機柜級控制：物理數據中心安全的最后一層

無論多高級別的物理安全控制都無法緩解影響單個服務器機柜，及其內部IT設備的某些類型的威脅。以下是數據中心專業(yè)人員需要了解的內容。

可能我們已經保護了數據中心周邊的安全，也建立了設施控制來保護入口，更鎖定了服務器機房并部署了多種物理身份驗證因素，來控制誰可以訪問機架。并且確信已經盡一切努力來維護物理數據中心的安全。

但是，我們的物理安全策略仍然存在漏洞，也尚未解決數據中心安全“第四層”帶來的風險，該層主要保護單個服務器機柜。因此，仍然容易受到惡意內部人員的威脅。

如果沒有機柜級控制，物理數據中心安全策略就不完整。那么，深入了解機柜級安全需要什么，我們將揭秘數據中心物理安全的第四層。

數據中心安全的四層

要了解機柜安全在數據中心物理安全策略中的整體位置，采用國際自動化協會的四層物理數據中心安全概念是很有用的。這種理念將物理安全控制分解如下:

第1層邊界安全：數據中心物理安全的基礎是通過阻止和監(jiān)控未經授權訪問數據中心所在地來保護邊界。這里的目標是防止威脅行為者跳過圍欄或闖入窗戶等風險。

第2層設施控制：設施控制是指限制誰可以通過數據中心合法入口的措施，例如門禁卡和生物識別認證設備。

第3層服務器機房控制：第3層重點保護對數據中心內放置服務器的房間的訪問。由于這是數據中心的核心，因此您應該建立一套單獨的訪問控制和監(jiān)控解決方案，以防止未經授權訪問任何包含IT設備的房間。

第4層機柜控制：我們不會想讓那些設法潛入服務器機房的威脅者肆意妄為。這就是數據中心物理安全的第四層也是最后一層發(fā)揮作用的地方。它通過管理對單個服務器機柜的訪問的設備提供最后一層防御。

只有當在每一層都建立了嚴格的安全控制和可視性時，才可以認為物理安全策略是完整的。

什么是機柜級安全性？

理解第一至第三層安全措施非常簡單。邊界級別的屏障和監(jiān)控系統，以及限制誰可以開門和進入房間的基于卡或生物識別的認證設備，都不是什么新鮮事。

但至少對一些數據中心運營商來說，機柜級安全控制往往是一個比較新穎的概念。除了用鑰匙鎖上機柜之外，傳統上投資先進的機柜級保護措施并不常見。

這并不是因為這種保護不存在?？梢员Ｗo機柜的解決方案有多種，例如：

● 鎖與管理數據中心其他部分的基于卡的數字訪問控制系統集成，允許操作員使用集中式系統管理多層安全的訪問權限。

● 需要生物特征認證（例如指紋掃描）才能打開柜子的鎖。這些鎖還可以與更大的認證系統集成。

● 安全室內的攝像系統監(jiān)視誰在訪問哪些服務器。

● 訪問控制審計軟件連接到數字鎖，以跟蹤訪問模式并標記異常活動。

● 對于數據中心運營商來說，只需利用這些保護措施來實現機柜級機架安全即可。

機柜安全的重要性

從某些方面來看，機柜級安全似乎不如數據中心物理安全的其他層面那么重要。畢竟，如果建立了強大的保護措施來防止壞人首先進入設施，我們真的還需要在單個機柜上建立另一層保護嗎？

答案是肯定的，因為在某些情況下，輕易繞過其他安全控制的人可能會對單個服務器構成威脅。例如，想象一下以下場景：

● 一名心懷不滿的數據中心技術人員有權訪問數據中心設施的所有部分，他決定篡改設備，以傷害數據中心運營商。

● 一家在主機托管設施中運營服務器的企業(yè)的員工訪問另一家公司的服務器，企圖竊取數據。

● 在應對一次令人緊張的停電事故時，一位好心的工程師錯誤地進入了錯誤的機柜，從而意外地關閉了與故障無關的服務器的電源。

在每種情況下，使用門禁卡或生物識別控制進入服務器機房的人，仍然對安置在單獨機柜中的服務器構成威脅，只有機架級安全控制才足以防止事故發(fā)生。

還要注意，機柜級保護非常重要，因為機柜和服務器是物理安全與數字安全交匯的地方。一旦有人進入機柜，防止未經授權訪問的工作就轉移到數字保護，例如限制訪問服務器的密碼。機柜級物理保護是在壞人進入之前使用物理控制的最后機會。

數據中心機柜保護的挑戰(zhàn)

雖然機柜級控制具有明顯的優(yōu)勢，但也帶來了一些挑戰(zhàn)。

最大的問題是，它們增加了另一層身份驗證，技術人員必須通過該層身份驗證才能完成工作。在打開機架之前必須掃描卡或指紋，這并不特別耗時，但機柜級控制可能會出現問題，因為如果數字鎖在工作人員需要進入機柜解決時間敏感問題時發(fā)生故障。

機柜級鎖也增加了數據中心運營商的管理負擔，因為它們需要建立精細的訪問控制設置來控制誰可以訪問單個機柜。在大多數情況下，這比管理整個設施或服務器機房的訪問權限更為復雜，因為后者沒有那么精細。

機柜級保護的成本也是一個需要考慮的因素。相對于其他物理安全控制，機柜級鎖并不是特別昂貴，但它們會增加整體物理安全預算。

所有這些挑戰(zhàn)都可以解決，沒有理由不采用機柜級控制。但旨在擴展物理數據中心安全策略以保護單個機柜的組織應確保他們有緩解這些挑戰(zhàn)的計劃。

總結

無論有多少更高級別的物理安全控制措施，都無法緩解影響單個服務器機柜及其內部IT設備的某些類型的威脅。這就是為什么利用數據中心內部機柜的現代保護措施，是任何數據中心物理安全策略的重要組成部分。當限制誰可以訪問每個機柜并監(jiān)控針對單個服務器機架的威脅時，就彌補了物理安全操作中的一個關鍵漏洞。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。