Google发布有关其云数据加密措施的详细信息

Google于12月13日发布了两份白皮书，描述了公司为保护从客户网络到Google Cloud以及内部网络的数据所采取的措施。其中的白皮书描述了谷歌使用所谓的应用层传输安全(ATLS)，用于保护服务到服务的通信内部，例如它的数据中心之间的系统。

根据Google的说法，ALTS与许多组织用来保护Internet上传输的数据的行业标准传输层安全(TLS)协议有些相似。但是它是专门为在Google控制的网络上使用而量身定制的。

谷歌在白皮书中说：“从网络浏览器到VPN的许多应用程序都依赖安全的通信协议，例如TLS(传输层安全性)和IPSec，以保护传输中的数据。” ATLS是Google在应用程序层实现相同保护的方法。

像TLS一样，ATLS是一种使用相互身份验证和加密的系统，可以保护Google内部服务之间及其数据中心之间的所有数据和通信。但是它所基于的信任模型与标准TLS所基于的信任模型完全不同。

例如，对于ATLS，身份验证是通过身份而不是主机执行的。在Google的云基础架构上运行的每个工作负载都被分配了自己的身份，该身份用于身份验证目的，而不是可能在其上运行工作负载的计算机的身份。据Google称，这种方法可实现更精确的安全性，尤其是在公司运营的规模上。

ATLS的设计也更简单，可以更轻松地实现。该公司指出，作为定制开发的协议，ATLS还更易于监视错误和故障。

该公司在白皮书中承认：“当当今大多数互联网流量使用TLS加密时，Google使用自定义安全解决方案(如ALTS)似乎并不常见。” 该公司表示，但是使用从头开发的自定义协议来保护内部系统之间的通信的好处胜过为谷歌使用而改编更通用协议的好处。

第二份白皮书重申了Google先前有关保护运输数据的措施的一些披露。

例如，每当用户连接到Google的云时，默认情况下，所有客户数据都会使用HTTPs进行加密。默认情况下，只要数据移出由Google直接控制或代表Google进行操作的网络之外，Google都会在一个或多个网络层上对所有数据进行身份验证和加密。

如果虚拟机之间的所有流量都越过不受Google控制的网络边界，并且该公司使用ALTS在应用程序层对传输中的数据进行身份验证和加密，则会自动对所有流量进行自动加密。

该公司表示，除了默认保护之外，组织还具有用于加密传输中数据的其他选项，包括IPsec隧道和安全IPsec VPN隧道以及用于实施TLS保护的免费和自动证书。