idc網(wǎng),算力,裸金屬,高電機(jī)房,邊緣算力,云網(wǎng)合一,北京機(jī)房,北京云計(jì)算,北京邊緣計(jì)算,北京裸金屬服務(wù)器,北京數(shù)據(jù)服務(wù)器,北京GPU服務(wù)器,高算力服務(wù)器,數(shù)據(jù)機(jī)房
你已經(jīng)很好地保護(hù)了數(shù)據(jù)中心周邊的安全�。你建立了設(shè)施控制來保護(hù)入口����,鎖定了服務(wù)器機(jī)房并部署了多種物理身份驗(yàn)證因素來控制機(jī)架訪問權(quán)限。你確信自己已經(jīng)盡一切可能維護(hù)了物理數(shù)據(jù)中心的安全�。
不幸的是,你的物理安全策略仍然存在空白��。你還沒有解決所謂數(shù)據(jù)中心安全“第四層”帶來的風(fēng)險(xiǎn),這一層安全的重點(diǎn)是保護(hù)單個(gè)服務(wù)器機(jī)柜�。因此,你仍然容易受到惡意內(nèi)部人員等威脅�。
如果沒有機(jī)柜級(jí)控制,任何物理數(shù)據(jù)中心安全策略都是不完整的�����。下面就讓我們來深入地了解一下機(jī)柜級(jí)安全的含義����,解開數(shù)據(jù)中心物理安全第四層����、也是最后一層的神秘面紗����。
數(shù)據(jù)中心安全的四層
要了解機(jī)柜安全在整個(gè)數(shù)據(jù)中心物理安全策略的位置,那么采用國(guó)際自動(dòng)化協(xié)會(huì)對(duì)物理數(shù)據(jù)中心安全四層的定義就變得非常有用了��。這一理念將物理安全控制分解如下:
- 第1層——周邊安全:數(shù)據(jù)中心物理安全的基礎(chǔ)是通過阻止和監(jiān)控對(duì)數(shù)據(jù)中心所在位置未經(jīng)授權(quán)的訪問來保護(hù)其周邊的���,目標(biāo)是防止威脅行為者跳過柵欄或闖入窗戶等風(fēng)險(xiǎn)�。
- 第2層——設(shè)施控制:設(shè)施控制是限制可以通過數(shù)據(jù)中心合法入口人員的一項(xiàng)措施�����,例如門禁卡和生物特征認(rèn)證設(shè)備���。
- 第3層——服務(wù)器機(jī)房控制:第3層側(cè)重于保護(hù)對(duì)數(shù)據(jù)中心內(nèi)服務(wù)器所在房間的訪問。由于這是數(shù)據(jù)中心的核心�����,因此你應(yīng)該建立一套單獨(dú)的訪問控制和監(jiān)控解決方案�����,以防止未經(jīng)授權(quán)人訪問任何包含IT設(shè)備的房間�����。
- 第4層——機(jī)柜控制:你一定不想讓設(shè)法潛入服務(wù)器機(jī)房的威脅行為者肆意妄為���。這時(shí)候,數(shù)據(jù)中心物理安全的第四層也是最后一層就要發(fā)揮作用了,它會(huì)管理對(duì)各個(gè)服務(wù)器機(jī)柜的訪問的設(shè)備來提供最后一層防線�����。
只有當(dāng)你在每一層都建立了嚴(yán)格的安全控制和可見性時(shí)����,這樣才能認(rèn)為你的物理安全策略是完整的��。
什么是機(jī)柜級(jí)安全�?
了解安全層的一到三層非常簡(jiǎn)單����。周邊屏障和監(jiān)控系統(tǒng)����,以及通過門禁卡或生物識(shí)別身份驗(yàn)證設(shè)備限制開門和進(jìn)入房間的人員���,這并不是什么新鮮事���。
但至少對(duì)于一些數(shù)據(jù)中心運(yùn)營(yíng)商來說,機(jī)柜級(jí)安全控制往往是一個(gè)更新穎的概念��。除了用鑰匙鎖機(jī)柜(在多人需要打開柜子的情況下�����,這種做法在流程上很復(fù)雜)之外�����,一般來說投資使用先進(jìn)的機(jī)柜級(jí)保護(hù)措施并不常見。
但這并不意味著這樣的保護(hù)措施不存在�,實(shí)際上有多種可以保護(hù)機(jī)柜的解決方案�,例如:
- 保護(hù)措施與管理數(shù)據(jù)中心其他部分的門禁卡數(shù)字訪問控制系統(tǒng)進(jìn)行集成,讓操作員可以使用集中式系統(tǒng)管理多層安全的訪問權(quán)限��。
- 保護(hù)措施需要生物識(shí)別身份驗(yàn)證(例如指紋掃描)才能打開,這些措施還可以與更大規(guī)模的身份驗(yàn)證系統(tǒng)集成����。
- 安全室內(nèi)的攝像頭系統(tǒng)�����,可以監(jiān)控誰(shuí)正在訪問哪些服務(wù)器。
- 訪問控制審核軟件����,連接到數(shù)字保護(hù)措施���,可以跟蹤訪問模式并標(biāo)記異常活動(dòng)(例如在一天中異常時(shí)間段訪問服務(wù)器機(jī)架)�。
對(duì)于數(shù)據(jù)中心運(yùn)營(yíng)商來說���,只需利用此類保護(hù)措施來實(shí)現(xiàn)機(jī)柜級(jí)機(jī)架安全即可。
機(jī)柜級(jí)安全的重要性
在某些方面�����,機(jī)柜級(jí)安全性似乎不如物理數(shù)據(jù)中心安全性的其他層那么重要�。畢竟���,如果你已經(jīng)建立了強(qiáng)大的保護(hù)措施來防止壞人進(jìn)入數(shù)據(jù)中心設(shè)施,那么真的還需要在各個(gè)機(jī)柜上再建立另一層保護(hù)嗎?
答案是肯定的����,因?yàn)樵谀承┣闆r下,輕易通過其他安全控制的人員可能會(huì)對(duì)個(gè)別服務(wù)器構(gòu)成威脅��。例如���,你可以想象如下場(chǎng)景:
- 有一名數(shù)據(jù)中心技術(shù)人員可以訪問數(shù)據(jù)中心設(shè)施所有部分,他心懷不滿�����,決定篡改設(shè)備����,對(duì)數(shù)據(jù)中心操作員造成傷害。
- 在托管設(shè)施中運(yùn)行服務(wù)器的一家公司的員工���,可以訪問另一家公司擁有的服務(wù)器����,以竊取數(shù)據(jù)���。
- 在應(yīng)對(duì)一次壓力很大的停電事件期間�����,一位善意的工程師由于錯(cuò)誤地訪問了錯(cuò)誤的機(jī)柜�����,意外地關(guān)閉了與故障無關(guān)的服務(wù)器。
在以上每種情況下���,那些允許訪問服務(wù)器機(jī)房的門禁卡或生物識(shí)別控制設(shè)備的人員,仍然對(duì)單個(gè)機(jī)柜中的服務(wù)器構(gòu)成了威脅�����,只有機(jī)架級(jí)安全控制能防止此類事件發(fā)生�。
另外請(qǐng)注意�,機(jī)柜級(jí)保護(hù)很重要�����,因?yàn)闄C(jī)柜和服務(wù)器是物理安全與數(shù)字安全相遇的地方���。一旦有人進(jìn)入了你的機(jī)柜,防止未經(jīng)授權(quán)的訪問這項(xiàng)工作就會(huì)轉(zhuǎn)移到數(shù)字保護(hù)上��,例如限制對(duì)服務(wù)器訪問的密碼���。機(jī)柜級(jí)物理保護(hù)是你在壞人入侵之前使用物理控制的最后一個(gè)機(jī)會(huì)�,因?yàn)槲锢砜刂坪茈y被黑客入侵���,通常是無法利用軟件漏洞來規(guī)避的。
數(shù)據(jù)中心機(jī)柜保護(hù)帶來的挑戰(zhàn)
雖然機(jī)柜級(jí)控制具有明顯的好處���,但也會(huì)帶來一些挑戰(zhàn)�。
最重要的是��,這種控制措施讓技術(shù)人員必須通過另一層身份驗(yàn)證才能完成工作�。在打開機(jī)架之前,必須掃描卡或指紋并不是特別耗時(shí)��,但當(dāng)工作人員需要進(jìn)入機(jī)柜解決時(shí)間敏感型問題的時(shí)候,如果數(shù)字鎖發(fā)生故障����,機(jī)柜級(jí)控制可能就會(huì)出現(xiàn)問題。
機(jī)柜級(jí)保護(hù)還增加了數(shù)據(jù)中心運(yùn)營(yíng)商的管理負(fù)擔(dān)�,因?yàn)檫@是需要建立細(xì)粒度的訪問控制設(shè)置來管理可以訪問各個(gè)機(jī)柜的人員����。在大多數(shù)情況下,這比管理整個(gè)設(shè)施或服務(wù)器機(jī)房的訪問權(quán)限更為復(fù)雜�,因?yàn)楹笳叩牧6炔荒敲醇?xì)化�。
機(jī)柜級(jí)保護(hù)的成本也是一個(gè)需要考慮的因素。相對(duì)于其他物理安全控制來說��,機(jī)柜級(jí)保護(hù)措施的成本并不是特別高�����,但會(huì)增加整體物理安全預(yù)算�。
所有這些挑戰(zhàn)都是可以解決的,沒有理由不采用機(jī)柜級(jí)控制�����。但是對(duì)于那些想要擴(kuò)展物理數(shù)據(jù)中心安全策略以保護(hù)單個(gè)機(jī)柜的組織來說��,應(yīng)該確保他們有一個(gè)計(jì)劃來克服這些挑戰(zhàn)�。
物理數(shù)據(jù)中心安全的最后一層
再多的高級(jí)物理安全控制也無法緩解影響單個(gè)服務(wù)器機(jī)柜及其內(nèi)部IT設(shè)備受到的某些威脅,這就是為什么利用數(shù)據(jù)中心機(jī)柜的現(xiàn)代化保護(hù)措施是任何數(shù)據(jù)中心物理安全策略的一個(gè)重要組成部分����。當(dāng)你限制了可以訪問每個(gè)機(jī)柜的人員��,監(jiān)控針對(duì)各個(gè)服務(wù)器機(jī)架的威脅時(shí)�����,你就縮小了物理安全操作中的一個(gè)關(guān)鍵差距����。
