無(wú)論多高級(jí)別的物理安全控制都無(wú)法緩解影響單個(gè)服務(wù)器機(jī)柜���,及其內(nèi)部IT設(shè)備的某些類(lèi)型的威脅����。以下是數(shù)據(jù)中心專(zhuān)業(yè)人員需要了解的內(nèi)容�����。
可能我們已經(jīng)保護(hù)了數(shù)據(jù)中心周邊的安全����,也建立了設(shè)施控制來(lái)保護(hù)入口,更鎖定了服務(wù)器機(jī)房并部署了多種物理身份驗(yàn)證因素�����,來(lái)控制誰(shuí)可以訪問(wèn)機(jī)架。并且確信已經(jīng)盡一切努力來(lái)維護(hù)物理數(shù)據(jù)中心的安全��。
但是�����,我們的物理安全策略仍然存在漏洞��,也尚未解決數(shù)據(jù)中心安全“第四層”帶來(lái)的風(fēng)險(xiǎn)����,該層主要保護(hù)單個(gè)服務(wù)器機(jī)柜。因此���,仍然容易受到惡意內(nèi)部人員的威脅��。
如果沒(méi)有機(jī)柜級(jí)控制���,物理數(shù)據(jù)中心安全策略就不完整。那么���,深入了解機(jī)柜級(jí)安全需要什么��,我們將揭秘?cái)?shù)據(jù)中心物理安全的第四層�����。
數(shù)據(jù)中心安全的四層
要了解機(jī)柜安全在數(shù)據(jù)中心物理安全策略中的整體位置�,采用國(guó)際自動(dòng)化協(xié)會(huì)的四層物理數(shù)據(jù)中心安全概念是很有用的。這種理念將物理安全控制分解如下:
第1層邊界安全:數(shù)據(jù)中心物理安全的基礎(chǔ)是通過(guò)阻止和監(jiān)控未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)中心所在地來(lái)保護(hù)邊界��。這里的目標(biāo)是防止威脅行為者跳過(guò)圍欄或闖入窗戶等風(fēng)險(xiǎn)����。
第2層設(shè)施控制:設(shè)施控制是指限制誰(shuí)可以通過(guò)數(shù)據(jù)中心合法入口的措施���,例如門(mén)禁卡和生物識(shí)別認(rèn)證設(shè)備�����。
第3層服務(wù)器機(jī)房控制:第3層重點(diǎn)保護(hù)對(duì)數(shù)據(jù)中心內(nèi)放置服務(wù)器的房間的訪問(wèn)���。由于這是數(shù)據(jù)中心的核心,因此您應(yīng)該建立一套單獨(dú)的訪問(wèn)控制和監(jiān)控解決方案���,以防止未經(jīng)授權(quán)訪問(wèn)任何包含IT設(shè)備的房間����。
第4層機(jī)柜控制:我們不會(huì)想讓那些設(shè)法潛入服務(wù)器機(jī)房的威脅者肆意妄為。這就是數(shù)據(jù)中心物理安全的第四層也是最后一層發(fā)揮作用的地方�����。它通過(guò)管理對(duì)單個(gè)服務(wù)器機(jī)柜的訪問(wèn)的設(shè)備提供最后一層防御��。
只有當(dāng)在每一層都建立了嚴(yán)格的安全控制和可視性時(shí)��,才可以認(rèn)為物理安全策略是完整的��。
什么是機(jī)柜級(jí)安全性?
理解第一至第三層安全措施非常簡(jiǎn)單�����。邊界級(jí)別的屏障和監(jiān)控系統(tǒng)�����,以及限制誰(shuí)可以開(kāi)門(mén)和進(jìn)入房間的基于卡或生物識(shí)別的認(rèn)證設(shè)備�,都不是什么新鮮事。
但至少對(duì)一些數(shù)據(jù)中心運(yùn)營(yíng)商來(lái)說(shuō)�����,機(jī)柜級(jí)安全控制往往是一個(gè)比較新穎的概念。除了用鑰匙鎖上機(jī)柜之外�,傳統(tǒng)上投資先進(jìn)的機(jī)柜級(jí)保護(hù)措施并不常見(jiàn)。
這并不是因?yàn)檫@種保護(hù)不存在�。可以保護(hù)機(jī)柜的解決方案有多種���,例如:
- 鎖與管理數(shù)據(jù)中心其他部分的基于卡的數(shù)字訪問(wèn)控制系統(tǒng)集成��,允許操作員使用集中式系統(tǒng)管理多層安全的訪問(wèn)權(quán)限���。
- 需要生物特征認(rèn)證(例如指紋掃描)才能打開(kāi)柜子的鎖�。這些鎖還可以與更大的認(rèn)證系統(tǒng)集成。
- 安全室內(nèi)的攝像系統(tǒng)監(jiān)視誰(shuí)在訪問(wèn)哪些服務(wù)器��。
- 訪問(wèn)控制審計(jì)軟件連接到數(shù)字鎖��,以跟蹤訪問(wèn)模式并標(biāo)記異?��;顒?dòng)�����。
- 對(duì)于數(shù)據(jù)中心運(yùn)營(yíng)商來(lái)說(shuō)��,只需利用這些保護(hù)措施來(lái)實(shí)現(xiàn)機(jī)柜級(jí)機(jī)架安全即可���。
機(jī)柜安全的重要性
從某些方面來(lái)看����,機(jī)柜級(jí)安全似乎不如數(shù)據(jù)中心物理安全的其他層面那么重要�����。畢竟��,如果建立了強(qiáng)大的保護(hù)措施來(lái)防止壞人首先進(jìn)入設(shè)施�,我們真的還需要在單個(gè)機(jī)柜上建立另一層保護(hù)嗎?
答案是肯定的,因?yàn)樵谀承┣闆r下�����,輕易繞過(guò)其他安全控制的人可能會(huì)對(duì)單個(gè)服務(wù)器構(gòu)成威脅�。例如,想象一下以下場(chǎng)景:
- 一名心懷不滿的數(shù)據(jù)中心技術(shù)人員有權(quán)訪問(wèn)數(shù)據(jù)中心設(shè)施的所有部分�����,他決定篡改設(shè)備,以傷害數(shù)據(jù)中心運(yùn)營(yíng)商�����。
- 一家在主機(jī)托管設(shè)施中運(yùn)營(yíng)服務(wù)器的企業(yè)的員工訪問(wèn)另一家公司的服務(wù)器����,企圖竊取數(shù)據(jù)。
- 在應(yīng)對(duì)一次令人緊張的停電事故時(shí)��,一位好心的工程師錯(cuò)誤地進(jìn)入了錯(cuò)誤的機(jī)柜��,從而意外地關(guān)閉了與故障無(wú)關(guān)的服務(wù)器的電源����。
在每種情況下,使用門(mén)禁卡或生物識(shí)別控制進(jìn)入服務(wù)器機(jī)房的人�����,仍然對(duì)安置在單獨(dú)機(jī)柜中的服務(wù)器構(gòu)成威脅���,只有機(jī)架級(jí)安全控制才足以防止事故發(fā)生。
還要注意�����,機(jī)柜級(jí)保護(hù)非常重要,因?yàn)闄C(jī)柜和服務(wù)器是物理安全與數(shù)字安全交匯的地方�����。一旦有人進(jìn)入機(jī)柜�,防止未經(jīng)授權(quán)訪問(wèn)的工作就轉(zhuǎn)移到數(shù)字保護(hù),例如限制訪問(wèn)服務(wù)器的密碼��。機(jī)柜級(jí)物理保護(hù)是在壞人進(jìn)入之前使用物理控制的最后機(jī)會(huì)���。
數(shù)據(jù)中心機(jī)柜保護(hù)的挑戰(zhàn)
idc網(wǎng),算力,裸金屬,高電機(jī)房,邊緣算力,云網(wǎng)合一,北京機(jī)房,北京云計(jì)算,北京邊緣計(jì)算,北京裸金屬服務(wù)器,北京數(shù)據(jù)服務(wù)器,北京GPU服務(wù)器,高算力服務(wù)器,數(shù)據(jù)機(jī)房雖然機(jī)柜級(jí)控制具有明顯的優(yōu)勢(shì)����,但也帶來(lái)了一些挑戰(zhàn)��。
最大的問(wèn)題是��,它們?cè)黾恿肆硪粚由矸蒡?yàn)證��,技術(shù)人員必須通過(guò)該層身份驗(yàn)證才能完成工作�。在打開(kāi)機(jī)架之前必須掃描卡或指紋,這并不特別耗時(shí)��,但機(jī)柜級(jí)控制可能會(huì)出現(xiàn)問(wèn)題,因?yàn)槿绻麛?shù)字鎖在工作人員需要進(jìn)入機(jī)柜解決時(shí)間敏感問(wèn)題時(shí)發(fā)生故障�。
機(jī)柜級(jí)鎖也增加了數(shù)據(jù)中心運(yùn)營(yíng)商的管理負(fù)擔(dān),因?yàn)樗鼈冃枰⒕?xì)的訪問(wèn)控制設(shè)置來(lái)控制誰(shuí)可以訪問(wèn)單個(gè)機(jī)柜�。在大多數(shù)情況下,這比管理整個(gè)設(shè)施或服務(wù)器機(jī)房的訪問(wèn)權(quán)限更為復(fù)雜����,因?yàn)楹笳邲](méi)有那么精細(xì)。
機(jī)柜級(jí)保護(hù)的成本也是一個(gè)需要考慮的因素�����。相對(duì)于其他物理安全控制�,機(jī)柜級(jí)鎖并不是特別昂貴,但它們會(huì)增加整體物理安全預(yù)算�����。
所有這些挑戰(zhàn)都可以解決���,沒(méi)有理由不采用機(jī)柜級(jí)控制���。但旨在擴(kuò)展物理數(shù)據(jù)中心安全策略以保護(hù)單個(gè)機(jī)柜的組織應(yīng)確保他們有緩解這些挑戰(zhàn)的計(jì)劃��。
總結(jié)
無(wú)論有多少更高級(jí)別的物理安全控制措施,都無(wú)法緩解影響單個(gè)服務(wù)器機(jī)柜及其內(nèi)部IT設(shè)備的某些類(lèi)型的威脅��。這就是為什么利用數(shù)據(jù)中心內(nèi)部機(jī)柜的現(xiàn)代保護(hù)措施�����,是任何數(shù)據(jù)中心物理安全策略的重要組成部分�����。當(dāng)限制誰(shuí)可以訪問(wèn)每個(gè)機(jī)柜并監(jiān)控針對(duì)單個(gè)服務(wù)器機(jī)架的威脅時(shí)�,就彌補(bǔ)了物理安全操作中的一個(gè)關(guān)鍵漏洞。
