ความปลอดภัยของเซิร์ฟเวอร์ทางกายภาพ

ใช้เวลาและคอลัมน์จำนวนมากคุยกันเรื่องการรักษาความปลอดภัยเซิร์ฟเวอร์จากการถูกโจมตีจากภายนอก สิ่งนี้ใช้ได้อย่างสมบูรณ์แบบเพราะผู้โจมตีสามารถใช้อินเทอร์เน็ตเพื่อทำลายเซิร์ฟเวอร์ของคุณได้ง่ายกว่าที่ผู้โจมตีจะได้รับจากการเข้าถึงทางกายภาพ

อย่างไรก็ตามผู้เชี่ยวชาญด้านไอทีบางคนคัดค้านความสำคัญของความปลอดภัยทางกายภาพของเซิร์ฟเวอร์ การละเมิดความปลอดภัยอย่างร้ายแรงส่วนใหญ่จะเกิดขึ้นจากภายในองค์กร

• คุณจะปกป้องเซิร์ฟเวอร์ของคุณจากผู้ใช้ด้วยการเข้าถึงในสถานที่ที่ไม่จำเป็นต้องเข้าถึงเซิร์ฟเวอร์หรือห้องเซิร์ฟเวอร์เองได้อย่างไร

มันอยู่ติดกับโต๊ะทำงานของผู้จัดการฝ่ายไอทีในห้องเล็ก ๆ หรืออยู่ด้านหลังประตูหลายบานที่มีบัตรอิเล็กทรอนิกส์และการเข้าถึงไบโอเมตริกซ์?

เมื่อใครบางคนมีการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์การป้องกันในสถานที่ที่ป้องกันหรืออย่างน้อยเข้าสู่ระบบการเข้าถึงข้อมูลที่สำคัญพวกเขาไม่จำเป็นต้องดูที่เหมาะสม?

แน่นอนว่าสิ่งนี้จะแตกต่างกันไปในแต่ละองค์กรและความต้องการทางธุรกิจไปยังความต้องการทางธุรกิจ แต่แม้กระทั่งเซิร์ฟเวอร์การพิมพ์ก็สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน (สัญญาและข้อมูลพนักงาน) ที่ถูกพิมพ์

เซิร์ฟเวอร์ที่ใช้งานจริงของเราทั้งหมดจะถูกเก็บไว้ที่อีกด้านหนึ่งของโลกในศูนย์ข้อมูลที่มั่นคง กับดักคนสแกนเนอร์ไบโอเมตริกซ์ทั้งกล่องและลูกเต๋า

สำหรับเครื่องที่อยู่ในสำนักงานของเราพวกเขาอาศัยอยู่ในห้องเซิร์ฟเวอร์สามารถเข้าถึงได้ผ่านการ์ดรูดเท่านั้น sysadmins เท่านั้นที่มีการ์ดรูดที่สามารถเข้าถึงพื้นที่นั้น

กล่าวโดยย่อถ้าใครบางคนมีมือของพวกเขาอยู่ในชุดของคุณแล้วข้อมูลของคุณเป็นของพวกเขา หากนี่เป็นข้อกังวลที่เพียงพอแล้วการทำสิ่งใด ๆ ที่มีค่าและถอดรหัสในทันทีเป็นความต้องการที่หนักหน่วง แต่จำเป็น

แก้ไข: คุณสามารถขยายสิ่งนี้เป็นคำถามเกี่ยวกับความปลอดภัยทางกายภาพของสื่อสำรองข้อมูลของคุณ ความปลอดภัยทางกายภาพที่ดีคืออะไรหากเว็บไซต์ของคุณไม่ปลอดภัยหรือมากกว่า?

จำนวนความปลอดภัยทางกายภาพที่คุณต้องการนั้นขึ้นอยู่กับลักษณะและขนาดของธุรกิจของคุณพนักงานไอทีและอื่น ๆ สำหรับ บริษัท ขนาดเล็กส่วนใหญ่ประตูล็อคและกล้องรักษาความปลอดภัยราคาไม่แพงจะทำเช่นนั้น

การเข้าถึงตู้ไฟฟ้าอย่างแน่นหนาก็เป็นสิ่งสำคัญเช่นกัน การขว้างเบรกเกอร์เป็นทางยาวไปสู่การปิดระบบคอมพิวเตอร์

ความปลอดภัยทางกายภาพทุกรูปแบบสามารถเข้าถึงได้ด้วยการเข้าถึงสมาร์ทการ์ดเซ็นเซอร์เดือนหน้าประตูหนักแผ่นเตะกล้องกล้องรหัสผ่านที่คาดเดายากชีวภาพ

ปัญหาคือเมื่อช่างไฟฟ้าจำเป็นต้องเดินสายไฟเปิดประตูด้วยอิฐและออกไปทานอาหารกลางวันโดยไม่ต้องแจ้งให้ใครทราบ มันเกิดขึ้นเพียงครั้งเดียว โชคดีที่ฉันมาในไม่ช้าหลังจากนั้น ตลกว่าอิฐสามารถหลีกเลี่ยงความปลอดภัย $ 10k + ได้อย่างไร

อีกสิ่งหนึ่งที่. ระวังผู้ใช้ที่ไม่ใช่ด้านเทคนิคและความโง่เขลาของพวกเขา

เซิร์ฟเวอร์ที่ใช้งานจริงของเรานั้นปลอดภัยที่ colocation center แต่มีการพัฒนาในสำนักงาน เมื่อหญิงทำความสะอาดไม่พบเต้าเสียบไฟฟรีและเสียบเครื่องดูดฝุ่นเข้ากับ UPS ของเซิร์ฟเวอร์ โชคดีที่มันมีสัญญาณเตือนการโอเวอร์โหลดค่อนข้างดังดังนั้นเราจึงสามารถตอบสนองทันที

อีกกรณีหนึ่ง (ไม่ทราบว่าเป็นตำนานที่แท้จริงหรือในเมืองมากแค่ไหน) ที่นั่นมีช่วงเวลาหยุดทำงานที่ลึกลับของหนึ่งในเซิร์ฟเวอร์ทุกวันในตอนเช้า ไม่มีใครสามารถระบุปัญหาได้ ส่งผลให้เจ้าหน้าที่รักษาความปลอดภัยในช่วงเริ่มต้นของการเปลี่ยนแปลงของเขาจะถอดปลั๊กเซิร์ฟเวอร์ตัวใดตัวหนึ่งและเสียบเข้ากับเครื่องชงกาแฟ เขาว่า "ไม่มีใครสังเกตเห็นมันเป็นเพียง 3 นาที"

อาคารของเราเคยเป็นธนาคารดังนั้นเราจึงเก็บเซิร์ฟเวอร์ของเราไว้ในห้องนิรภัย การระบายความร้อนไม่ดี แต่เรามีเพียงครึ่งโหลและไม่มีใครมีประสิทธิภาพมหาศาลดังนั้นจึงไม่ใช่ปัญหา

ตำนานเมืองนี้เป็นส่วนหนึ่งของความจริงส่วนหนึ่ง

UL: บริษัท กำลังสร้างห้องคอมพิวเตอร์ใหม่และผู้ดูแลระบบไอทีได้แสดงมาตรการรักษาความปลอดภัย (คนกับดักบัตรกวาด ฯลฯ ) ให้เพื่อนของเขาคนหนึ่ง เพื่อนพยักหน้าดูเหมือนจะประทับใจมาก ไม่กี่นาทีต่อมาทั้งสองกำลังพูดอยู่นอกประตูเมื่อเพื่อนได้รับความคิด เขาหันหลังของเขากลับไปที่กำแพงและให้มันเตะที่ดีทำลายหลุมขนาดที่ดีในผนัง ผู้ดูแลระบบต้องเสริมกำแพงก่อนที่จะย้ายเข้า

ความจริง: บริษัท เล็ก ๆ ให้เช่าพื้นที่ในอาคารที่มีผู้เช่าหลายคน คีย์การ์ดและอื่น ๆ ในช่วงสุดสัปดาห์มีคนเจาะรูใน drywall ถัดจากประตูและขโมยคอมพิวเตอร์ 20 เครื่อง (รวมถึงเซิร์ฟเวอร์พร้อมคีย์ใบอนุญาตทั้งหมด)

เรามีชั้นของโลหะใต้ drywall ของห้องคอมพิวเตอร์ของเรา

ห้องเซิร์ฟเวอร์ของเราได้รับการป้องกันด้วยคีย์การ์ด มีเพียงพนักงานไอทีเท่านั้นที่มีคีย์การ์ดที่จะเปิดประตูและมีเพียงแผนกความปลอดภัยเท่านั้นที่มีสิทธิ์ควบคุมการเข้าถึงคีย์การ์ดของคุณ

เมื่ออยู่ในห้องเซิร์ฟเวอร์เซิร์ฟเวอร์ทั้งหมดจะถูกเก็บไว้ในชั้นวางที่ปิดล้อม ประตูด้านหน้าและด้านหลังของแต่ละชั้นวางจะถูกล็อคและมีพนักงานไอทีเท่านั้นที่จะได้รับกุญแจชั้นวาง

นอกจากนี้เรายังล็อคตู้เครือข่ายในทุกชั้นและมีเพียงสมาชิกของทีมสิ่งอำนวยความสะดวกเท่านั้นที่มีกุญแจสำหรับประตูเหล่านี้

ถ้าเป็น บริษัท ขนาดเล็กถึงขนาดกลางอาจจะมีเซิร์ฟเวอร์อยู่ในศูนย์ colocation ถ้าเป็น บริษัท ใหญ่ก็จะเป็นของตัวเอง

ซึ่งมักจะให้ความปลอดภัยทางกายภาพหมายความว่าคุณได้กล่าวถึง สิ่งที่คุณไม่ได้กล่าวถึงคือการป้องกันด้วยคลื่นแม่เหล็กไฟฟ้าป้องกันการดักฟัง (มีผลิตภัณฑ์ที่วางจำหน่ายทั่วไปที่มีความสามารถในการดักฟังอีเทอร์เน็ตแบบคู่ - บิดได้จากระยะไกลนับร้อยฟุต) ในกรณีของธนาคารเหล่านี้เป็นโครงสร้างที่คล้ายบังเกอร์ซึ่งจะทนต่อการโจมตีของ EMPได้

นอกจากนี้ยังเป็นเรื่องปกติสำหรับดาต้าเซ็นเตอร์ที่ต้องมีที่ตั้งอย่างน้อยสองแห่งเพื่อสำรองข้อมูลในกรณีที่เกิดภัยพิบัติทางธรรมชาติบางประเภท (น้ำท่วมไฟไหม้หรืออะไรก็ตาม) แน่นอนมันเป็นแหล่งจ่ายไฟของตัวเองไม่เพียง แต่ UPS แต่ยังรวมถึงเครื่องกำเนิดไฟฟ้า

ให้พนักงานไอทีของคุณ (และถ้าเป็นไปได้เจ้าหน้าที่ตำรวจ / เพื่อนทหารกองหนุนหรือใครบางคนในเขตรักษาความปลอดภัย) นั่งอยู่ในห้องสักวัน ดูรองเท้าผ้าใบ Mission Impossible และ Oceans 11

จากนั้นเกิดขึ้นกับทุกสถานการณ์ที่มีคนบุกเข้าไปในห้อง ใต้พื้นทะลุกำแพงเอาชนะล็อคประตูผ่านเพดานผ่านช่องระบายอากาศ

จากนั้นเลเยอร์ความปลอดภัยของคุณ

ใช้ประตูล็อคคอนกรีตและบาร์โลหะ / ตะแกรงเพื่อให้ห้องไม่อนุญาตให้มากที่สุด

จากนั้นสมมติว่าการรักษาความปลอดภัยบรรทัดแรกของคุณถูกละเมิด

เซ็นเซอร์ตรวจจับความเคลื่อนไหว, สัญญาณเตือนภัยเงียบ, เสียงเตือนภัยเป็นสิ่งที่ดี

การล็อคชั้นวางทั้งหมดทำให้ผู้ใช้ออก (หรือทำให้ช้าลง)

กล้องสองสามตัว (นอกประตูและในห้องเซิร์ฟเวอร์) ซึ่งเข้าสู่ห้อง / ไซต์แยกต่างหากเป็นเครื่องยับยั้งที่ยอดเยี่ยม

ในฐานะที่เป็นหมายเหตุด้านอย่าลืมเกี่ยวกับการรักษาความปลอดภัยการสำรองข้อมูล

งานของฉันหมุนวนไปรอบ ๆ สิ่งที่เป็นใช่ไม่สำคัญ ... ดังนั้นความปลอดภัยจึงไม่แน่นเท่ากับ " Iron Mountain " หรือ somesuch อย่างไรก็ตาม ...

ห้องเซิร์ฟเวอร์ตั้งอยู่บนชั้นสองของอาคารที่ใช้ 6" ผนังพื้นคอนกรีต. เริ่มต้นนอกจุดเข้าต้องใช้คีย์ (และได้รับพนักงานที่ผ่านหน้าเคาน์เตอร์). จุดรายการที่สองต้องมีความแตกต่างที่สำคัญ. จุดเริ่มต้นที่สาม ต้องใช้กุญแจดอกที่สามและประตูใช้ลวดตาข่ายแก้วเพื่อป้องกันการโจมตีแบบไม่เป็นทางการถึงแม้ว่าฉันเดาว่าคนที่มีเลื่อยลูกโซ่เป่าลมหรือวิธีการโจมตีที่มีเสียงดัง / น่ารำคาญหรือไม่ชัดเจนอื่น ๆ ก็จะผ่านเข้ามา บน DVRs ที่บันทึกการเคลื่อนไหวตลอด 24/7 และ DVRs เองนั้นมีความปลอดภัยในลักษณะเดียวกัน

การสำรองข้อมูลจะถูกเก็บไว้ในห้องเซิร์ฟเวอร์ในสื่อเซฟอัคคีภัยที่ได้รับการจัดอันดับโดยสื่อซึ่งจะถูกวางไว้ในตู้นิรภัยอัคคีภัยเพิ่มเติม การสำรองข้อมูลนอกสถานที่จะถูกนำโดยตรงโดยผู้จัดการฝ่ายไอทีซึ่งอาศัยอยู่ในบ้านที่มีสัญญาณเตือนภัย

ไม่ฉันไม่ได้ออกแบบความปลอดภัยทางกายภาพและไม่ได้กำหนดนโยบายความปลอดภัยทางกายภาพ สถานที่จำหน่ายกล่องกะหล่ำปลีและส้มและอะไรที่ไม่เป็นเช่นนั้นเราไม่ได้อยู่ในธุรกิจของการจัดการความลับทางทหารหรือรัฐ ...

ขึ้นอยู่กับข้อมูลของคุณคุณอาจต้องการพิจารณาการดูแล

ศูนย์ข้อมูลหนึ่งที่ฉันรู้จัก - ฉันไม่ได้เข้าถึง แต่เพื่อนร่วมทีมของฉันทำ คุณต้องมีรหัสประจำตัวและการอนุญาตให้เข้าถึง ดังนั้นในกรณีที่ทีมของเราเข้าเยี่ยมชมบ่อยครั้งเราไม่ค่อยได้รับจดหมายจากผู้อำนวยการของเราเพื่อเข้าถึงเซิร์ฟเวอร์ของเรา

เมื่อพวกเขาตัดสินใจที่จะให้คุณเข้าพวกเขาจะพิมพ์ลายนิ้วมือและแขวนป้าย / บัตรเข้าถึงมาตรฐานกับคุณ ถ้าอย่างนั้นคุณก็ถูกคนสองคนคุ้มกันทางเทคนิคและเจ้าหน้าที่รักษาความปลอดภัย ฉันเข้าใจความคิดว่าถ้านักวิชาการเห็นคุณทำสิ่งที่เขาไม่ชอบเขาตั้งเจ้าหน้าที่รักษาความปลอดภัยให้คุณเพื่อป้องกันไม่ให้คุณทำสิ่งที่มันเป็น

นี่เป็นศูนย์ข้อมูลที่จัดเซิร์ฟเวอร์สำหรับธนาคารต่างประเทศรายใหญ่ในเมืองลอนดอน

ฉันรู้ว่าผู้คนให้ความปลอดภัยอย่างจริงจัง แต่ก็เป็นเรื่องของชีวภาพ? ทางใจ ฉันคิดว่ามันขึ้นอยู่กับลักษณะของข้อมูลที่คุณจัดเก็บ ฉันต้องวิจัยการติดตั้งขนาดเล็กสำหรับ บริษัท ออกแบบของเราและเราพบสิ่งที่ดีใน GuruOnline vids จำนวนมากเกี่ยวกับความปลอดภัยของเครือข่ายและเนื้อหา มันค่อนข้างพื้นฐาน แต่อาจเป็นการเริ่มต้นที่ดี ...

ผู้หญิงทำความสะอาดพร้อมเครื่องดูดฝุ่นและเจ้าหน้าที่รักษาความปลอดภัยพร้อมเครื่องชงกาแฟ ฮ่า อย่างน้อยพวกเขาก็ไม่ได้รับค่าจ้างให้รู้เรื่องไอทีทั้งหมด นี่คือเรื่องราวฮาโลวีนจริง

ผู้จัดการไอทีของเราตัดสินใจที่จะเดินหน้าและออก กรรมการผู้จัดการ บริษัท จ้างคนที่ไม่ค่อยมีความคิดเกี่ยวกับไอที แต่พวกเขาไปที่โรงเรียนหรูเดียวกันดังนั้นฉันคิดว่าพวกเขากำลังพูดคุยเกี่ยวกับเรื่องเก่าการท้าทายพายเรือเหล้าและผู้หญิง

ในสัปดาห์ที่สองของเขาผู้จัดการฝ่ายไอทีคนใหม่ไปที่ห้องเซิร์ฟเวอร์และพักอีกหลายชั่วโมงเพื่อทำความคุ้นเคยกับการตั้งค่า (ฉันยังไม่รู้เลยว่าเขากำลังทำอะไรอยู่ที่นั่น) เพราะเครื่องบินมีความแข็งแกร่งมากในนั้นเขาจึงปิดพวกเขา หลังจากไม่กี่ชั่วโมงของการล้อเล่นรอบ ๆ เขากลับบ้าน (อาจจะพอใจมากบางทีแม้แต่ตัวอักษร - ฉันไม่ได้แยกความเป็นไปได้ที่เขากำลังดูอยู่ที่นั่น) แน่นอนว่าเขาเหนื่อยมาก (มีเสียงรบกวนเยอะ ฯลฯ ) ดังนั้นเขาจึงลืมเปลี่ยนแอร์กลับมา

ในตอนเช้าเซิร์ฟเวอร์ฐานข้อมูลถูกทำให้สุกโดยสมบูรณ์เพื่อหยุดชะงักและอีก 2 เซิร์ฟเวอร์ล้มเหลวใน 2 วันถัดไป

และคุณบอกว่าการทำความสะอาดผู้หญิง แน่นอนว่าเธอจะทำงานได้ดีขึ้น (โดยเฉพาะอย่างยิ่งสำหรับจำนวนเงินที่เขาได้รับ) สิ่งที่ดีเพียงอย่างเดียวในเรื่องนั้นก็คือแผนกไอทีทั้งหมดเราแต่ละคนไปที่ MD หนึ่งโดยหนึ่งและบอกว่ามันจะเป็นหายนะถ้าเขาอยู่ โชคดีที่ MD รู้ว่านั่นเป็นสิ่งที่ผิดจริง ๆ ถ้าทุกคนพูดและไล่ออก