После прочтения аналогичный вопрос на Reddit, Я хотел услышать от сообщества serverfault о том, как обслуживающий персонал разрешается без присмотра заходить в серверные комнаты.
Существуют очевидные опасности, такие как:
Обычно обслуживающий персонал имеет доступ к серверным комнатам?
Не хочу быть противником, и я не защищаю, чтобы персонал, не связанный с ИТ, имел доступ к вашей серверной, но я хотел бы поставить следующие вопросы и пункты в качестве иллюстрации того, что я считаю неправильным мышлением в отношении ИТ. инфраструктура, серверные комнаты и дата-центры:
Вы беспокоитесь, что кто-то может украсть оборудование или данные. Разве они не могут украсть оборудование или данные из любого другого места, кроме серверной? Есть ли у вас такие же опасения в отношении обслуживающего персонала в отношении их доступа к другим частям здания? Могут ли они не украсть данные, просто сев за чью-то рабочую станцию, ноутбук или терминал? Конечно, если они достаточно сообразительны и опытны, чтобы украсть данные из-за того, что у них есть физический доступ к серверной, то они достаточно сообразительны и опытны, чтобы делать это с любой рабочей станции, ноутбука или терминала в любом месте здания, не так ли?
Является ли серверная комната единственным местом, где обслуживающий персонал может непреднамеренно или намеренно / целенаправленно отключить электричество, или активировать систему пожаротушения, или затопить здание, или вызвать одну из множества других «катастроф»?
Вас беспокоит то, что они находятся в серверной, тот факт, что они обслуживающий персонал? Мне это кажется некоторой интеллектуальной предвзятостью. Они достаточно умны, чтобы толкнуть метлу или отремонтировать систему отопления, вентиляции и кондиционирования воздуха, но недостаточно умны, чтобы не сломать что-нибудь в серверной? Они достаточно надежны, чтобы опорожнить мусорную корзину генерального директора, но недостаточно надежны, чтобы иметь доступ к серверной?
Чего не хватает в ваших средствах управления, что дало бы им возможность украсть оборудование или данные? Чего не хватает, что позволило бы им отключить электричество или ввести воду?
Я регулярно работаю в центре обработки данных, который соответствует требованиям PCI-DSS и сертифицирован по стандарту SAS 70 Type II, что позволяет обслуживающему персоналу получать доступ к «полу» центра обработки данных для выполнения задач, связанных с их работой в качестве обслуживающего персонала. Персонал по техническому обслуживанию проверяется так же, как и любой другой сотрудник, посетитель, клиент или поставщик.
Должен ли они иметь доступ в серверную? Может быть, нет, но не по причинам, которые вы указали в своем вопросе.
Я никогда не сталкивался со сценарием, когда критически важное серверное оборудование не находилось под замком. Доступ всегда должен быть ограничен квалифицированным ИТ-персоналом. Если вы на крючке из-за того, что происходит в этой комнате, вы очень быстро скупитесь на доступ.
Не позволяйте обслуживающему персоналу находиться в серверной. Подмести (не пылесосить) и держи в чистоте самостоятельно.
Я думаю, вы понимаете риски. Ответ абсолютно отрицательный. Прежде всего, только доверенный персонал должен находиться в ваших серверных комнатах с определенным доступом. Мы также обеспечиваем регистрацию каждого входа в комнату.
Просто сделав это простым, уберись за собой и убедившись, что все этому научены, комната будет опрятной и опрятной.
Приняв на вооружение передовой опыт, вам не нужно, чтобы бригада уборщиков проходила через вашу серверную. Как и в случае с прокладкой кабелей, если вы сделаете все правильно с первого раза, вам не придется пересматривать то, что вы сделали.
Что считается обслуживающим персоналом? Приведенные выше ответы, по-видимому, подразумевают, что в эту категорию попадают только дворники, но штатные электрики, инженеры HVAC и т. Д. Часто входят в состав ремонтной бригады во многих магазинах.
Многие крупные корпоративные контроллеры домена, с которыми я контактировал, на самом деле специально исключили большинство ИТ-персонала - включая старших системных и сетевых инженеров и т. Д. Идея состоит в том, что очень определенного набора сотрудников / специалистов по эксплуатации ЦОД должно быть достаточно, чтобы физически управлять инфраструктурой, не допуская конкретных экспертов в области, не относящейся к объектам, в пространство, в котором они часто не имеют права работать.
На самом деле только в небольших помещениях я видел системных администраторов, которые обычно участвовали в стандартной установке в стойку и стек / кабельную разводку. Некоторые сетевые организации держат свои руки дольше, но даже они в конечном итоге отделяют повседневную прокладку кабелей (и даже большую часть макета / дизайна) для специалистов, занятых в оборудовании. Я обычно просто списываю это на большую потребность в специализации.
Кстати, в организациях, занимающихся специальными объектами постоянного тока, часто есть свой специально обученный персонал по уборке. Эти помещения необходимо поддерживать в чистоте с течением времени, хотя и другими способами, нежели стандартные офисные помещения.