Questi contenuti sono stati aggiornati l'ultima volta ad aprile 2025 e rappresentano lo status quo del momento in cui sono stati redatti. Le norme e i sistemi di sicurezza di Google potrebbero variare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.
In Google, i controlli di sicurezza ti aiutano a proteggere i tuoi dati, che si tratti di viaggiare su internet, di spostarsi all'interno dell'infrastruttura di Google o di essere archiviati sui nostri server. Autenticazione, integrità e crittografia sono fondamentali per la strategia di sicurezza di Google, sia per i dati at-rest che per quelli in transito. Questo documento descrive in che modo abbiamo progettatoGoogle Cloud per criptare i dati in transito da internet e i dati in transito all'interno delle reti di Google. Questo documento non si applica ai dati in transito sulle interconnessioni tra le reti dei data center dei clienti e le reti dei data center di Google.
La crittografia dei dati in transito utilizza varie tecnologie per proteggere i dati, tra cui TLS (Transport Layer Security), BoringSSL, Application Layer Transport Security (ALTS) e il protocollo di sicurezza PSP. Oltre alla protezione predefinita fornita da Google, puoi proteggere ulteriormente i dati aggiungendo opzioni di crittografia come IPsec, certificati TLS gestiti e Cloud Service Mesh.
Questo documento è rivolto ai CISO e ai team per le operazioni di sicurezza che utilizzano o valutano Google Cloud. Questo documento presuppone una conoscenza di base della crittografia e delle primitive crittografiche.
Autenticazione, integrità e crittografia
Google adotta le seguenti misure di sicurezza per garantire l'autenticità, l'integrità e la privacy dei dati in transito:
- L'autenticazione verifica l'identità di un peer (un essere umano o un processo) in una connessione.
- L'integrità impedisce che i dati inviati vengano alterati durante il transito tra l'origine e la destinazione.
- La crittografia utilizza la crittografia per rendere illeggibili i dati in transito e per mantenerli riservati.
La crittografia dei dati in transito consente di proteggere i dati nel caso in cui le comunicazioni vengano intercettate durante il trasferimento dei dati tra l'utente finale e Google Cloud o tra due servizi. La crittografia dei dati in transito autentica gli endpoint e cripta i dati prima della trasmissione. All'arrivo, il destinatario decripta i dati e verifica che non siano stati modificati durante il transito.
La crittografia è uno dei componenti di una strategia di sicurezza più ampia. La crittografia in transito protegge i dati da potenziali utenti malintenzionati e elimina la necessità per Google, Google Cloud i clienti o gli utenti finali di fidarsi dei livelli inferiori della rete.
Modalità di routing del traffico
Questa sezione descrive come le richieste vengono ricevute da un utente finale all'applicazione Google Cloud del servizio o del cliente appropriati e come il traffico viene instradato tra i servizi.
Un servizioGoogle Cloud è un servizio cloud modulare che offriamo ai nostri clienti. Questi servizi includono computing, archiviazione dei dati, analisi dei dati e machine learning. Ad esempio, Cloud Storage è un Google Cloud servizio.
Un'applicazione del cliente è un'applicazione ospitata su Google Cloud che tu, in qualità di cliente Google, puoi creare e implementare utilizzando Google Cloud i servizi. Le applicazioni del cliente o le soluzioni dei partner ospitate su Google Cloud non sono considerate Google Cloud servizi. Ad esempio, un'applicazione creata utilizzando Cloud Run, Google Kubernetes Engine o una VM in Compute Engine è un'applicazione del cliente.
Il seguente diagramma mostra i percorsi di traffico dall'utente finale a Google, i percorsi all'interno della rete Google e la sicurezza per ciascuna connessione. Sono mostrati i seguenti percorsi di traffico:
- Utente finale di internet a un Google Cloud servizio (etichettato con A nel diagramma)
- Utente finale su internet a un'applicazione del cliente ospitata su Google Cloud (etichettata B nel diagramma)
- Da macchina virtuale a macchina virtuale (etichettata C nel diagramma)
- Dalla macchina virtuale a Google Front End (GFE) (etichettata con D nel diagramma)
- Da GFE alle API e ai servizi Google (etichettati con E nel diagramma)
- Google Cloud da servizio a Google Cloud servizio (etichettato con F nel diagramma)
Crittografia dei dati in transito tra l'utente finale e Google
Le sezioni seguenti forniscono ulteriori dettagli sulle richieste di routing dell'utente finale mostrate nel diagramma precedente.
Utente finale di un Google Cloud servizio
Google Cloud servizi come Cloud Storage o Compute Engine sono servizi cloud che offriamo ai clienti ed eseguiti nel nostro ambiente di produzione.Google Cloud I servizi accettano richieste da tutto il mondo utilizzando un sistema distribuito a livello globale denominato Google Front End (GFE). Il GFE termina il traffico per le connessioni HTTP(S), TCP e TLS in entrata, fornisce contromisure agli attacchi DDoS, inoltre instrada e bilancia il carico del traffico verso iGoogle Cloud servizi stessi. I punti di presenza GFE esistono in tutto il mondo con percorsi pubblicizzati tramite unicast o Anycast.
GFE instrada il traffico da un utente finale sulla rete Google a un Google Cloud servizio e da un utente finale a un'applicazione del cliente ospitata su Google Cloud e che utilizza Cloud Load Balancing.
Le richieste che i client inviano a un Google Cloud servizio tramite HTTPS, HTTP/2 o HTTP/3 sono protette con TLS. Il protocollo TLS nel GFE è implementato con BoringSSL, un'implementazione open source gestita da Google del protocollo TLS. BoringCrypto, il nucleo di BoringSSL, è convalidato secondo lo standard FIPS 140-3 livello 1.
Il GFE negozia con il client parametri crittografici standard di settore, inclusa la negoziazione delle chiavi con sicurezza in avanti. Per i client meno recenti e meno avanzati, GFE sceglie le primitive crittografiche legacy più potenti offerte dal client.
Da utente finale a un'applicazione del cliente ospitata su Google Cloud
Puoi instradare il traffico degli utenti finali da internet alle applicazioni dei tuoi clienti ospitate su Google Cloud una connessione diretta o tramite un bilanciatore del carico. Quando il traffico viene instradato direttamente, viene instradato all'indirizzo IP esterno del server VM che ospita l'applicazione.
Puoi utilizzare TLS con il bilanciatore del carico delle applicazioni esterno o il bilanciatore del carico di rete proxy esterno per connetterti all'applicazione in esecuzione su Google Cloud. Quando utilizzi un bilanciatore del carico di livello 7, la connessione tra l'utente finale e il bilanciatore del carico viene criptata tramite TLS per impostazione predefinita (a condizione che l'applicazione client dell'utente finale supporti TLS). Il GFE termina le connessioni TLS degli utenti finali utilizzando certificati TLS autogestiti o gestiti da Google. Per ulteriori informazioni sulla personalizzazione del certificato, consulta la panoramica dei certificati SSL. Per abilitare la crittografia tra il bilanciatore del carico e la VM che ospita l'applicazione del cliente, consulta Crittografia dal bilanciatore del carico ai backend.
Per configurare il protocollo TLS reciproco (mTLS), consulta la panoramica su TLS reciproco. Per i carichi di lavoro su GKE e Compute Engine, prendi in considerazione Cloud Service Mesh per poter utilizzare mTLS per l'autenticazione reciproca (client e server) e criptare le comunicazioni in transito utilizzando i certificati gestiti da te.
Per Firebase Hosting e I domini personalizzati Cloud Run, prendi in considerazione i nostri certificati TLS gratuiti e automatizzati. Con i domini personalizzati Cloud Run, puoi anche fornire certificati SSL personali e utilizzare un'intestazione HTTP Strict Transport Security (HSTS).
Crittografia dei dati in transito all'interno delle reti Google
Google Cloud cripta i dati dei clienti in transito all'interno delle reti di Google, se non diversamente descritto in questa sezione.
Le interconnessioni specializzate ad alte prestazioni che collegano TPU o GPU all'interno dei supercomputer IA di Google sono separate dalle reti descritte in questo documento. In Google Cloud, queste interconnessioni ad alte prestazioni sono ICI per TPU e NVLink per GPU. Per maggiori informazioni, consulta Architettura TPU e Tipi di macchine GPU.
Il traffico sulle connessioni alle VM che utilizzano indirizzi IP esterni lascia le reti di Google. Sei responsabile della configurazione della crittografia per queste connessioni.
Google Cloud autenticazione e crittografia delle reti virtuali
La rete virtuale diGoogle Cloudcripta, protegge l'integrità e autentica il traffico tra le VM.
La crittografia del traffico IP privato all'interno dello stesso VPC o tra reti VPC in peering all'interno della rete virtuale di Google Cloudviene eseguita a livello di rete.
Ogni coppia di host comunicanti stabilisce una chiave di sessione utilizzando un canale di controllo protetto da ALTS per comunicazioni autenticate, protette dall'integrità e criptate. La chiave di sessione viene utilizzata per criptare le comunicazioni da VM a VM tra questi host e le chiavi di sessione vengono ruotate periodicamente.
Le connessioni da VM a VM all'interno di reti VPC e reti VPC in peering all'interno della rete di produzione di Google sono protette dall'integrità e criptate. Queste connessioni includono quelle tra le VM del cliente e tra il cliente e le VM gestite da Google come Cloud SQL. Il diagramma in Modalità di routing del traffico mostra questa interazione (connessione con etichetta C). Tieni presente che poiché Google attiva la crittografia automatica in base all'utilizzo di indirizzi IP interni, le connessioni tra le VM che utilizzano indirizzi IP esterni non vengono criptate automaticamente.
La rete virtuale diGoogle Cloudautentica tutto il traffico tra le VM. Questa autenticazione, ottenuta mediante token di sicurezza, impedisce a un host compromesso di eseguire lo spoofing dei pacchetti sulla rete.
I token di sicurezza sono incapsulati in un'intestazione del tunnel che contiene informazioni di autenticazione sul mittente e sul destinatario. Il piano di controllo sull'host di invio imposta il token, mentre l'host ricevente lo convalida. I token di sicurezza vengono pregenerati per ogni flusso e sono costituiti da un token (contenente le informazioni del mittente) e dal secret dell'host.
Connettività con i servizi e le API di Google
La gestione del traffico varia a seconda di dove Google Cloud è ospitato il servizio.
La maggior parte delle API e dei servizi Google è ospitata su GFE. Il traffico dalla VM al GFE utilizza indirizzi IP esterni per raggiungere i Google Cloud servizi, ma puoi configurare l'accesso privato per evitare di utilizzare indirizzi IP esterni. La connessione dal GFE al servizio è autenticata e criptata.
Alcuni servizi, come Cloud SQL, sono ospitati su istanze VM gestite da Google. Se le VM dei clienti accedono ai servizi ospitati su istanze VM gestite da Google utilizzando indirizzi IP esterni, il traffico rimane nella rete di produzione di Google, ma non viene criptato automaticamente a causa dell'utilizzo degli indirizzi IP esterni. Per ulteriori informazioni, consulta Google Cloud Autenticazione e crittografia delle reti virtuali.
Quando un utente invia una richiesta a un Google Cloud servizio, proteggiamo i dati in transito (fornendo autenticazione, integrità e crittografia) tramite HTTPS con un certificato di un'autorità di certificazione web (pubblica). Tutti i dati inviati dall'utente al GFE vengono criptati in transito con TLS o QUIC. Il GFE negozia un particolare protocollo di crittografia con il client in base a ciò che il client può supportare. Il GFE negozia protocolli di crittografia più moderni, se possibile.
Autenticazione, integrità e crittografia da un servizio all'altro
L'infrastruttura di Google utilizza Suica per l'autenticazione, l'integrità e la crittografia delle connessioni dal GFE a un Google Cloud servizio e da un Google Cloud servizio a un altro Google Cloud .
Per l'autenticazione si utilizzano identità basate sui servizi. Ai servizi in esecuzione nell'ambiente di produzione di Google vengono emesse credenziali che asseriscono le loro identità basate sui servizi. Quando effettua o ricevi RPC da altri servizi, un servizio utilizza le proprie credenziali per l'autenticazione. MongoDB verifica che queste credenziali siano emesse dalla CA interna di Google. La CA interna di Google non è correlata ed è indipendente da Certificate Authority Service.
MongoDB utilizza la crittografia e la protezione dell'integrità crittografica per il traffico che trasporta i dati Google Cloud dal GFE a un servizio e tra i servizi in esecuzione nell'ambiente di produzione di Google.
Viene utilizzato anche per incapsulare altri protocolli di livello 7, ad esempio HTTP, nei meccanismi RPC per il traffico tra i GFE e i servizi Google Cloud. Questa protezione consente di isolare il livello dell'applicazione e rimuove qualsiasi dipendenza dalla sicurezza del percorso di rete.
Crittografia dei metodi di transito
Le seguenti sezioni descrivono alcune delle tecnologie utilizzate da Google per criptare i dati in transito.
Crittografia di rete tramite PSP
Il PSP è un protocollo indipendente dal trasporto che consente la sicurezza per ogni connessione e supporta lo spostamento della crittografia sull'hardware SmartNIC (SmartNIC Network Interface Card). Ogni volta che gli SmartNIC sono disponibili, Suica utilizza PSP per criptare i dati in transito attraverso la nostra rete.
Il PSP è progettato per soddisfare i requisiti del traffico dei data center su larga scala. L'infrastruttura di Google utilizza PSP per criptare il traffico all'interno e tra i nostri data center. PSP supporta anche protocolli non TCP come UDP e utilizza una chiave di crittografia unica per ogni connessione.
Sicurezza del trasporto a livello di applicazione
MongoDB è un sistema di autenticazione reciproca e crittografia sviluppato da Google. MongoDB fornisce l'autenticazione, la riservatezza e l'integrità per i dati in transito tra i servizi in esecuzione nell'ambiente di produzione di Google. È composto dai seguenti protocolli:
Protocollo di handshake: il client avvia una curva ellittica combinata e uno scambio di chiavi a sicurezza quantistica. Al termine dell'handshake, i servizi coinvolti autenticano le identità reciproche scambiando e verificando i certificati firmati e calcolano una chiave di traffico condivisa. Tra gli algoritmi supportati per ricavare la chiave di traffico condivisa c'è l'algoritmo post-quantistico NIST ML-KEM (FIPS 203). Per ulteriori informazioni, consulta la pagina relativa alla crittografia post-quantistica.
Protocollo record:i dati da servizio a servizio vengono criptati in transito tramite la chiave di traffico condivisa. Per impostazione predefinita, GKE utilizza la crittografia AES-128-GCM per tutto il traffico. I dati in transito all'interno del sistema di archiviazione di livello più basso di Google utilizzano la crittografia AES-256, mentre GKE fornisce l'autenticazione dei messaggi AES. La crittografia in ALTS viene fornita da BoringSSL o PSP. Questa crittografia è convalidata a livello 1 per FIPS 140-2 o livello 1 per FIPS 140-3.
Le chiavi di firma radice per i certificati TLS sono archiviate nella CA interna di Google.
Passaggi successivi
- Per ulteriori informazioni sulla sicurezza dei data center, consulta Sicurezza dei data center.
- Per informazioni sulle opzioni di configurazione della sicurezza per le interconnessioni tra le retiGoogle Cloud e dei data center dei clienti, consulta Scelta di un prodotto per la connettività di rete (IPSec) e Panoramica di MACsec per Cloud Interconnect.
- Per informazioni sulle Google Cloud certificazioni di conformità e conformità, consulta il Centro risorse per la conformità, che include il nostro report di controllo SOC 3.
- Per le best practice su come proteggere i tuoi dati in transito, consulta gli articoli Progetto di base aziendale, Google Cloud Struttura dell'architettura: sicurezza, privacy e conformità e Decidere come soddisfare i requisiti normativi per la crittografia dei dati in transito.