从外到内的数据中心安全

 

分层处理物理数据中心安全—依靠多级控制—是物理保护数据中心的最佳方式。如果第一层防御被突破，那么攻击者就必须攻击第二层。这有望使未经授权的人员更难访问您的 数据中心。

 

以下是数据中心安全策略需要考虑的四个层面。

 

1.周边安全

 

在建筑物周边存在建立第一道防线的机会。虽然并非所有威胁都始于这里，但有些威胁不可避免地会始于您的建筑物’墙外。

 

数据中心边界安全的目标是检测可能正在接近的潜在威胁，延缓对设施（或公用事业系统）的访问，阻止未经授权的人员到达入口或限制区域或楼层。

 

根据您场地的具体情况，边界安全可以采取多种形式：

 

• 设施周围设置高大的障碍物，如防翻越围栏
• 利用景观提供天然监视点，形成天然屏障
• 上锁的入口大门，集成门禁系统
• 设有传感器的围栏，可以检测运动并发送警报（入侵检测系统）
• 高清监视系统，用于监控设施周围的活动，包括停车场、地界线和装卸区；内建视频分析可以读取车牌，并针对异常行为或活动发送警报
• 外部照明可减少潜在的藏匿地点

 

2.楼宇级安全

 

如果入侵者能够越过边界并靠近您的设施，那么建筑级别的安全将充当第二层防御。它们也许能够到达您的外墙或入口，但它们能进入里面吗？

 

建筑层面安全可包括以下措施，以限制人员进入设施：

 

• 减少入口数量
• 门禁控制系统，带防尾随功能，一次只允许一个人通过
• 双重身份识别系统（生物识别+胸牌）
• 访客管理系统，用于跟踪和监控进出人员—以及他们在现场时可以访问哪些内容’
• 配备门卫，人工检查身份证件并控制人员出入
• 设置陷阱间（mantrap），只有陷阱间的入口关闭并锁上后，建筑通道门才会打开
• 高清监视系统，用于监控入口、走廊、公共区域；内建视频分析可以帮助进行面部识别

 

在这一层中，’不仅要防范不良行为者，还要防范自然灾害，这一点很重要。虽然这个话题值得单独讨论，但它’考虑烟雾探测系统、漏水探测系统、驱鼠系统和 HVAC 系统的远程监控至关重要。它们都可以帮助及早发现问题，避免导致 数据中心 出现问题和停机。

 

3.白色空间和灰色空间的安全性

 

如果未经授权的人员进入您的设施，下一步就是让他们远离您的生产车间：数据中心’的 空白区域。这是专门用于 IT 设备和基础设施的区域。如果有恶意行为者进入您的白空间，那么他们就可以访问网络设备、机架、服务器、配电等。

 

此安全层不仅要防御不必要的威胁，还要防御内部威胁—被授权访问白色空间但可能怀有恶意的人。

 

这个层面的数据中心安全可包括：

 

• 减少入口数量
• 门禁控制系统，带防尾随功能，一次只允许一个人通过
• 双重身份识别系统（生物识别+胸牌）
• 高清监视系统，用于监控数据中心入口、通道等；内建视频分析还可以帮助进行面部识别

 

这些相同的策略可用于保护您的数据中心’的灰色空间。尽管它包含后端设备而不是 IT 设备，但未经授权的访客仍然可以通过篡改冷水机组、UPS 系统或其他电气或机械系统对您的 数据中心 造成严重破坏。

 

4.机柜级和机架级安全性

 

数据中心安全的第四层也是最后一层涉及 保护机柜。如果未经授权的访客或员工碰巧进入您的数据中心，目标就是阻止他们进入您的机柜。他们不应该’无法接触到里面的装备。

 

机柜层面安全可包括多个方案：

 

• 键控机柜系统
• 门禁卡身份验证或生物识别系统，可记录进入意图，并在需要时向指定工作人员发送警报
• 可以远程锁定和解锁特定机柜的系统
• 柜内或室内摄像头，可捕捉’谁在何时进入柜子—的视频和照片
• 双重监护模式（需要两个用户在场才能进入）

 

机柜级安全系统还应确保即使是受信任的用户也只能访问他们所信任的机柜’重新授权继续工作。如果服务技术人员被授权在特定的服务器机架上工作，那么他们应该只能访问该机架。还应该有详尽的审计跟踪，详细说明谁在何时接触了系统。这有助于满足 HIPAA 和 PCI 要求，详细说明谁访问了您的设备以用于报告目的。

 

进一步了解数据中心安全

 

最后，’务必记住，—您的网络基础设施—的物理层需要能够支持这些物理安全技术。如果布线和连接导致传输错误，那么您的安全系统可能无法按预期运行。

 

相关链接：

 

网络保护始于基本的数据中心安全

数据中心风险评估对您下一个项目的价值

数据中心解决方案