Fiziksel sunucu güvenliği

Bir sunucuyu dış saldırılardan korumak için çok fazla zaman ve sütun harcanır. Bu tamamen geçerlidir, çünkü bir saldırganın sunucunuzu kırmak için interneti kullanması fiziksel erişim kazanmaktan daha kolaydır.

Ancak, bazı BT uzmanları fiziksel sunucu güvenliğinin önemine dikkat çekmektedir. En acımasız güvenlik ihlallerinin çoğu olmasa da birçoğu kuruluş içinden gerçekleştirilir.

• Sunucularınızı, sunucuya veya sunucu odasına erişmesi gerekmeyen, yerinde erişime sahip kullanıcılardan nasıl korursunuz?

BT yöneticisinin masasının hemen yanında mı yoksa elektronik kartlı ve biyometrik erişimli birkaç kapının arkasında mı kilitli?

Birisi sunuculara fiziksel olarak eriştiğinde, makul verilere ihtiyaç duymadıkları hassas verilere erişimi engelleyen veya en azından günlüğe kaydeten hangi korumalar vardır?

Tabii ki bu, kuruluştan kuruluşa ve iş gereksiniminden iş gereksinimine değişecektir, ancak baskı sunucuları bile yazdırılan hassas verilere (sözleşmeler ve çalışan bilgileri) erişebilir, bu nedenle ilk bakışta görünenden daha fazlası vardır.

Tüm üretim sunucularımız, dünyanın diğer tarafında sağlam bir veri merkezinde depolanmaktadır. Adam tuzakları, biyometrik tarayıcılar, bütün kutu ve zar.

Ofisimizdeki makineler için, sadece kartla erişilebilen sunucu odasında yaşıyorlar. Yalnızca sistem yöneticilerinin bu alana erişebilen kaydırma kartları vardır.

Kısacası, birileri fiziksel olarak kitinizde ellerini varsa, o zaman verileriniz onlarındır. Eğer bu yeterli bir endişe ise, o zaman değerli bir şeyi pgp'lemek ve anında şifresini çözmek ağır elden ama gerekli bir gerekliliktir.

edit: bunu yedekleme medyanızın fiziksel güvenlik sorularına genişletebilirsiniz. Ofisleriniz o kadar veya güvenli değilse sağlam fiziksel güvenlik ne işe yarar?

İhtiyacınız olan fiziksel güvenlik miktarı işletmenizin niteliğine, BT personeline vb. Bağlıdır. Çoğu küçük şirket için kilitli bir kapı ve ucuz güvenlik kamerası işinizi görecektir.

Elektrikli dolaba erişimin sağlanması da önemlidir. Bir kesici atmak, bilgisayar sistemlerini kapatmak için uzun bir yol kat ediyor.

Akıllı kart erişimi, prox sensörleri, ağır kapılar, tekme plakaları, kameralar, güçlü parolalar, biyometri ile fiziksel güvenliğin tüm şekilleri alınabilir.

Sorun elektrikçilerin kablolama yapması, kapıyı bir tuğla ile açık tutması ve kimseye bildirmeden öğle yemeğine gitmesi gerektiğinde. Bir kez olmuştu. Neyse ki biraz sonra geldim. Bir tuğlanın 10 bin dolarlık güvenliği nasıl atlatabileceği komik.

Başka bir şey. Teknik olmayan kullanıcılara ve aptallıklarına dikkat edin.

Üretim sunucularımız kolokasyon merkezinde güvendeydiler, fakat ofiste bulunanlardı. Temizlikçi kadın ücretsiz elektrik prizi bulamadı ve elektrikli süpürgeyi sunucuların UPS'lerine taktı. Neyse ki oldukça yüksek aşırı yük alarmı vardı, bu yüzden derhal tepki verebilir.

Diğer vaka (ne kadar gerçek veya kentsel efsane olduğunu bilmiyorum), orada bir sunucu gizemli duruşlar her gün sabah erken. Sorunu kimse tanımlayamadı. Vardiyasının başlangıcındaki güvenlik görevlisinin, sunuculardan birinin fişini çekmesi ve kahve makinesini takmasıyla sonuçlandı. "Kimse fark etmeyecekti, sadece 3 dakikaydı".

Binamız eskiden bir bankadı, bu yüzden sunucularımızı kasada saklıyoruz. Soğutma harika değil, ama sadece yarım düzine var ve hiçbiri son derece güçlü değil, bu yüzden gerçekten bir sorun değil.

Bu kısmen kentsel efsane, kısmen gerçek.

UL: Bir şirkette yeni bir bilgisayar odası kuruluyordu ve BT yöneticisi arkadaşlarından birine güvenlik önlemlerini (insan tuzağı, kartlar, vb.) Gösteriyordu. Arkadaş başını çok etkilemiş gibi görünüyordu. Birkaç dakika sonra, arkadaş bir fikir edindiklerinde kapının hemen dışında konuşuyorlar. Sırtını duvara çevirir ve duvara iyi bir delik açarak iyi bir vuruş verir. Söylemeye gerek yok, yönetici taşınmadan önce duvarları güçlendirdi.

Gerçek: Çok kiracılı bir binada küçük işletme kiralama alanı. Kart anahtarları, vb. Bir hafta sonu boyunca birisi kapının yanındaki alçıpanda bir delik açmış ve 20 bilgisayarı (tüm lisans anahtarlarına sahip sunucu dahil) çalmıştır.

Bilgisayar odamızın alçıpan altında bir metal tabakamız var.

Sunucu odamız anahtar kartı ile korunmaktadır. Yalnızca BT personelinin kapıyı açacak anahtar kartları vardır ve yalnızca Güvenlik departmanı anahtar kartınızın erişim izinlerini kontrol edebilir.

Sunucu odasına girdikten sonra, tüm sunucular kapalı raflarda tutulur. Her rafın ön ve arka kapıları kilitlidir ve yalnızca BT personeline raf anahtarları verilir.

Ayrıca, tüm katlardaki ağ dolaplarını kilitli tutarız ve yalnızca Tesisler ekibinin üyelerinin bu kapılar için anahtarları vardır.

Eğer küçük-orta ölçekli bir şirketse, muhtemelen büyük bir şirket ise, kendi kolokasyon merkezinde sunucuları olacaktır.

Bu genellikle bahsettiğiniz fiziksel güvenlik anlamına gelir. Bahsetmediğiniz şey elektromanyetik korumadır, gizlice dinlemeyi önler (bükülmüş çift Ethernet'i yüz metre mesafeden gizlice dinleyebilen ticari olarak satılan ürünler vardır). Bankalar durumunda, bunlar EMP saldırılarına bile dayanabilecek sığınak benzeri yapılardır .

Veri merkezinin, en az iki fiziksel konuma sahip olması, bir tür doğal afet durumunda (sel, yangın, her neyse) yedeklenmesi de tipik bir durumdur. Tabii ki kendi güç kaynağı, sadece UPS değil, aynı zamanda jeneratörler.

BT personelinizi (ve mümkünse, bir polis memuru / yedek arkadaşını veya güvenlik alanındaki birisini) bir gün bir odada bekletin. Spor Ayakkabıları, İmkansız Görev ve Okyanusları İzle 11.

Sonra birinin odaya gireceği her senaryo ile gel. Zeminin altında, duvarların içinden, kapı kilidini yenerek, tavandan, havalandırma deliklerinden.

Ardından, güvenliğinizi katmanlara ayırın.

Odayı mümkün olduğunca geçirimsiz hale getirmek için kapılar, kilitler, beton ve metal çubuklar / ızgaralar kullanın.

Ardından, ilk güvenlik hattınızın ihlal edildiğini varsayın.

Hareket sensörleri, sessiz alarmlar, sesli alarmlar iyidir.

Tüm raflardaki kilitler insanları dışarıda tutar (veya yavaşlatır).

Ayrı bir odaya / siteye giriş yapan birkaç kamera (kapının dışında ve sunucu odasında) mükemmel bir caydırıcıdır.

Bir yan not olarak, yedeklemeleri güvenli hale getirmeyi unutmayın.

İşim, kritik olmayan bir şey etrafında dönüyor ... güvenlik " Demir Dağ " ya da daha az değil. Ancak...

Sunucu odası, 6 "betonarme döşeme duvarları kullanan bir binanın ikinci katındadır. Dışarıdaki ilk giriş noktası bir anahtar gerektirir (ve ön sayaç çalışanlarını geçmek). İkinci giriş noktası farklı bir anahtar gerektirir . Üçüncü giriş noktası üçüncü bir anahtar gerektirir ve kapı sıradan saldırıları önlemek için tel örgü cam kullanır, ancak bir testere, lehim lâmbası veya diğer gürültülü / rahatsız edici / bariz saldırı araçlarının geçeceğini tahmin ediyorum. 7/24 hareket kaydeden DVR'lerde ve DVR'lerin kendileri de benzer şekilde sabitlenir.

Yedeklemeler, sunucu odasında ortam dereceli bir yangın güvenliği ekinde saklanır ve bu ek bir yangın güvenliğinin içine yerleştirilir. Site dışı yedeklemeler, doğrudan alarmlı bir evde yaşayan BT Yöneticisi tarafından alınır (ve eminim ki yerinde bir kasa da vardır).

Hayır, fiziksel güvenliği tasarlamadım, fiziksel güvenlik politikasını da belirlemedim. Yer, lahana ve portakal kutuları satıyor, bu yüzden askeri veya devlet sırlarını ele alma işindeyiz ...

Verilerinize bağlı olarak denetimi göz önünde bulundurmak isteyebilirsiniz.

Bildiğim bir veri merkezi - erişemedim ama takım arkadaşlarım ulaştı. Erişmek için fotoğraflı kimliğe ve izne ihtiyacınız var. Bu nedenle, sadece nadiren ziyaret eden ekibimiz için, sunucularımıza erişmek için direktörümüzden bir mektup almamız gerekiyordu.

Sizi içeri almaya karar verdikten sonra, parmak izi alırlar ve standart rozet / erişim kartını üzerinize asarlar. Sonra iki kişi tarafından eşlik edildiniz, teknik eskort ve güvenlik görevlisi. Fikir, teknik kişinin sizi ne olursa olsun yapmanıza engel olmak için size güvenlik görevlisi koymasını istemediği bir şey yaptığını gördüyse anlıyorum.

Bu, Londra Şehri'ndeki büyük uluslararası bankalar için sunucular barındıran bir veri merkeziydi.

Ha ha, insanların güvenliği ciddiye aldığını biliyordum, ama biyometri? Zihinsel. Sanırım gerçekten sakladığınız verinin doğasına bağlı. Tasarım şirketimiz için küçük boyutlu bir kurulum araştırmak zorunda kaldım ve GuruOnline'da iyi şeyler, ağ güvenliği ve diğer şeyler hakkında çok sayıda video bulduk. Oldukça basit ama iyi bir başlangıç ​​olabilir ...

Temizlikçi bir hoover ve güvenlik görevlisi ile bir kahve makinesi. ha-ha. en azından tüm BT şeylerini bilmek için para almazlar. İşte gerçek cadılar bayramı hikayesi.

BT yöneticimiz devam etmeye karar verdi. şirket genel müdürü BT hakkında hiçbir fikri olmayan bazı kaygan kiraladı ama aynı lüks okula gittiler, bu yüzden röportajda eski zamanlar, kürek zorlukları, içki ve kızlar hakkında konuştuklarını varsayalım.

onun ikinci haftasında yeni BT yöneticisi sunucu odasına gitti ve kurulum ile aşina hale bir saat sonra kaldı (hala orada ne yaptığını hiçbir fikrim yok). çünkü orada aircons oldukça güçlü onları kapattı. etrafında şaka birkaç saat sonra eve gitti (belki de çok memnun, belki de kelimenin tam anlamıyla - onu orada p0rn izlerken olasılığını dışlamıyorum). şüphesiz o çok yorgun (uzun saatler çok gürültü vb) böylece doğal olarak geri aircon geçiş unuttum.

sabah veritabanı sunucusu tamamen durdurmak için pişirilir ve 2 gün içinde 2 sunucu başarısız oldu.

ve temizlikçi diyorsun. kesinlikle daha iyi bir iş çıkarırdı (özellikle kendisine ödenen miktar için). bu hikayedeki tek iyi şey, tüm BT departmanının, her birimizin MD'ye birer birer gittik ve bunun kalırsa bir felaket olacağını söyledi. Neyse ki MD bunu herkes söylediğinde gerçekten yanlış bir şey olduğunu fark etti ve idi0t kovdu.