想象一下,您有一堆金条,您有责任保护它。您是否将其保留在任何小偷都可以接触到的地方,还是将其锁定在钥匙下?
同样的类比适用于您的数据中心-信息虚拟的金矿-但许多公司选择在数据中心安全方面做到最低。数据中心-处理,分发和存储您的宝贵数据的联网计算机服务器和设备-是组织数字基础架构的关键组成部分。数据中心安全性是保护其免受网络攻击和其他虚拟威胁的策略,流程,过程和技术的组合。
那么,您应该了解哪些数据安全标准才能达到并保持合规性?我们已经征询了几位IT和网络安全专家的意见,并分享了他们的数据中心安全最佳实践。
让我们对其进行哈希处理。
数据中心安全性的重要性持续增长
数据的安全性对任何企业都至关重要,这不足为奇。这是决定您业务成败的宝贵信息。专有信息(例如,知识产权和商业秘密)以及客户的个人和财务信息都是在数据中心内可能发现的数据类型的所有示例。
有意或无意的数据泄露可能导致:
名誉受损和客户信任的丧失 —如果有消息说您没有采取必要的步骤来保护客户的数据(甚至您自己的知识产权),那么他们为什么要信任您?行业法规中的违规罚款 —有几项与数据中心安全性相关的关键法规,包括PCI DSS,HIPAA,GDPR,SAE 18(以前称为SAE 16)和ISO 27001:2013。财务损失和损失收入 —停机是企业的主要问题,可能导致大量收入损失。TechLoris的首席执行官Shayne Sherman 表示,数据中心安全的重要性不可低估,对于每个企业来说,它都应是头等大事。
“花时间确保建筑物的安全,您的员工精通网络安全防护,并且您满足合规性要求在保护资产免受恶意行为者方面大有帮助。”— TechLoris首席执行官Shayne Sherman
因此,不用说,如果其中任何一条信息落入不正确的人手中,您都会陷入困境。这就是为什么您需要了解一些可以实施的数据中心安全最佳实践的原因。
提示1:实施数据中心物理安全措施
当人们想到为保护组织数据而采取的安全措施类型时,他们不一定会考虑物理安全方面。为什么?他们通常过于关注与网络攻击和数据泄露引起的数据丢失风险有关的问题。
但是,公司可能没有意识到物理安全威胁可能是最具影响力的威胁。一个这样的例子就是前谷歌工程师安东尼·莱万多夫斯基(Anthony Levandowski)的案例,他对窃取公司的商业机密并将其提供给优步表示认罪。
根据《纽约客》上的一篇文章,莱万多夫斯基直接访问Google的服务器进行盗窃:
“根据Google的说法,在Levandowski辞职前一个月,他已将工作发行的笔记本电脑插入Google服务器,并下载了约一万四千个文件,包括硬件原理图。他将文件传输到外部驱动器,然后将笔记本电脑擦干净。”
组织可以根据需要和可用资源而拥有几种主要类型的数据中心:
公共云数据中心 -这种数据中心不在现场,由IBM Cloud,Amazon Web Services(AWS)和其他技术巨头等公共云提供商托管。尽管越来越多地采用这些平台,但行业内仍存在许多争论,但其中许多问题是在客户级别(例如服务器配置错误),而不是在提供商级别。私人托管主机数据中心 -这种数据中心是您与其他公司和组织共享服务器的一种。这对于技术专业知识有限或无法承担大量资本支出成本的公司来说非常有用。但是,它不一定是最安全的选择。托管数据中心 -这种数据中心是公司与其他公司共享空间,但拥有自己的服务器和其他设备的数据中心。与托管的托管数据中心相比,这为您的数据提供了更多保护,因为您拥有自己的设备,并且不会与其他组织共享。现场数据中心 -这种类型的数据中心是您在自己的设施中提供的。拥有本地数据中心可提供最高级别的安全性,但与其他数据存储选项相比,其运营成本也要高得多。每种类型都有很大的不同,这意味着每种类型的安全需求都不同。那么,首先应该考虑的数据中心安全性是什么?
位置,位置,位置
如果您要创建自己的数据中心而又不依赖云或托管数据中心,那么有计划地规划数据中心的物理空间至关重要。这包括确定您是希望数据中心位于僻静的地方还是人口稠密的区域。
但是,在安全性方面规划数据中心位置时,还应牢记什么呢?认真对待与天气有关的危险和低洼地区。(我们发现洪水和技术并不是很好的组合。)另外,请务必当心容易发生地震的高温地质区。
如果要在人口更稠密的区域中进行构建,可以通过将数据中心与周围环境融为一体来隐藏数据中心。
如果您使用的是服务提供商的设施,请检查其建筑和位置。您还可以请求合规性报告以查看其度量标准。
关键数据中心物理安全措施
但是,除了位置之外,还有许多其他物理安全考虑因素。数据中心强化可以包括:
可以保护设施免受外部攻击的钢筋混凝土墙和结构服务器机柜和机架固定在地下并用锁固定监控和调节温度和湿度变化的环境控制网络安全和IT服务公司Cybericus的所有者Mark Soto 很快指出,尽管物理攻击并不像网络攻击那么普遍,但它们仍然是对您数据安全的真正威胁。
“您需要在数据中心周围设置安全措施,以确保其安全性。这可以通过徽章系统或密码键盘来实现,仅允许某些人访问这些位置。 要充分了解经过设施的人员。如上所述,数据泄露的30%是内部用户造成的。作为一家公司,您应该非常小心谁有权访问数据中心以及他们有权访问哪些部分。这可能涉及对员工和有权访问您的数据中心设施的第三方承包商进行背景调查。”-Cybericus的老板Mark Soto
InfoTracer的网络运营主管Ben Hartwig 说,您需要考虑设施的物理设计,才能真正评估数据中心的安全性。
“在物理安全方面,主要关注的是建筑物或设施设计本身。物理安全的关键点包括24/7全天候视频监视,金属探测器和现场安全警卫,以及分层的安全措施,安全检查点(为反映受保护数据的敏感性而定制),有限或单个入口和出口点,以及更多。”— InfoTracer的Web运营主管Ben Hartwig
某些类型的数据中心还具有其他物理要求,例如电信行业协会(TIA)在其数据标准ANSI / TIA-942 / TIA-942A中概述的要求。
Hartwig还建议将传统安全措施提高到新的水平。一些方法包括使用多重访问控制并在每个区域和每个房间强制执行专门的安全性方法。
“每个受个人保护的区域都需要不止一种形式的身份验证和通过控制,因为并非所有员工都应有权访问数据中心的每个部分。使用门禁卡和识别徽章,或其他保护措施,包括在进入和离开场所时会称重访客的秤,对授权人员进行的连续背景检查以及生物识别锁。”— InfoTracer的Web运营主管Ben Hartwig
提示2:不仅要监视和限制物理访问,还要监视和限制虚拟访问
但是保护数据不仅需要安装门锁和摄像头。您实际上还需要监视数字访问。为什么?在IBM和Ponemon Institute的《2019年数据泄露成本报告》中报告的数据泄露中,有49%被确定为人为错误和系统故障而不是网络攻击。
SSL商店的IT管理员Ross Thomas说,最明显的数据中心安全最佳实践之一是查看为有权访问您的服务器的所有用户设置的权限。
“定期权限审核对于确保访问权限仅委派给需要访问权限的人员至关重要。超级用户非常危险,因为他们能够进行任何更改或执行任何代码或进程。但是,root用户是必需的。向正确的用户分配流程,任务等是委托流程的绝对最安全的方法。当人员离开组织时,应该对所有系统中的状态进行适当的评估,以确定即使没有通过前门,他们是否也可以访问。”— SSL商店的IT管理员Ross Thomas
而且,如果您还不担心网络钓鱼诈骗和密码不安全,那么应该这么做。Verizon的2020年数据违规调查报告(DBIR)显示,五分之四的与黑客相关的违规行为涉及暴力破解或使用丢失或被盗的凭证。
因此,如果您不能自动信任用户就是他们所声称的身份,那么解决方案是什么?
采用零信任方法
独立软件测试和信息系统审核公司Kualitatem Inc.的售前经理Sami Ullah 表示,组织应实施零信任架构:
“零信任模型将每笔交易,数据移动或