Много времени и статей посвящено обсуждению защиты сервера от внешних атак. Это совершенно верно, потому что злоумышленнику легче использовать Интернет, чтобы взломать ваш сервер, чем получить физический доступ.
Однако некоторые ИТ-специалисты приуменьшают важность физической безопасности серверов. Многие, если не большинство, наиболее вопиющих нарушений безопасности совершаются внутри организации.
Рядом со столом ИТ-менеджера в кабинке или заперто за несколькими дверями с электронной картой и биометрическим доступом?
Если у кого-то есть физический доступ к серверам, какие средства защиты предотвращают или, по крайней мере, регистрируют доступ к конфиденциальным данным, которые им не нужно видеть?
Конечно, это будет варьироваться от организации к организации, и от бизнес-потребностей к бизнес-потребностям, но даже серверы печати имеют доступ к печатаемым конфиденциальным данным (контрактам и информации о сотрудниках), так что здесь есть нечто большее, чем может показаться на первый взгляд.
Все наши производственные серверы хранятся на другом конце света в надежном дата-центре. Ловушки для людей, биометрические сканеры, целый ящик и игральные кости.
Для машин, которые находятся в нашем офисе, они находятся в серверной, доступной только через считывающую карту. Только системные администраторы имеют карты прокрутки, которые могут получить доступ к этой области.
Короче говоря, если кто-то физически держит ваш комплект в руках, то ваши данные принадлежат им. Если этого достаточно, то pgp'инг чего-либо ценного и дешифрования его на лету является тяжелым, но необходимым требованием.
edit: вы можете распространить это на вопросы физической безопасности вашего резервного носителя. Какая польза от надежной физической безопасности, если ваши внешние сайты не так или более безопасны?
Степень физической безопасности, которая вам нужна, зависит от характера и размера вашего бизнеса, ИТ-персонала и т. Д. Для большинства небольших компаний запертая дверь и недорогая камера безопасности помогут.
Также важно обеспечить доступ к электрическому шкафу. Использование прерывателя имеет большое значение для отключения компьютерных систем.
Доступ к смарт-карте, прокс-сенсорам, тяжелым дверям, защитным пластинам, камерам, надежным паролям, биометрии может быть реализован любым способом.
Проблема в том, что электрикам нужно было провести электромонтаж, подпереть дверь кирпичом и отправиться на обед, никого не уведомив. Это случилось однажды. К счастью, я пришел через несколько минут. Забавно, как кирпич может обойти безопасность на сумму более 10 тысяч долларов.
Еще одна вещь. Остерегайтесь нетехнических пользователей и их глупости.
Наши производственные серверы были в безопасности в колокационном центре, а серверы разработки - в офисе. Однажды уборщица не смогла найти свободную розетку и подключила пылесос к ИБП серверов. К счастью, у него была довольно громкая сигнализация о перегрузке, поэтому мы могли быстро отреагировать.
Другой случай (не знаю, насколько это настоящая или городская легенда), там были загадочные простои одного из серверов каждый день рано утром. Никто не мог определить проблему. Получается, что охранник в начале своей смены отключал один из серверов и включал кофеварку. Он думал, что «никто не заметит, это было всего 3 минуты».
Наше здание раньше было банком, поэтому мы храним наши серверы в хранилище. Охлаждение не очень хорошее, но у нас всего полдюжины, и ни один из них не особо мощный, так что это не проблема.
Это отчасти городская легенда, отчасти правда.
UL: Компания строила новый компьютерный зал, и ИТ-администратор демонстрировал меры безопасности (ловушка для людей, считывание карт и т. Д.) Одному из своих друзей. Друг кивнул, похоже, очень впечатлен. Через несколько минут они разговаривают прямо за дверью, когда другу приходит в голову идея. Он поворачивается спиной к стене и хорошо пинает ее, пробивая в стене дыру хорошего размера. Излишне говорить, что перед въездом админ укрепил стены.
Правда: небольшая компания сдает в аренду помещения в многоквартирном доме. Ключи от карточек и т. Д. За выходные кто-то пробил дыру в гипсокартоне рядом с дверью и украл 20 компьютеров (включая сервер со всеми лицензионными ключами).
У нас есть слой металла под гипсокартоном в компьютерном зале.
Наша серверная комната защищена карточкой-ключом. Только у ИТ-персонала есть карты-ключи, которые открывают дверь, и только отдел безопасности контролирует разрешения доступа к вашей карте-ключу.
Попав в серверную, все серверы размещаются в закрытых стойках. Передняя и задняя дверцы каждой стойки заперты, и только ИТ-персонал получает ключи от стойки.
Мы также держим сетевые шкафы на всех этажах запертыми, и только у членов группы обслуживания есть ключи от этих дверей.
Если это небольшая и средняя компания, вероятно, ее серверы будут в колокационном центре, если это большая корпорация, будут свои собственные.
Обычно это обеспечивает средства физической безопасности, о которых вы упомянули. О чем вы не упомянули, так это об электромагнитном экранировании, предотвращающем подслушивание (есть коммерчески доступные продукты, способные подслушивать Ethernet по витой паре с расстояния в сотню футов или около того). В случае с банками это сооружения бункерного типа, способные выдержать даже EMP атаки.
Для центра обработки данных также типично иметь как минимум два физических местоположения, чтобы иметь резервную копию на случай какого-либо стихийного бедствия (наводнения, пожара и т. Д.). Конечно же, это собственный блок питания, не только ИБП, но и генераторы.
Пусть ваш ИТ-персонал (и, если возможно, друг-полицейский / резервист или кто-то из сотрудников службы безопасности) когда-нибудь сядет в комнату. Смотрите кроссовки, «Миссия невыполнима» и «Океаны» 11.
Затем придумывайте каждый сценарий, в котором кто-то мог бы ворваться в комнату. Под полом, сквозь стены, через дверной замок, через потолок, через вентиляционные отверстия.
Затем укрепите свою безопасность.
Используйте двери, замки, бетонные и металлические решетки / решетки, чтобы сделать комнату максимально непроницаемой.
Затем предположите, что ваша первая линия безопасности нарушена.
Датчики движения, бесшумная сигнализация, звуковая сигнализация - все это хорошо.
Замки на всех стойках не пропускают людей (или замедляют их).
Несколько камер (за дверью и в серверной), ведущие в отдельную комнату / объект, являются отличным сдерживающим фактором.
В качестве примечания не забывайте о защите резервных копий.
Моя работа вращается вокруг чего-то, что ... ах, не столь критично ... так что безопасность не такая строгая, как "Железная гора"или что-то подобное. Однако ...
Серверная находится на втором этаже здания со стенами из бетонных плит толщиной 6 дюймов. Первоначальная точка входа снаружи требует ключа (и прохождение мимо служащих у стойки регистрации). Вторая точка входа требует разные ключ. Третья точка входа требует третий ключ, а дверь использует стекло из проволочной сетки для предотвращения случайных атак, хотя я предполагаю, что кто-то с бензопилой, паяльной лампой или другими шумными / назойливыми / очевидными средствами атаки сможет пройти. Весь объект покрыт камерами, работающими на цифровых видеорегистраторах, которые записывают движение 24/7, и сами видеорегистраторы защищены аналогичным образом.
Резервные копии хранятся в серверной в противопожарной вставке, рассчитанной на носитель, которая затем помещается в дополнительный пожарный сейф. Внешние резервные копии делает непосредственно ИТ-менеджер, который живет в тревожном доме (и я уверен, что у него также есть сейф).
Нет, я не проектировал физическую безопасность и не определял политику физической безопасности. Здесь продаются коробки с капустой, апельсинами и прочим, так что мы не занимаемся делами, связанными с военными или государственными секретами ...
В зависимости от ваших данных вы можете рассмотреть возможность супервизии.
Один центр обработки данных, о котором я знаю - я не имел к нему доступа, но мои товарищи по команде получили. Для доступа вам необходимы идентификатор фотографии и авторизация. Так что в случае с нашей командой, которая посещала его редко, нам пришлось получить письмо от нашего директора для доступа к нашим серверам.
Как только они решали впустить вас, они снимали отпечаток большого пальца и вешали на вас стандартный значок / карту доступа. Затем вас сопровождали два человека, технический эскорт и охранник. Я понимаю, что идея заключалась в том, что если технический специалист видел, что вы делаете что-то, что ему не нравилось, он натравливал на вас охранника, чтобы помешать вам сделать то, что было.
Это был центр обработки данных с серверами крупных международных банков в лондонском Сити.
Ха-ха, я знал, что люди серьезно относятся к безопасности, но биометрия? ментальный. Я полагаю, это действительно зависит от характера хранимых вами данных. Мне пришлось исследовать небольшую установку для нашей проектной компании, и мы нашли несколько хороших материалов на GuruOnline, множество видеороликов о сетевой безопасности и так далее. Это довольно просто, но может быть хорошим началом ...
Уборщица с пылесосом и охранник с кофеваркой. ха-ха. по крайней мере, им не платят за знание всего ИТ. вот настоящая история Хэллоуина.
наш ИТ-менеджер решил уйти и уйти. Управляющий директор компании нанял какого-то ловкача, который понятия не имел об ИТ, но ходил в ту же шикарную школу, поэтому я полагаю, на собеседовании они говорили о старых временах, проблемах с греблей, выпивке и девушках.
на второй неделе своей работы новый ИТ-менеджер пошел в серверную и некоторое время оставался там, чтобы ознакомиться с настройкой (я до сих пор не понимаю, что он там делал). поскольку кондиционеры там довольно сильные, он их выключил. после нескольких часов шуток он пошел домой (возможно, очень довольный, возможно, даже буквально - я не исключаю, что он смотрит там p0rn). конечно он очень устал (много часов много шума и т. д.), поэтому он, естественно, забыл переключить кондиционер обратно.
к утру сервер базы данных был полностью готов к остановке, а 2 других сервера вышли из строя в следующие 2 дня.
а вы говорите уборщица. она наверняка будет работать лучше (особенно с учетом той суммы, которую ему платили). Единственное, что хорошо в этой истории, это то, что весь ИТ-отдел, каждый из нас пошел к доктору медицины один за другим и сказал, что, если он останется, будет катастрофа. К счастью, MD понял, что что-то действительно не так, если все так сказали и уволили idi0t.