在任何一天�����,數據中心經理都要檢查他們的心理清單。安全性總是排在第一位:
安全性完全取決于保護層,大多數互聯網數據中心在應用防御層保護虛擬訪問和物理邊界方面做得很好。但是數據中心內部的實際設備呢?機柜中的服務器是否受到物理訪問的保護?
如果櫥柜不安全�����,就相當于支付家庭安全服務費用�����,把家庭珠寶放在廚房的桌子上�����,而不是放在保險箱里�����。
架子上的杠
曾幾何時�����,只需在入口處通過安全,可審計的訪問控制來管理對整個數據中心的訪問就足夠了�����。只要你能合理地確保沒有未經授權的人訪問你的敏感數字基礎設施�����,只要你能向審計人員提供這些合理措施的證據�����,你就可以。
不斷升級的監管要求——如HIpAA�����、SOX、pCI DSS 3.2和SSAE 16——現在要求敏感系統和數據受其自身特定保護�����。
此外�����,還有來自內部的風險。內部威脅包括人為錯誤�����,仍然是數據中心停機的主要原因之一�����。為了幫助消除內部威脅�����,只需要讓受信任的用戶訪問他們有權使用的特定機柜。
如今�����,大多數安全性都集中于將人拒之門外�����,但并不一定要關注在進入初始安全層之后數據中心內發生了什么�����。
因此,確保只有授權人員才能進入數據中心已經不夠了�����。您必須跟蹤和監視他們對特定敏感系統的訪問�����,并確保他們對特定領域擁有正確的權限。您必須能夠提供一個廣泛的審計跟蹤,以了解誰在什么時候接觸了這些系統�����,以及他們每次都做了什么�����。
作為回應�����,數據中心正在使用多種方法支持機架級別的物理安全性和合規性:
同樣重要的是要認識到您的機架級控件并不存在于真空中。它們是數據中心基礎設施管理工作流的一部分。它們進入你的SIEM分析和取證。它們支持向組織的內部和外部審計員提供合規性文檔�����。它們甚至可以在其他過程中發揮作用——例如捕獲和分析基于活動的數據中心成本�����。
機架級工具應該與各種相關硬件和軟件很好地集成在一起�����。而機架級管理中的各種利益相關者——從一線技術人員到外部監管機構,必須對通過這些集成提供的數據和控制有高度的信心。因此�����,除了從技術角度有效地將機架級的工具集成到更廣泛的安全性和合規性流程之外,您還必須確保技術和非技術利益相關者了解這些集成如何幫助他們完成各自的工作。
在理想的情況下�����,新機柜控件的安裝應該很容易地與現有的鎖進行更新�����,并與現有的機柜基礎設施(如pUD)進行即插即用,這樣您就可以利用現有的數據中心基礎設施,消除安裝單獨的安全系統�����、布線和網絡布線的成本�����。當然�����,您還需要與現有的DCIM應用程序、資產跟蹤系統�����、LDAp/AD目錄服務等配合使用�����,以便共享數據�����。例如,用于構建訪問的感應卡系統使用的ID徽章憑證可用于建立直至機柜級別的訪問權限�����。
您無需對數據中心機箱進行“煮沸海洋”檢修�����,即可開始更好的機架級控制和審計。選擇附件的良好試驗計劃可以為您提供所需的實際操作�����,以確保在您準備執行更完整的部署時取得成功�����。
