İnsanların sunucu odasına girmemesinin nedenleri

Birkaç hosting şirketinde çalıştım ve bu konuda iki düşünce okulu gördüm

1. Sunucu odasına müşterilerin girmesine izin vermeyin. Tartışma, temelde güvenliği arttırır ( bu haber hikayesi normalde güvenliğin sadece insanları tanıyorsanız iyi olması için bir sebep olarak sağlanır) ve gizliliği ve onlar için yerel bir terminal sağlarsanız yeterince iyidir.
2. Müşterilerin sunucu odasına girmesine izin verin çünkü insanlar makinelerine erişmeye ihtiyaç duyar ve iyi bir gösteri parçası yapar.

İnsanların sunucu odasına girmesine izin vermemeniz için herhangi bir neden (yasal, uygunluk vb.) Var mı?

Her istemci için donanımın ayrı kafeslerde ayrıldığını varsayarsak, insanların sunucu odasına girmemeleri için hiçbir neden göremiyorum. Ancak son derece hassas kritik veriler için, örneğin Bankalar, Polis vb. Ben sadece o odada ne kadar az sayıda kalifiye insan olurdu. Müşteriler söz konusu olduğunda, nitelikli ve aynı derecede kötü niyetli olmadıklarını nasıl biliyorsunuz. Riske değmez.

Hafif duruş sürelerinin veya veri kaybının büyük sorunlara neden olacağı bu durumlarda, dikkatli olunması her zaman güvenlidir.

her şeyi söylüyor, gerçekten :)

Deneyimlerime göre, hizmet / sistem kesintisinin% 75'i 'katman 8' / wetware sorununa düşüyor - içecekler döken insanlar, düğmelere basmamaları, kablolara takılmaları, hatta RAID yük devretmeyi bile neden olmadan test ediyorlar!

İnsanları dışarıda tutun, bunu yapmanın bir yolu, kendilerini yazmak zorunda oldukları 'giriş nedeni' alanına sahip manuel bir giriş günlüğüne sahip olmaktır - bu da insanları iyi bir sebep olmadan durduracaktır.

Şahsen benim ekipmanımı başka bir yerde barındırsaydım ve üzerinde çalışmama izin vermezlerse oldukça rahatsız olurdum. Tesisinizi güvende tutmanız gerektiğini anlıyorum ve caddeden kimseyi içeri almak kötü bir fikirdir, ancak ekipmanımı barındırmanız için ödeme yapıyorsam, o zaman sistemimin güvenliğine güveniyorum. uzlaşmak için her şeyi yapacağız.

Güvenlik olmalı, DC'ye girmek için kimlik veya parola veya iris taramasına ihtiyacım olmalı, ancak beni hep birlikte durdurmak sadece işimi başka bir yere götürmemi sağlayacaktır.

Bir makineye Fiziksel Erişim == makineyi köklendirme fırsatı.

Sunucu odasına, makinedeki ekipmana erişim vermek istemediğiniz kimsenin girmesine izin vermeyin. Veya, başkalarının makine dairesine fiziksel erişime izin verecekseniz, (KVM veya diğer yerel / konsol araçlarıyla birlikte) makinenin kontrollerine kısıtlı olarak fiziksel erişime sahip olun.

Aklımdaki en iyi uygulama, ya tamamen yönetici olmayan kişilere erişimi önlemek, sunucu odasında global erişim için yetkilendirilmemiş biri (ör. Satıcılar) varken güvenlik eskortu sağlamak ya da anahtar kilitli donanımı yerinde tutmak ve anahtarları yetkili kullanıcıların / yöneticilerin alt kümeleriyle kısıtlayın. Son bölüm, bir müşteri olarak alan kiralayacağınız çoğu kolokasyon alanı için en iyi uygulamadır.

Ayrıca: Fırsatınız varsa, "yükleme" işlemini engelleyen iki erişim biçimi gerektiren bir "hava kilidi" sistemine sahip olduğunuzdan emin olun. Bizim durumumuzda, bunlar zımba ve kart tarama kilitleridir. Fuayeye giriş, bir kilide kod girmenizi gerektirir. Fuayeye girdikten sonra, gerçek sunucu odasına girmek için bir kimlik kartı taramanız gerekir.

Sadece "Bu gerçekten iyi bir fikir" in ötesinde, dahil olabilecek bazı endüstriye özgü SAP'ler, yasalar veya düzenlemeler de vardır. Bir eğitim kurumunda veya devlet kurumunda, öğrenci bilgilerine erişim konusunda uygulandığından emin olmam gereken özel yasalarım var. Halka açık şirketler için de benzer şartlar söz konusudur; SOX'a uymak zorundadırlar. Tıp endüstrisi veya tıbbi geçmişle birlikte kimlik bilgilerini işleyen herhangi bir endüstri HIPPA'ya uymalıdır. Kredi kartı işlemlerini saklayan herhangi bir şirket, genellikle makinelerin depolanmasına izin verilen ve makinelere erişimi olan kişiler hakkında ÇOK açık olan ticari sözleşmelerine uymalıdır. Sektörünüzün kilometre performansı değişebilir.

Güvenlik zaten yapılmamasının bir nedeni olarak belirtilmiştir. Diğeri sağlık ve güvenlik. DC'ler eğitimsiz kişiler için tehlikeli ortamlar olabilir. Bunların her ikisi de elbette "Size eğitimli bir personel eşlik etmelidir" gibi politikalarla hafifletilebilir. Veri merkezimiz, uygun kursu yapmadıkça personele erişim verilmemesini gerektirir ve müşterilerin kesinlikle erişime izin verilmez. eşlik etmedikçe.

Erişim için bir eskort gerektiren yerel bir veri merkezi ile ortak bir sunucu vardı. Bir kutunun olması, birisinin hazır olmasını beklemek zorunda kalmak gibi bir şey yoktur, böylece onu düzeltebilirsiniz. Sonra, o kişi sıkılmış durur, sadece izler. Bu durumda, birkaç saat oldu. Sunucularımızı şimdi kurum içinde yapıyoruz ...

Bunu yapıyorsanız SAS70 Uyumluluğu veya Sarbanes Oxley'nin Finansal Sistemler etrafında BT Kontrolleri için bir hükmü vardır.

Şunu düşünün: Bir banka müşterilerinin kasaya girmesine ve hesaplarına / hesaplarından para yatırmasına veya para çekmesine izin veriyor mu? Cevap: Sadece hesap kutuları ayrı ayrı güvenceye alınmışsa ve o zaman bile size eşlik edebilirler. Ancak yüksek güvenlik senaryoları için en iyi şey, ihtiyaç duyduğunuzda kutunuzu size getirmeleri ve yüksek güvenlik bankalarının yapmasıdır.

Müşterilere yetkili bir personel eşlik ediyorsa, bu bana iyi geliyor. Kesinlikle sunucu odasında bir müşteri gözetimsiz izin vermedi. Personele gelince, stict kontrolleri uygulanmalıdır.

Sunucu odasını bir gösteri parçası olarak kullanmak istiyorsanız, pencereler veya cam duvarlar, hassas bir alanda sayısız insanı yürümeden bunu yapmanın harika bir yoludur.

Müşterilerin kendi kitlerine erişmesine izin vermek temel bir 'hak' gibi görünüyor. Colo güvenliği, müşterilerin raftan rafa erişiminin güvenli olacağı kadar dikkatli ve yapılandırılmış olmalıdır.

Diğer müşteriler daha fazla güvenliğe ihtiyaç duyduklarını düşünürlerse, gidip kendi kafeslerini veya odalarını alabilirler.

Çok büyük ölçüde sadece ne tür barındırma sağladığınıza bağlıdır. Müşterilerin donanımı görebileceği pencerelere sahip olmak yararlı olsa da, bazı veri merkezlerinin ziyaretçilere asla izin vermesi gerekmez.

Müşterilerin fiziksel erişime kesinlikle izin verilmesi gereken başka veri merkezleri de vardır. Yerel bir sürücü kullanarak kasetten geri yüklemek için. Örneğin tesis felaket kurtarma / iş sürekliliği tesisleri sunuyorsa bu tür bir erişim gerekecektir. Müşterinin kendi binası yok edilmiş olabilir, bu nedenle tüm işlevler veri merkezinde geçici olarak gerçekleştirilir.

Bir makineye fiziksel erişim her zaman güvenliğin en kritik kısmıdır ve en sık göz ardı edilen makinedir. Eskort erişimine sahip olmak, özellikle bölgeye giriş yapmışsanız iyi olmalıdır. Sanallaştırılmış bir ortamda fiziksel erişim sorun olmaz.