Фізична безпека сервера

Багато часу і стовпців витрачається на обговорення захисту сервера від зовнішніх атак. Це цілком справедливо, оскільки зловмисник легше використовувати Інтернет, щоб зламати ваш сервер, ніж їм отримати фізичний доступ.

Однак деякі ІТ-професіонали замовчують важливість фізичної безпеки сервера. Багато, якщо не більшість, найбільш грубих порушень безпеки здійснюються всередині організації.

• Як ви захищаєте ваші сервери від користувачів, які мають доступ на сайт, яким немає необхідності звертатися до самого сервера чи серверної кімнати?

Це просто біля столу ІТ-менеджера в кабінеті, або зачинений за декількома дверима з електронною карткою та біометричним доступом?

Після того, як хтось має фізичний доступ до серверів, які захисти існують, що перешкоджає або принаймні журналує доступ до чутливих даних, які вони не мають розумної потреби бачити?

Звичайно, це залежатиме від організації до організації, а бізнес потребує потреби бізнесу, але навіть сервери друку мають доступ до друкованих конфіденційних даних (контракти та інформація про співробітників), тому до цього є більше, ніж може здатися на перший погляд.

Всі наші виробничі сервери зберігаються в іншому куточку світу в надійному центрі обробки даних. Людини пастки, біометричні сканери, вся коробка та кістки.

Для машин, які знаходяться в нашому офісі, вони живуть у серверній кімнаті, доступ до якої можна отримати лише через проведену карту. Тільки у sysadmins є розгортка карт, які можуть отримати доступ до цієї області.

Коротше кажучи, якщо хтось фізично має свої руки на вашому комплекті, то ваші дані - їхні. Якщо це викликає достатню стурбованість, то пігпінг будь-якого цінного та розшифрування його на льоту - це велика вимога, але необхідна вимога.

редагувати: ви можете поширити це на питання фізичної безпеки вашого резервного носія. Яка користь - міцна фізична безпека, якщо ваші офсайди не такі чи більш захищені?

Обсяг фізичної безпеки, який вам потрібен, залежить від характеру та розміру вашого бізнесу, ІТ-персоналу тощо. Для більшості менших компаній хитрість буде заблокована двері та недорога камера безпеки.

Також важливим є забезпечення доступу до електричної шафи. Кидання вимикача проходить довгий шлях до вимкнення комп'ютерних систем.

Усі способи фізичної безпеки можна застосовувати за допомогою доступу до смарт-карт, підключення датчиків, важких дверей, ударних табличок, камер, надійних паролів, біометричних даних.

Проблема полягає в тому, коли електрикам потрібно провести електропроводку, підперти двері цеглою та відправитись на обід, не повідомляючи про це нікого. Це сталося один раз. На щастя, я прийшов через хвилини. Смішно, як цегла може обійти $ 10 тис. + Захищеність.

Ще одна річ. Остерігайтеся нетехнічних користувачів та їх дурості.

Наші виробничі сервери були безпечними в колокаційному центрі, але розробки в офісі. Як тільки прибиральниця не змогла знайти безкоштовну розетку, і підключила пилосос до ДБЖ серверів. На щастя, у нього була досить гучна тривога перевантаження, тому ми могли негайно реагувати.

Інший випадок (не знаю, наскільки це справжня чи міська легенда), де проходять загадкові простої одного з серверів щодня рано вранці. Ніхто не міг визначити проблему. У результаті вийшло, що охоронець на початку своєї зміни змінить один із серверів і підключить кавоварку. Хоча це "ніхто не помітив, це було всього 3 хвилини".

Наша будівля раніше була банком, тому ми тримаємо наші сервери у сховищі. Охолодження не велике, але у нас є лише півдесятка, і жодне з них не є надзвичайно потужним, тому це насправді не проблема.

Це частина міської легенди, частина правди.

UL: У компанії було побудовано нову комп'ютерну кімнату, і ІТ-адміністратор демонстрував заходи безпеки (пастка людини, проведіть картки тощо) одному зі своїх друзів. Друг кивнув головою, здається, дуже вражений. Через кілька хвилин вони розмовляють просто біля дверей, коли друг отримує ідею. Він повертається спиною до стіни і добре відштовхується, пробиваючи в стіні отвір гарного розміру. Потрібно сказати, що адміністратор зміцнив стіни перед тим, як переїхати.

Правда: невелика компанія орендує приміщення в багатоквартирній будівлі. Ключі від картки тощо. Протягом вихідних хтось пробив дірку в гіпсокартоні біля дверей та вкрав 20 комп’ютерів (включаючи сервер із усіма ліцензійними ключами)

Під гіпсокартоном нашого комп’ютерного залу у нас є шар металу.

Наша серверна кімната захищена за допомогою клавіатури. Тільки ІТ-персонал має клавішні картки, які відкриють двері, і лише відділ безпеки має контроль над доступом вашої клавіатури.

Потрапивши всередину серверної кімнати, всі сервери утримуються у закритих стійках. Передні та задні двері кожної стійки заблоковані, і ключі від стійки мають лише ІТ-персонал.

Ми також тримаємо шафи для мереж на всіх поверхах заблокованими, і лише члени команди Зручності мають ключі від цих дверей.

Якщо це невелика та середня компанія, ймовірно, у неї буде сервери в колокаційному центрі, якщо це велика корпорація, матиме власну.

Зазвичай це засоби фізичної безпеки, які ви згадали. Те, що ви не згадували, - це електромагнітне екранування, що запобігає підслуховуванню (є комерційно доступні продукти, здатні підслуховувати Ethernet зі скрученою парою з відстані в сто футів). Що стосується банків, це бункерні структури, які навіть могли б протистояти атакам ЕМП .

Також для центрів обробки даних характерно наявність принаймні двох фізичних місць, резервне копіювання у випадку якихось стихійних лих (повені, пожежі та будь-якому іншому). Звичайно, це власне джерело живлення, не тільки ДБЖ, але і генераторів.

Попросіть свого ІТ-персоналу (і, якщо можливо, друга поліції / резервіста чи когось із сфери безпеки) якийсь день сидіти в кімнаті. Дивіться кросівки, місія неможлива та океани 11.

Тоді придумай кожен сценарій, коли хтось би ввірвався до кімнати. Під підлогою, крізь стіни, перемігши дверний замок, через стелю, через отвори.

Потім шаруйте свою безпеку.

Використовуйте двері, замки, бетонні та металеві прутки / решітки, щоб зробити приміщення максимально непрозорим.

Потім припустимо, що ваш перший рядок безпеки порушено.

Датчики руху, безшумний сигнал, звуковий сигнал - все добре.

Замки на всіх стелажах утримують людей (або сповільнюють їх).

Кілька камер (поза дверима та в серверній кімнаті), які входять у окрему кімнату / майданчик, є відмінним стримуючим фактором.

Як бічна примітка, не забувайте про забезпечення резервного копіювання.

Моя робота обертається навколо чогось, що є, ах, не настільки критично ... тому безпека не така жорстка, як " Залізна гора " або щось подібне. Однак ...

Серверна кімната знаходиться на другому поверсі будівлі, в якій використовуються 6-дюймові бетонні стіни. Первісна точка входу назовні вимагає ключа (і проходу повз працівників передньої стійки). Друга точка входу вимагає іншого ключа. Третя точка входу потрібен третій ключ, і на дверях використовується скло з дротяної сітки для запобігання випадкових нападів, хоча, мабуть, хтось із бензопилою, дроселем або іншими галасливими / нав'язливими / очевидними засобами нападу потрапить через весь об'єкт, накритий камерами, що працюють на відеореєстраторах, які фіксують рух 24/7, і самі відеореєстратори закріплюються аналогічно.

Резервні копії зберігаються в серверній кімнаті в медіа-номінальній пожежній вставці, яку потім поміщають всередину додаткової пожежної безпеки. Резервне копіювання за межами сайтів приймає безпосередньо менеджер з інформаційних технологій, який проживає в будинку, який перебуває у тривозі (і я впевнений, що в ньому також є сейф).

Ні, я не розробляв фізичну безпеку і не визначаю політику щодо фізичної безпеки. Місце продає ящики з капустою та апельсинами і що-небудь ще, тому це не так, як ми займаємося справою військової чи державної таємниці ...

Залежно від ваших даних, ви можете розглянути питання щодо нагляду.

Я знаю один центр обробки даних - я не отримав до нього доступ, але це зробили мої товариші по команді. Вам потрібен ідентифікатор фотографії та авторизація доступу. Тож у випадку з нашою командою, яка відвідувала її лише рідко, нам доводилося отримувати лист від нашого директора про доступ до наших серверів.

Як тільки вони вирішили впустити вас, вони візьмуть друк великого пальця і ​​повісять на вас стандартний знак / карту доступу. Тоді вас провели двоє людей, технічний супровід та охоронець. Я розумію, що ідея полягала в тому, щоби техніка побачила, що ти робиш щось, що йому не подобається, він встановив на тебе охоронця, щоб завадити робити все, що було.

Це був центр обробки даних, який проводив сервери для великих міжнародних банків Лондонського міста.

Ха-ха, я знав, що люди сприймають безпеку серйозно, але біометричні показники? ментальний. Я припускаю, що це дійсно залежить від характеру збережених вами даних. Мені довелося дослідити невеликий розмір для нашої дизайнерської компанії, і ми знайшли хороший матеріал на GuruOnline, багато відомостей про безпеку мережі та ін. Це досить просто, але може бути гарним початком ...

Прибиральниця з гувером та охоронцем з кавомашиною. ха-ха. принаймні їм не платять, щоб знати всі IT-матеріали. ось справжня історія Хеллоуїна.

наш ІТ-менеджер вирішив продовжувати роботу та кинути роботу. керівник компанії найняв якогось хитрого, хто не мав уявлення про ІТ, але вони пішли в ту саму шикарну школу, тому я гадаю, що на інтерв'ю вони говорили b0llox про старі часи, веслуючі виклики, випивки та дівчат.

На своєму другому тижні новий ІТ-менеджер зайшов до серверної кімнати і залишився кілька годин, ознайомившись із налаштуваннями (я досі не маю уявлення, що він там робив). оскільки повітряні значки там досить сильні, він вимкнув їх. після кількох годин жартування він пішов додому (можливо, дуже задоволений, можливо навіть буквально - я не виключаю можливості, щоб він дивився там p0rn). звичайно, він дуже втомився (довгі години багато шуму тощо), тож він природно забув переключити повітряну стрілку назад.

до ранку сервер бази даних був повністю готовий до зупинки, а 2 наступні сервери вийшли з ладу протягом наступних 2 днів.

а ви кажете, що прибирає. вона, безумовно, зробила б кращу роботу (особливо за суму, яку йому заплатили). Єдиний хороший матеріал у цій історії полягає в тому, що весь відділ ІТ, кожен з нас, один за одним ходив до доктора медичних наук і сказав, що це буде катастрофою, якщо він залишиться. на щастя, МД зрозумів, що щось дійсно не так, якщо всі сказали це і запустили idi0t.