機(jī)柜級控制:物理數(shù)據(jù)中心安全的最后一層

無論多高級別的物理安全控制都無法緩解影響單個服務(wù)器機(jī)柜,及其內(nèi)部IT設(shè)備的某些類型的威脅。以下是數(shù)據(jù)中心專業(yè)人員需要了解的內(nèi)容。

可能我們已經(jīng)保護(hù)了數(shù)據(jù)中心周邊的安全,也建立了設(shè)施控制來保護(hù)入口,更鎖定了服務(wù)器機(jī)房并部署了多種物理身份驗(yàn)證因素,來控制誰可以訪問機(jī)架。并且確信已經(jīng)盡一切努力來維護(hù)物理數(shù)據(jù)中心的安全。

但是,我們的物理安全策略仍然存在漏洞,也尚未解決數(shù)據(jù)中心安全“第四層”帶來的風(fēng)險,該層主要保護(hù)單個服務(wù)器機(jī)柜。因此,仍然容易受到惡意內(nèi)部人員的威脅。

如果沒有機(jī)柜級控制,物理數(shù)據(jù)中心安全策略就不完整。那么,深入了解機(jī)柜級安全需要什么,我們將揭秘數(shù)據(jù)中心物理安全的第四層。

數(shù)據(jù)中心安全的四層

要了解機(jī)柜安全在數(shù)據(jù)中心物理安全策略中的整體位置,采用國際自動化協(xié)會的四層物理數(shù)據(jù)中心安全概念是很有用的。這種理念將物理安全控制分解如下:

第1層邊界安全:數(shù)據(jù)中心物理安全的基礎(chǔ)是通過阻止和監(jiān)控未經(jīng)授權(quán)訪問數(shù)據(jù)中心所在地來保護(hù)邊界。這里的目標(biāo)是防止威脅行為者跳過圍欄或闖入窗戶等風(fēng)險。

第2層設(shè)施控制:設(shè)施控制是指限制誰可以通過數(shù)據(jù)中心合法入口的措施,例如門禁卡和生物識別認(rèn)證設(shè)備。

第3層服務(wù)器機(jī)房控制:第3層重點(diǎn)保護(hù)對數(shù)據(jù)中心內(nèi)放置服務(wù)器的房間的訪問。由于這是數(shù)據(jù)中心的核心,因此您應(yīng)該建立一套單獨(dú)的訪問控制和監(jiān)控解決方案,以防止未經(jīng)授權(quán)訪問任何包含IT設(shè)備的房間。

第4層機(jī)柜控制:我們不會想讓那些設(shè)法潛入服務(wù)器機(jī)房的威脅者肆意妄為。這就是數(shù)據(jù)中心物理安全的第四層也是最后一層發(fā)揮作用的地方。它通過管理對單個服務(wù)器機(jī)柜的訪問的設(shè)備提供最后一層防御。

只有當(dāng)在每一層都建立了嚴(yán)格的安全控制和可視性時,才可以認(rèn)為物理安全策略是完整的。

什么是機(jī)柜級安全性?

理解第一至第三層安全措施非常簡單。邊界級別的屏障和監(jiān)控系統(tǒng),以及限制誰可以開門和進(jìn)入房間的基于卡或生物識別的認(rèn)證設(shè)備,都不是什么新鮮事。

但至少對一些數(shù)據(jù)中心運(yùn)營商來說,機(jī)柜級安全控制往往是一個比較新穎的概念。除了用鑰匙鎖上機(jī)柜之外,傳統(tǒng)上投資先進(jìn)的機(jī)柜級保護(hù)措施并不常見。

這并不是因?yàn)檫@種保護(hù)不存在??梢员Wo(hù)機(jī)柜的解決方案有多種,例如:

● 鎖與管理數(shù)據(jù)中心其他部分的基于卡的數(shù)字訪問控制系統(tǒng)集成,允許操作員使用集中式系統(tǒng)管理多層安全的訪問權(quán)限。

● 需要生物特征認(rèn)證(例如指紋掃描)才能打開柜子的鎖。這些鎖還可以與更大的認(rèn)證系統(tǒng)集成。

● 安全室內(nèi)的攝像系統(tǒng)監(jiān)視誰在訪問哪些服務(wù)器。

● 訪問控制審計軟件連接到數(shù)字鎖,以跟蹤訪問模式并標(biāo)記異?;顒?。

● 對于數(shù)據(jù)中心運(yùn)營商來說,只需利用這些保護(hù)措施來實(shí)現(xiàn)機(jī)柜級機(jī)架安全即可。

機(jī)柜安全的重要性

從某些方面來看,機(jī)柜級安全似乎不如數(shù)據(jù)中心物理安全的其他層面那么重要。畢竟,如果建立了強(qiáng)大的保護(hù)措施來防止壞人首先進(jìn)入設(shè)施,我們真的還需要在單個機(jī)柜上建立另一層保護(hù)嗎?

答案是肯定的,因?yàn)樵谀承┣闆r下,輕易繞過其他安全控制的人可能會對單個服務(wù)器構(gòu)成威脅。例如,想象一下以下場景:

● 一名心懷不滿的數(shù)據(jù)中心技術(shù)人員有權(quán)訪問數(shù)據(jù)中心設(shè)施的所有部分,他決定篡改設(shè)備,以傷害數(shù)據(jù)中心運(yùn)營商。

● 一家在主機(jī)托管設(shè)施中運(yùn)營服務(wù)器的企業(yè)的員工訪問另一家公司的服務(wù)器,企圖竊取數(shù)據(jù)。

● 在應(yīng)對一次令人緊張的停電事故時,一位好心的工程師錯誤地進(jìn)入了錯誤的機(jī)柜,從而意外地關(guān)閉了與故障無關(guān)的服務(wù)器的電源。

在每種情況下,使用門禁卡或生物識別控制進(jìn)入服務(wù)器機(jī)房的人,仍然對安置在單獨(dú)機(jī)柜中的服務(wù)器構(gòu)成威脅,只有機(jī)架級安全控制才足以防止事故發(fā)生。

還要注意,機(jī)柜級保護(hù)非常重要,因?yàn)闄C(jī)柜和服務(wù)器是物理安全與數(shù)字安全交匯的地方。一旦有人進(jìn)入機(jī)柜,防止未經(jīng)授權(quán)訪問的工作就轉(zhuǎn)移到數(shù)字保護(hù),例如限制訪問服務(wù)器的密碼。機(jī)柜級物理保護(hù)是在壞人進(jìn)入之前使用物理控制的最后機(jī)會。

數(shù)據(jù)中心機(jī)柜保護(hù)的挑戰(zhàn)

雖然機(jī)柜級控制具有明顯的優(yōu)勢,但也帶來了一些挑戰(zhàn)。

最大的問題是,它們增加了另一層身份驗(yàn)證,技術(shù)人員必須通過該層身份驗(yàn)證才能完成工作。在打開機(jī)架之前必須掃描卡或指紋,這并不特別耗時,但機(jī)柜級控制可能會出現(xiàn)問題,因?yàn)槿绻麛?shù)字鎖在工作人員需要進(jìn)入機(jī)柜解決時間敏感問題時發(fā)生故障。

機(jī)柜級鎖也增加了數(shù)據(jù)中心運(yùn)營商的管理負(fù)擔(dān),因?yàn)樗鼈冃枰⒕?xì)的訪問控制設(shè)置來控制誰可以訪問單個機(jī)柜。在大多數(shù)情況下,這比管理整個設(shè)施或服務(wù)器機(jī)房的訪問權(quán)限更為復(fù)雜,因?yàn)楹笳邲]有那么精細(xì)。

機(jī)柜級保護(hù)的成本也是一個需要考慮的因素。相對于其他物理安全控制,機(jī)柜級鎖并不是特別昂貴,但它們會增加整體物理安全預(yù)算。

所有這些挑戰(zhàn)都可以解決,沒有理由不采用機(jī)柜級控制。但旨在擴(kuò)展物理數(shù)據(jù)中心安全策略以保護(hù)單個機(jī)柜的組織應(yīng)確保他們有緩解這些挑戰(zhàn)的計劃。

總結(jié)

無論有多少更高級別的物理安全控制措施,都無法緩解影響單個服務(wù)器機(jī)柜及其內(nèi)部IT設(shè)備的某些類型的威脅。這就是為什么利用數(shù)據(jù)中心內(nèi)部機(jī)柜的現(xiàn)代保護(hù)措施,是任何數(shù)據(jù)中心物理安全策略的重要組成部分。當(dāng)限制誰可以訪問每個機(jī)柜并監(jiān)控針對單個服務(wù)器機(jī)架的威脅時,就彌補(bǔ)了物理安全操作中的一個關(guān)鍵漏洞。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2024-04-11
機(jī)柜級控制:物理數(shù)據(jù)中心安全的最后一層
無論有多少更高級別的物理安全控制措施,都無法緩解影響單個服務(wù)器機(jī)柜及其內(nèi)部IT設(shè)備的某些類型的威脅。這就是為什么利用數(shù)據(jù)中心內(nèi)部機(jī)柜的現(xiàn)代保護(hù)措施,是任何數(shù)據(jù)中心物理安全策略的重要組成部分。當(dāng)限制誰可以訪問每個機(jī)柜并監(jiān)控針對單個服務(wù)器機(jī)架的威脅時,就彌補(bǔ)了物理安全操作中的一個關(guān)鍵漏洞。

長按掃碼 閱讀全文