって重要な設計基準の 1 つです。
Google のデータセンターでは物理セキュリティ対策として多層セキュリティ モデルを採用しています。このモデルには、カスタム設計の電子アクセス カード、警報システム、車両侵入防止装置、敷地境界フェンス、金属探知機、バイオメトリクス(生体認証)といった安全措置が含まれます。
データセンター フロアではレーザーによる侵入検知が行われています。侵入者を検知して追跡できる屋内外の高解像度カメラで 24 時間週 7 日、監視されています。インシデントが発生したときは、アクセス ログやアクティビティ記録、カメラの録画映像を利用できます。
データセンターの中は、厳格な身元調査とトレーニングを受けた経験豊富な警備員が定期的にパトロールしています(このデータセンターの
360 度ツアー動画
をよく見ると、数人の警備員の姿が見えます)。
データセンター フロアに近づくにつれて、セキュリティ対策はより厳重になります。データセンター フロアにはセキュリティ通路からしか入れません。
このセキュリティ通路では、セキュリティ バッジと生体認証を利用した多元的なアクセス管理が行われています。特定の役割を担う許可された社員だけが入ることができます。ちなみに、データセンターに足を踏み入れることのできる Google 社員は全体の 1 % 未満です。
さらに、Google はストレージのライフサイクル全体を非常に厳密に管理しており、ハードディスクが最初にマシンに組み込まれてから、データの抹消 / 消去が確認されるまで、あるいはハードディスク自体が破壊されるまで、すべてを追跡します。
情報セキュリティ対策と物理セキュリティ対策は組み合わせて実施されます。データが最も不正アクセスに弱いのは、インターネット経由またはネットワーク内で転送されるときです。そのため、転送中のデータにおけるセキュリティの確保は、Google にとって優先課題となっています。
お客様の端末と Google との間で転送されるデータは、HTTPS/TLS (Transport Layer Security)を使用して暗号化されています。ちなみに、Google は HTTPS/TLS をデフォルトで有効にした最初の主要なクラウド プロバイダーです。
ハードウェアと監視システムを独自に構築
Google のサーバーには、ビデオ カードやチップセット、周辺機器コネクタなど、脆弱性を招くおそれがある不要なコンポーネントは含まれていません。Google の本番サーバーでは、余分な機能をそぎ落とした堅牢なバージョンの Linux をベースにした、カスタム設計の OS が動作しています。
Google のサーバーと OS は、Google サービスの提供という目的に特化して設計されています。サーバー リソースの動的な割り当てにより、サーバーの柔軟なスケーリングや、変化への迅速かつ効率的な適応が可能で、お客様の要求に応じてリソースの追加や再割り当てが行われます。
データセンター チームにとっては、インフラストラクチャの状態と機能をリアルタイムに可視化する機能が不可欠です。
ご存じかと思いますが、少し控えめに言っても、Google はデータ魔です。データセンター チームを支援するために、Google はサーバーからストレージ、ネットワーク システム、配電、機械的冷却システム、セキュリティ システムに至るすべての機能領域を対象とした監視制御システムを構築しました。チップから冷却装置までのパフォーマンスと運用のあらゆる側面を監視しているのです。
機械学習でデータセンター運用を最適化
上述の取り組みをサポートするため、Google は
機械学習
/ ディープ ラーニング アルゴリズムをデータセンター運用に利用しています。
ご想像のとおり、Google のデータセンターは大規模かつ複雑です。データセンターとして最適なパフォーマンスが得られるように、電気、機械、制御システムがすべて連携して機能しています。
これらのシステムのやり取りや設定項目の数が膨大なことから、それら全体を思い浮かべてデータセンターの最適な運用方法をリアルタイムに判断することは、われわれ人間にはできません。しかし、コンピュータにとっては、そうした可能なシナリオをすべて計算し、分析して最適な設定を導き出すことは、さほど難しくはないのです。
ここ数年、Google はディープ ラーニング アルゴリズムの開発に力を注ぎ、世界中の Google サイトの数十億に及ぶデータ ポイントで訓練してきました。
今ではこの機械学習モデルをデータの可視化に活用しており、運用チームが毎日、パフォーマンスに影響する最大 19 の独立変数を検討し、最も効率の良い最適なパフォーマンスを目指してデータセンターの電気および冷却設備をセットアップしています。これは、直感ではわからない不連続や効率の変動をチームが特定するのに役立っています。
再生可能エネルギーで電力をまかなう
Google は、インフラストラクチャの電力を再生可能エネルギーでまかなうことにも力を注いでいます。
Google の再生可能エネルギー投資額は、民間企業として世界最大です。再生可能エネルギーの電力購入契約(PPA : Power Purchase Agreement)への累計投資額は 20 億ドルを超えています。これらの PPA は非常に重要であり、そう考える理由は次の 3 つです。
Google は通常、10 ~ 20 年という長期にわたってウィンド ファームやソーラー ファームの全出力を購入している。
これらのウィンド ファームは Google のデータセンターと同じ送電網内に位置している。
送電網を共有しているウィンド ファームとデータセンターが、プロジェクト ディベロッパーに対してプロジェクトの遂行に必要な財務コミットメントを行うことにより、投資の結果として再生可能エネルギーが送電網に確実に追加される。
冷却に関しては、Google は平均して約 12 ~ 18 か月ごとに基本的な冷却技術の設計を見直しています。その過程で、水を使った冷却システムの開発やイノベーションを進めてきました。その成果としては、海水冷却や産業用水冷却、再利用水 / 雑排水冷却、雨水の収集と再利用、貯留、熱エネルギー貯蔵などがあります。
また、水を使ったソリューションを利用せず、外気のみによる冷却を利用するデータセンターも設計しました。ここで肝心なのは、万能の冷却方法はないということです。各データセンターは設置場所に応じて、最高のパフォーマンスと最高の効率を発揮するように冷却システムが設計されています。
データセンターを運用するのはサードパーティーではなく、Google 社員
データセンターの運用担当者が新しく決まると、データセンターの設計、建築を請け負った業者が作ったオーナー マニュアル一式と図面、そしてフロントドアの鍵を渡して、とにかく幸運を祈る - これが、業界でよくある光景です。大抵の場合、こうした運用担当者のチームは、オーナー企業の社員ではなく、入札で安い料金を提示したアウトソーシング先に雇われている面々です。
しかし、Google では違います。Google のデータセンターは Google 社員が管理し、運用しています。なぜなら、データセンターの運用で 1 つ確かなことがあるからです。それは、問題やトラブルはいつも夜中(大抵は日曜日の夜中)に発生し、助けてくれる人は周りにいないことです。
エンジニアと運用担当者がチームを組んで連携
Google では、データセンター担当者の採用とデータセンターの運用方法についても独自のアプローチを取っています。
Google のエンジニアと運用担当者は、経歴は非常にまちまちですが、共通の特徴があります。それはシステム思考ができることです。
チーム メンバーの多くは、過去にミッション クリティカルな環境に携わっていました。たとえば、ミスが大惨事につながる米海軍の原子力潜水艦プログラムに加わっていたメンバーもいます。こうしたメンバーは、システムがどのように相互作用するかをきちんと理解しています。
さらに、Google はすべてのデータセンター キャンパスに地域サイト チームを置き、設計と構築を担当するエンジニアと運用チームが連携して業務にあたるようにしています。
これらの統合チームは、キャパシティの確保、システムのコミッショニング、24 時間週 7 日の運用に責任を持ちます。こうすることで、インフラストラクチャについて比類ないレベルのオーナーシップを確保するのです。
- Posted by Joe Kava, VP, Data Center Operations, Google
0 件のコメント :
コメントを投稿
12 か月間のトライアル
300 ドル相当が無料になるトライアルで、あらゆる GCP プロダクトをお試しいただけます。
Labels
.NET
.NET Core
.NET Core ランタイム
.NET Foundation
#gc_inside
#gc-inside
#GoogleCloudSummit
#GoogleNext18
#GoogleNext19
#inevitableja
Access Management
Access Transparency
Advanced Solutions Lab
AI
AI Hub
AlphaGo
Ansible
Anthos
Anvato
Apache Beam
Apache Maven
Apache Spark
API
Apigee
APIs Explore
App Engine
App Engine Flex
App Engine flexible
AppArmor
AppEngine
AppScale
AprilFool
AR
Artifactory
ASL
ASP.NET
ASP.NET Core
Attunity
AutoML Vision
AWS
Big Data
Big Data NoSQL
BigQuery
BigQuery Data Transfer Service
BigQuery GIS
Billing Alerts
Bime by Zendesk
Bitbucket
Borg
BOSH Google CPI
Bower
bq_sushi
BreezoMeter
BYOSL
Capacitor
Chromium OS
Client Libraries
Cloud API
Cloud Armor
Cloud Audit Logging
Cloud AutoML
Cloud Bigtable
Cloud Billing Catalog API
Cloud Billing reports
Cloud CDN
Cloud Client Libraries
Cloud Console
Cloud Consoleアプリ
Cloud Container Builder
Cloud Dataflow
Cloud Dataflow SDK
Cloud Datalab
Cloud Dataprep
Cloud Dataproc
Cloud Datastore
Cloud Debugger
Cloud Deployment Manager
Cloud Endpoints
Cloud Firestore
Cloud Foundry
Cloud Foundry Foundation
Cloud Functions
Cloud Healthcare API
Cloud HSM
Cloud IAM
Cloud IAP
Cloud Identity
Cloud IoT Core
Cloud Jobs API
Cloud KMS
Cloud Launcher
Cloud Load Balancing
Cloud Machine Learning
Cloud Memorystore
Cloud Memorystore for Redis
Cloud monitoring
Cloud NAT
Cloud Natural Language API
Cloud Networking
Cloud OnAir
Cloud OnBoard
cloud Pub/Sub
Cloud Resource Manager
Cloud Resource Manager API
Cloud SCC
Cloud SDK
Cloud SDK for Windows
Cloud Security Command Center
Cloud Services Platform
Cloud Source Repositories
Cloud Spanner
Cloud Speech API
Cloud Speech-to-Text
Cloud SQL
Cloud Storage
Cloud Storage FUSE
Cloud Tools for PowerShell
Cloud Tools PowerShell
Cloud TPU
Cloud Translation
Cloud Translation API
Cloud Virtual Network
Cloud Vision
Cloud VPC
CloudBerry Backup
CloudBerry Lab
CloudConnect
CloudEndure
Cloudflare
Cloudian
CloudML
Cluster Federation
Codefresh
Codelabs
Cohesity
Coldline
Colossus
Compute Engine
Compute user Accounts
Container Engine
Container Registry
Container-Optimized OS
Container-VM Image
Couchbase
Coursera
CRE
CSEK
Customer Reliability Engineering
Data Studio
Databases
Dbvisit
DDoS
Debugger
Dedicated Interconnect
deep learning
Deployment Manager
Developer Console
Developers
DevOps
Dialogflow
Disney
DLP API
Docker
Dockerfile
Drain
Dreamel
Eclipse
Eclipse Orion
Education Grants
Elasticsearch
Elastifile
Energy Sciences Network
Error Reporting
ESNet
Evernote
FASTER
Fastly
Firebase
Firebase Analytics
Firebase Authentication
Flexible Environment
Forseti Security
G Suite
Gartner
gcloud
GCP
GCP Census
GCP 移行ガイド
GCP 認定資格チャレンジ
GCPUG
GCP導入事例
gcsfuse
GEO
GitHub
GitLab
GKE
Go
Go 言語
Google App Engine
Google Apps
Google Certified Professional - Data Engineer
Google Cloud
Google Cloud Certification Program
Google Cloud Client Libraries
Google Cloud Console
Google Cloud Dataflow
Google Cloud Datalab
Google Cloud Datastore
Google Cloud Endpoints
Google Cloud Explorer
Google Cloud Identity and Access Management
Google Cloud INSIDE
Google Cloud INSIDE Digital
Google Cloud INSIDE FinTech
Google Cloud Interconnect
Google Cloud Launcher
Google Cloud Logging
Google Cloud Next '18 in Tokyo
Google Cloud Next '19 in Tokyo
Google Cloud Platform
Google Cloud Resource Manager
Google Cloud Security Scanner
Google Cloud Shell
Google Cloud SQL
Google Cloud Storage
Google Cloud Storage Nearline
Google Cloud Summit '18
Google Cloud Summit ’18
Google Cloud Tools for IntelliJ
Google Code
Google Compute Engine
Google Container Engine
Google Data Analytics
Google Data Studio
Google Date Studio
Google Deployment Manager
Google Drive
Google Earth Engine
Google Genomics
Google Kubernetes Engine
Google maps
google maps api
Google Maps APIs
Google Maps Platform
Google SafeSearch
Google Service Control
Google Sheets
Google Slides
Google Translate
Google Trust Services
Google VPC
Google マップ
Google 公認プロフェッショナル
GoogleNext18
GPU
Gradle
Grafeas
GroupBy
gRPC
HA / DR
Haskell
HEPCloud
HIPAA
Horizon
HTCondor
IaaS
IAM
IBM
IBM POWER9
icon
IERS
Improbable
INEVITABLE ja night
inevitableja
InShorts
Intel
IntelliJ
Internal Load Balancing
Internet2
IoT
Issue Tracker
Java
Jenkins
JFrog
JFrog Artifactory SaaS
Jupiter
Jupyter
Kaggle
Kayenta
Khan Academy
Knative
Komprise
kubefed
Kubeflow Pipelines
Kubernetes
KVM
Landsat
load shedding
Local SSD
Logging
Looker
Machine Learning
Magenta
Managed Instance Group
Managed Instance Group Updater
Maps API
Maps-sensei
Mapsコーナー
Maven
Maxon Cinema 4D
MightyTV
Mission Control
MongoDB
MQTT
Multiplay
MySQL
Nearline
Network Time Protocol
Networking
neural networks
Next
Node
NoSQL
NTP
NuGet パッケージ
OCP
OLDISM
Open Compute Project
OpenCAPI
OpenCAPI Consortium
OpenShift Dedicated
Orbitera
Organization
Orion
Osaka
Paas
Panda
Particle
Partner Interconnect
Percona
Pete's Dragon
Pivotal
Pivotal Cloud Foundry
PLCN
Podcast
Pokemon GO
Pokémon GO
Poseidon
Postgre
PowerPoint
PowerShell
Professional Cloud Network Engineer
Protocol Buffers
Puppet
Pythian
Python
Qwiklabs
Rails
Raspberry Pi
Red Hat
Redis
Regional Managed Instance Groups
Ruby
Rust
SAP
SAP Cloud Platform
SC16
ScaleArc
Secure LDAP
Security & Identity
Sentinel-2
Service Broker
Serving Websites
Shared VPC
SideFX Houdini
SIGOPS Hall of Fame Award
Sinatra
Site Reliability Engineering
Skaffold
SLA
Slack
SLI
SLO
Slurm
Snap
Spaceknow
SpatialOS
Spinnaker
Spring
SQL Server
SRE
SSL policies
Stack Overflow
Stackdriver
Stackdriver Agent
Stackdriver APM
Stackdriver Debugger
Stackdriver Diagnostics
Stackdriver Error Reporting
Stackdriver Logging
Stackdriver Monitoring
Stackdriver Trace
Stanford
Startups
StatefulSets
Storage & Databases
StorReduce
Streak
Sureline
Sysbench
Tableau
Talend
Tensor Flow
Tensor Processing Unit
TensorFlow
Terraform
The Carousel
TPU
Trace
Transfer Appliance
Transfer Service
Translate API
Uber
Velostrata
Veritas
Video Intelligence API
Vision API
Visual Studio
Visualization
Vitess
VM
VM Image
VPC Flow Logs
VR
VSS
Waze
Weave Cloud
Web Risk AP
Webyog
Wide and Deep
Windows Server
Windows ワークロード
Wix
Worlds Adrift
Xplenty
Yellowfin
YouTube
Zaius
Zaius P9 Server
Zipkin
ZYNC Render
アーキテクチャ図
イベント
エラーバジェット
エンティティ
オンライン教育
クラウド アーキテクト
クラウド移行
グローバル ネットワーク
ゲーム
コードラボ
コミュニティ
コンテスト
コンピューティング
サーバーレス
サービス アカウント
サポート
ジッター
ショート動画シリーズ
スタートガイド
ストレージ
セキュリティ
セミナー
ソリューション ガイド
ソリューション: メディア
データ エンジニア
データセンター
デベロッパー
パートナーシップ
ビッグデータ
ファジング
プリエンプティブル GPU
プリエンプティブル VM
フルマネージド
ヘルスケア
ホワイトペーパー
マイクロサービス
まっぷす先生
マルチクラウド
リージョン
ロード シェディング
運用管理
可用性
海底ケーブル
機械学習
金融
継続的デリバリ
月刊ニュース
資格、認定
新機能、アップデート
深層学習
深層強化学習
人気記事ランキング
内部負荷分散
認定試験
認定資格
料金
Archive
2019
8月
7月
6月
5月
4月
3月
2月
1月
2018
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2017
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2016
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
6月
5月
4月
3月
2月
Feed
月刊ニュースレターに
登録
新着ポストをメールで受け取る
Follow @GoogleCloud_jp
0 件のコメント :
コメントを投稿