Физическая безопасность сервера

Много времени и столбцов посвящено обсуждению защиты сервера от внешних атак. Это совершенно верно, потому что злоумышленнику проще использовать Интернет, чтобы взломать ваш сервер, чем получить физический доступ.

Тем не менее, некоторые ИТ-специалисты скрывают важность физической безопасности сервера. Многие, если не большинство, наиболее вопиющих нарушений безопасности совершаются внутри организации.

• Как вы защищаете свои серверы от пользователей с локальным доступом, которым не требуется доступ к серверу или самой серверной комнате?

Это рядом со столом ИТ-менеджера в шкафу или за несколькими дверями с электронной картой и биометрическим доступом?

Как только кто-то имеет физический доступ к серверам, какие существуют средства защиты, которые предотвращают или, по крайней мере, регистрируют доступ к конфиденциальным данным, которые им не нужно видеть?

Конечно, это будет варьироваться от организации к организации, и бизнесу нужно бизнесу, но даже серверы печати имеют доступ к распечатываемым конфиденциальным данным (контрактам и информации о сотрудниках), поэтому здесь есть нечто большее, чем может показаться на первый взгляд.

Все наши производственные серверы хранятся на другом конце света в надежном центре обработки данных. Человек ловушки, биометрические сканеры, вся коробка и кости.

Для машин, которые находятся в нашем офисе, они живут в серверной комнате, доступ к которой возможен только с помощью карты. Только системные администраторы имеют карты с размахом, которые могут получить доступ к этой области.

Короче говоря, если кто-то физически завладеет вашим комплектом, то ваши данные принадлежат ему. Если это достаточное беспокойство, тогда pgp'овство чего-либо ценного и дешифрование на лету является тяжелым, но необходимым требованием.

изменить: вы можете распространить это на вопросы физической безопасности вашего резервного носителя. Что хорошего в твердой физической безопасности, если ваши офисы не настолько безопасны или более безопасны?

Уровень физической безопасности, который вам нужен, зависит от характера и размера вашего бизнеса, ИТ-персонала и т. Д. Для большинства небольших компаний подойдет запертая дверь и недорогая камера видеонаблюдения.

Обеспечение доступа к электрическому шкафу также важно. Отключение имеет большое значение для выключения компьютерных систем.

Все способы обеспечения физической безопасности можно получить с помощью доступа к смарт-карте, проксимальных датчиков, тяжелых дверей, защитных панелей, камер, надежных паролей, биометрических данных.

Проблема в том, что когда электрики должны были выполнить проводку, откройте дверь кирпичом и отправляйтесь на обед, никого не уведомляя. Это случилось однажды. К счастью, я пришел через несколько минут. Забавно, как кирпич может обойтись в 10 тысяч долларов + безопасности.

Еще одна вещь. Остерегайтесь нетехнических пользователей и их глупости.

Наши производственные серверы были безопасны в колокейшн-центре, а разработчики - в офисе. Однажды уборщица не смогла найти бесплатную розетку и подключила пылесос к ИБП сервера. К счастью, у него была довольно громкая сигнализация перегрузки, поэтому мы могли быстро отреагировать.

Другой случай (не знаю, сколько это реальных или городских легенд), там, где загадочные простои одного из серверов каждый день рано утром. Никто не мог определить проблему. В результате, охранник в начале своей смены отключил один из серверов и подключил кофеварку. Хотя он, что «никто не заметит, прошло всего 3 минуты».

Наше здание раньше было банком, поэтому мы держим наши серверы в хранилище. Охлаждение не очень хорошее, но у нас только полдюжины, и ни один из них не очень мощный, так что это не проблема.

Это отчасти городская легенда, отчасти правда.

У.Л .: В компании была построена новая компьютерная комната, а ИТ-администратор демонстрировал меры безопасности (ловушку, считывание карт и т. Д.) Одному из своих друзей. Друг кивнул головой, казалось, был очень впечатлен. Через несколько минут они разговаривают прямо за дверью, когда у друга появляется идея. Он поворачивается спиной к стене и делает хороший удар, пробивая в стене дыру хорошего размера. Излишне говорить, что администратор укрепил стены, прежде чем войти.

Правда: небольшая компания арендует помещение в многоквартирном доме. Ключи от карты и т. Д. За выходные кто-то пробил дыру в гипсокартоне рядом с дверью и украл 20 компьютеров (включая сервер со всеми лицензионными ключами).

У нас есть слой металла под гипсокартоном нашей компьютерной комнаты.

Наша серверная комната защищена ключ-картой. Только ИТ-персонал имеет карточки-ключи, которые откроют дверь, и только отдел безопасности контролирует разрешения доступа к вашей карточке-ключу.

Оказавшись внутри серверной комнаты, все серверы находятся в закрытых стойках. Передние и задние двери каждой стойки заперты, и только ИТ-персоналу выдаются ключи от стойки.

Мы также держим сетевые шкафы на всех этажах запертыми, и только у членов команды объектов есть ключи для этих дверей.

Если это небольшая или средняя компания, вероятно, ее серверы будут в центре колокейшн, если это большая корпорация, то будут свои.

Это обычно обеспечивает средства физической безопасности, о которых вы упомянули. То, что вы не упомянули, - это электромагнитное экранирование, предотвращающее подслушивание (есть коммерчески доступные продукты, способные подслушивать витую пару Ethernet с расстояния в сто футов или около того). В случае банков это бункерные структуры, которые могли бы противостоять атакам EMP .

Для центра обработки данных также характерно наличие как минимум двух физических местоположений, резервное копирование на случай стихийного бедствия (наводнения, пожара и т. Д.). Конечно, это собственный источник питания, не только ИБП, но и генераторы.

Пусть ваш ИТ-персонал (и, если возможно, сотрудник полиции / друг-резервист или кто-то в области безопасности) когда-нибудь будет сидеть в комнате. Смотреть кроссовки, Миссия невыполнима и океаны 11.

Затем придумайте каждый сценарий, когда кто-нибудь вломится в комнату. Под полом, сквозь стены, победив дверной замок, через потолок, через вентиляционные отверстия.

Затем, слой вашей безопасности.

Используйте двери, замки, бетонные и металлические решетки / решетки, чтобы сделать комнату максимально непроницаемой.

Затем предположим, что ваша первая линия безопасности нарушена.

Датчики движения, бесшумные сигналы, звуковые сигналы - все хорошо.

Замки на всех стойках не пускают людей (или замедляют их).

Несколько камер (за дверью и в серверной комнате), которые ведут в отдельную комнату / участок, являются отличным сдерживающим фактором.

Как примечание стороны, не забывайте о защите резервных копий.

Моя работа вращается вокруг чего-то, что, ах, не так критично ... так что безопасность не такая жесткая, как " Железная гора " или что-то подобное. Тем не мение...

Серверная комната находится на втором этаже здания, в котором используются 6-дюймовые стены из бетонных плит. Начальная точка входа снаружи требует ключа (и проходит мимо сотрудников фронт-стойки). Вторая точка входа требует другого ключа. Третья точка входа требуется третий ключ, и дверь использует стекло из проволочной сетки, чтобы предотвратить случайные атаки, хотя я предполагаю, что кто-то с бензопилой, паяльной лампой или другими шумными / навязчивыми / очевидными средствами атаки сможет проникнуть. Весь объект покрыт работающими камерами на видеорегистраторах, которые записывают движение 24/7, и сами видеорегистраторы защищены аналогичным образом.

Резервные копии хранятся в серверной комнате в специальной пожаробезопасной вставке, которая затем помещается в дополнительный противопожарный сейф. Резервное копирование вне офиса выполняется непосредственно ИТ-менеджером, который живет в тревожном доме (и я уверен, что на месте также есть сейф).

Нет, я не проектировал физическую безопасность и не определяю политику физической безопасности. В этом месте продаются коробки с капустой, апельсинами и еще чем-то, так что мы не имеем дело с военными или государственными секретами ...

В зависимости от ваших данных вы можете рассмотреть возможность надзора.

Один центр обработки данных, о котором я знаю - я не получил к нему доступ, но мои товарищи по команде сделали. Вы нуждались в удостоверении личности с фотографией и авторизации для доступа. Так что в случае нашей команды, которая редко посещала ее, нам пришлось получить письмо от нашего директора для доступа к нашим серверам.

Как только они решат впустить вас, они сделают отпечаток большого пальца и повесят на вас стандартный значок / карточку доступа. Затем вас сопровождали два человека, технический эскорт и охранник. Я понимаю, что идея состояла в том, что если технический специалист увидел, что вы делаете что-то, что ему не нравилось, он установил на вас охранника, чтобы вы не делали, что бы это ни было.

Это был центр обработки данных, который содержал серверы для крупных международных банков в лондонском Сити.

Ха-ха, я знал, что люди серьезно относятся к безопасности, но биометрия? умственная. Я полагаю, что это действительно зависит от характера данных, которые вы сохранили. Мне пришлось исследовать небольшую установку для нашей дизайнерской компании, и мы нашли несколько хороших вещей в GuruOnline, множество видео о сетевой безопасности и прочее. Это довольно простой, но может быть хорошим началом ...

Уборщица с пылесосом и охранник с кофемашиной. ха-ха. по крайней мере, им не платят, чтобы знать все вещи ИТ. Вот настоящая история Хэллоуина.

наш ИТ-менеджер решил пойти дальше и уйти. управляющий директор компании нанял незнакомца, который понятия не имел об ИТ, но они пошли в одну и ту же шикарную школу, так что, я полагаю, на собеседовании они говорили о старых временах, проблемах с греблей, выпивке и девочках.

на второй неделе новый ИТ-менеджер пошел в серверную и некоторое время оставался в нерабочее время, знакомясь с настройками (я до сих пор не представляю, что он там делал). потому что там довольно сильные кондиционеры, он их отключил. после нескольких часов шутки он пошел домой (возможно, очень довольный, возможно, даже буквально - я не исключаю, что он там смотрит). конечно, он был очень уставшим (долгие часы много шума и т. д.), поэтому он, естественно, забыл переключить кондиционер обратно.

к утру сервер базы данных был полностью готов к остановке, а 2 других сервера вышли из строя в течение следующих 2 дней.

а ты говоришь уборщица. она наверняка сделает лучшую работу (особенно за сумму, которую ему заплатили). Единственная хорошая вещь в этой истории - это то, что весь ИТ-отдел, каждый из нас, пошел к МД один за другим и сказал, что если он останется, это будет катастрофой. К счастью, MD понял, что это действительно что-то не так, если все это сказали, и уволили.