Фізичний доступ до машини == можливість викорінити роботу машини.
Не дозволяйте нікому в серверну кімнату, кому ви не хочете надавати доступ до обладнання на машині. Або обмежте фізичний доступ (разом з KVM або іншими локальними / консольними засобами) до елементів керування машини, якщо ви збираєтесь дозволити іншим фізичний доступ до машинного приміщення.
Найкраща на мене практика - або заборонити повністю доступ до не-адміністраторів, забезпечити супровід безпеки в той час, коли хтось перебуває в серверній кімнаті, хто не має дозволу на глобальний доступ (тобто постачальники), або тримати апаратне забезпечення з блокованими ключами на місці та обмежити ключі до підмножини авторизованих користувачів / адміністраторів. Остання частина - найкраща практика для більшості приміщень для розміщення, де ви як клієнт будете орендувати простір.
Також: Якщо у вас є можливість, переконайтеся, що у вас є система "повітряного блокування", яка вимагає двох форм доступу, що запобігає "забиттю хвоста". У нашому випадку це замки з перфорацією та скануванням карт. Для входу у фойє потрібно пробити код у замок. Після того, як ви перебуваєте у фойє, вам потрібно сканувати ідентифікаційну картку, щоб увійти до фактичної кімнати сервера.
Окрім "Це дійсно гарна ідея", можуть бути визначені певні галузеві закони, закони чи нормативні акти. У навчальній чи урядовій установі у мене є конкретні закони, які я маю бути впевненими в застосуванні щодо доступу до інформації про студентів. Подібні вимоги існують і для компаній, які публічно торгуються; вони повинні відповідати SOX. Медична галузь або будь-яка галузь, яка обробляє пов’язану інформацію про особистість разом із історією хвороби, повинна слідувати HIPPA. Будь-яка компанія, яка зберігає операції з кредитними картками, повинна дотримуватися своїх торгових угод, які зазвичай ДУЖЕ чіткі щодо того, які машини можуть зберігати та хто має доступ до машин. Пробіг у вашій галузі може дійсно відрізнятися.