在任何一天,数据中心经理都要检查他们的心理清单。安全性总是排在第一位:
网络是安全的;资产不受网络攻击的影响。
没有智能卡或生物识别认证扫描,任何人都不能进入数据中心。
有一个数据中心进出的审计跟踪。
警报程序在出现安全漏洞时通知团队的。
安全性完全取决于保护层,大多数互联网数据中心在应用防御层保护虚拟访问和物理边界方面做得很好。但是数据中心内部的实际设备呢?机柜中的服务器是否受到物理访问的保护?
如果橱柜不安全,就相当于支付家庭安全服务费用,把家庭珠宝放在厨房的桌子上,而不是放在保险箱里。
架子上的杠
曾几何时,只需在入口处通过安全,可审计的访问控制来管理对整个数据中心的访问就足够了。只要你能合理地确保没有未经授权的人访问你的敏感数字基础设施,只要你能向审计人员提供这些合理措施的证据,你就可以。
不断升级的监管要求——如HIPAA、SOX、PCI DSS 3.2和SSAE 16——现在要求敏感系统和数据受其自身特定保护。
此外,还有来自内部的风险。内部威胁包括人为错误,仍然是数据中心停机的主要原因之一。为了帮助消除内部威胁,只需要让受信任的用户访问他们有权使用的特定机柜。
如今,大多数安全性都集中于将人拒之门外,但并不一定要关注在进入初始安全层之后数据中心内发生了什么。
因此,确保只有授权人员才能进入数据中心已经不够了。您必须跟踪和监视他们对特定敏感系统的访问,并确保他们对特定领域拥有正确的权限。您必须能够提供一个广泛的审计跟踪,以了解谁在什么时候接触了这些系统,以及他们每次都做了什么。
作为回应,数据中心正在使用多种方法支持机架级别的物理安全性和合规性:
可以远程管理的电子机箱,以便使用企业安全策略或临时管理在正确的人员和正确的系统之间映射适当的权限。
接近卡认证,使授权人员可以方便地快速访问他们授权的机箱。
机架内摄像头,捕捉实时视频和照片,自动标记相关数据(时间、日期、用户ID、系统数据、动作等),用于审计文档和取证。
与DCIM或其他访问和构建控制系统集成,以促进单点控制并轻松整合所有与安全/合规相关的审计跟踪。
加密和检测安全措施,以确保机架级安全保护和审计系统的完整性。
实时警告/警报,将需要立即注意的事件通知适当的各方。
同样重要的是要认识到您的机架级控件并不存在于真空中。它们是数据中心基础设施管理工作流的一部分。它们进入你的SIEM分析和取证。它们支持向组织的内部和外部审计员提供合规性文档。它们甚至可以在其他过程中发挥作用——例如捕获和分析基于活动的数据中心成本。
机架级工具应该与各种相关硬件和软件很好地集成在一起。而机架级管理中的各种利益相关者——从一线技术人员到外部监管机构,必须对通过这些集成提供的数据和控制有高度的信心。因此,除了从技术角度有效地将机架级的工具集成到更广泛的安全性和合规性流程之外,您还必须确保技术和非技术利益相关者了解这些集成如何帮助他们完成各自的工作。
在理想的情况下,新机柜控件的安装应该很容易地与现有的锁进行更新,并与现有的机柜基础设施(如PUD)进行即插即用,这样您就可以利用现有的数据中心基础设施,消除安装单独的安全系统、布线和网络布线的成本。当然,您还需要与现有的DCIM应用程序、资产跟踪系统、LDAP/AD目录服务等配合使用,以便共享数据。例如,用于构建访问的感应卡系统使用的ID徽章凭证可用于建立直至机柜级别的访问权限。
您无需对数据中心机箱进行“煮沸海洋”检修,即可开始更好的机架级控制和审计。选择附件的良好试验计划可以为您提供所需的实际操作,以确保在您准备执行更完整的部署时取得成功。