数据中心

从外到内的数据中心安全

Shad Sechrist

虽然人们对网络安全日益关注,但数据中心的物理安全性有时会成为一个盲点。然而,随着对关键基础设施的攻击不断加剧,数据中心经理给予其应有的关注至关重要。

 

分层实现数据中心的物理安全性(依赖于多层控制)是物理保护数据中心的最佳方式。如果第一层防御被突破,那么攻击者还得继续破解第二层。这有望使未经授权的人更难访问您的数据中心。

 

以下是数据中心安全策略需要考虑的四个层面。

 

1. 边界安全

 

建筑边界可以成为您的第一道防线。尽管不是所有威胁都是从这里开始的,但有些威胁会不可避免地从建筑物的墙壁以外开始。

 

数据中心边界安全的目标是检测可能正在接近的潜在威胁,延缓对设施(或公用事业系统)的访问,阻止未经授权的人员到达入口或限制区域或楼层。

 

根据您场地的具体情况,边界安全可以采取多种形式:

 

  • 设施周围设置高大的障碍物,如防翻越围栏
  • 利用景观提供天然监视点,形成天然屏障
  • 上锁的入口大门,集成门禁系统
  • 设有传感器的围栏,可以检测运动并发送警报(入侵检测系统)
  • 高清监视系统,用于监控设施周围的活动,包括停车场、地界线和装卸区;内建视频分析可以读取车牌,并针对异常行为或活动发送警报
  • 外部照明可减少潜在的藏匿地点

 

2. 建筑层面安全

 

如果入侵者能够溜过边界并靠近您的设施,建筑层面安全将成为第二层防御。他们也许能到达您的外墙或入口,但他们能进入建筑吗?

 

建筑层面安全可包括以下措施,以限制人员进入设施:

 

  • 减少入口数量
  • 门禁控制系统,带防尾随功能,一次只允许一个人通过
  • 双重身份识别系统(生物识别+胸牌)
  • 访客管理系统,用于跟踪和监测进出人员,以及他们在现场可以进入哪些区域
  • 配备门卫,人工检查身份证件并控制人员出入
  • 设置陷阱间(mantrap),只有陷阱间的入口关闭并锁上后,建筑通道门才会打开
  • 高清监视系统,用于监控入口、走廊、公共区域;内建视频分析可以帮助进行面部识别

 

在这一层中,不仅要防范不法分子,还要防范自然灾害,这一点很重要。虽然这个话题值得单独讨论,但还要考虑烟雾探测系统、漏水检测系统、驱鼠系统和暖通空调系统的远程监测等至关重要的方面。它们都有助于及早发现问题,避免导致数据中心出现问题和停机。

 

3. 白色空间和灰色空间的安全性

 

如果未经授权的人员进入了您的设施,下一步是让他们远离您的生产楼层:数据中心的白色空间。这是专门用于安装IT设备和基础设施的区域。如果不法分子进入了您的白色空间,他们就可以接触到网络设备、机架、服务器、配电设施等等。

 

这个安全层面不仅要防范外部威胁,还要防范内部威胁——那些有权进入白色空间,但可能心怀恶意的人。

 

这个层面的数据中心安全可包括:

 

  • 减少入口数量
  • 门禁控制系统,带防尾随功能,一次只允许一个人通过
  • 双重身份识别系统(生物识别+胸牌)
  • 高清监视系统,用于监控数据中心入口、通道等;内建视频分析还可以帮助进行面部识别

 

这些相同的策略可用于保护数据中心的灰色空间。虽然它包含后端设备而不是IT设备,但未经授权的访问者仍然可以通过篡改冷却器、UPS系统或其他电气或机械系统对您的数据中心造成严重破坏。

 

4. 机柜和机架层面安全

 

数据中心安全的第四层也是最后一层涉及机柜的保护。如果一个未经授权的访问者或员工进入了您的数据中心,现在的目标是防止他们进入您的机柜。他们应该无法接触到里面的设备。

 

机柜层面安全可包括多个方案:

 

  • 键控机柜系统
  • 门禁卡身份验证或生物识别系统,可记录进入意图,并在需要时向指定工作人员发送警报
  • 可以远程锁定和解锁特定机柜的系统
  • 机柜内或房间内安装摄像头,可以拍摄视频和照片,记录打开机柜的人员及相应时间
  • 双重监护模式(需要两个用户在场才能进入)

 

机柜层面安全系统还应确保即使是受信任用户也只能进入其被授权操作的机柜。如果维修技术人员被授权操作特定的服务器机架,那他们就应该只能接触该机架。还应该设置广泛的审计追踪功能,详细说明有谁在何时接触过系统。这可以帮助满足HIPAA和PCI要求,详细记录接触您设备的人员,用于进行报告。

 

进一步了解数据中心安全

 

最后,务必要记住,物理层(即您的网络基础设施)需要能够支持这些物理安全技术。如果布线和连接导致传输错误,那您的安全系统就可能无法发挥预期的作用。

 

相关链接:

 

网络保护始于基本的数据中心安全

数据中心风险评估对您下一个项目的价值

数据中心解决方案