Tags:
Node Thumbnail

กูเกิลใช้งาน KVM สำหรับการให้บริการคลาวด์ Google Compute Engine แต่ระบบที่ขนาดใหญ่สำหรับผู้ให้บริการคลาวด์เช่นนี้มักต้องการความปลอดภัยสูงกว่าการใช้งาน virtualization ทั่วๆ ไป เมื่อสัปดาห์ที่ผ่านมากูเกิลแถลงถึงกระบวนการต่างๆ เพื่อรักษาความปลอดภัยเพิ่มเติม

ขั้นแรกของการรักษาความปลอดภัยคือการหาช่องโหว่ของซอฟต์แวร์ด้วยตัวเอง กูเกิลมีทีมงานความปลอดภัยของตัวเองที่ไล่หาช่องโหว่ของ KVM, Xen, หรือ VMware จนถึงตอนนี้กูเกิลพบช่องโหว่ KVM ไปแล้ว 9 รายการ จากนั้นจึงลดความเสี่ยงด้วยการถอดโมดูลที่ไม่จำเป็นออก เช่น ไดร์เวอร์เมาส์รุ่นเก่าๆ และยังมีการแก้ไขโมดูลที่ใช้งานเพื่อให้ปลอดภัยขึ้น

แนวทางสำคัญคือกูเกิลไม่ได้ใช้งาน QEMU สำหรับการจำลองหน้าจอและฮาร์ดแวร์ โดยระบุว่า QEMU ออกแบบมาเพื่อการรองรับฮาร์ดแวร์ที่หลากหลาย โอกาสมีช่องโหว่จึงมากขึ้นไปด้วย กูเกิลจึงเขียนส่วนนี้เองเพื่อลดโค้ดให้ซัพพอร์ตอุปกรณ์เพียงไม่กี่แบบ

กระบวนการอื่นๆ ได้แก่การควบคุมโค้ดของเครื่องว่าบูตขึ้นมาในสถานะที่ถูกต้อง, มีกระบวนการตรวจสอบโค้ดที่รันอยู่ใน KVM ว่าการ deploy แต่ละครั้งใช้โค้ดชุดใดและคอนฟิกอย่างไร, มีกระบวนการตอบสนองต่อรายงานช่องโหว่ที่ชัดเจน, และการเข้าถึงระบบคอมไพล์โค้ด KVM จำกัดไว้เฉพาะคนที่เกี่ยวข้องกลุ่มเล็กๆ เท่านั้น

ที่มา - Google Cloud Platform

Get latest news from Blognone