如何保障資料安全

安全劍客發表於2018-11-01

資料中心管理人員每天都會時刻關注資料中心的安全運營情況。因此無論如何,安全性是其最重要的關注事項:

保持網路安全,保障資產不受網路攻擊的影響。
沒有智慧卡或沒有透過生物識別身份驗證掃描,任何人都無法進入資料中心。
對進出資料中心的審計跟蹤。
對警告進行程式設計,可以通知團隊是否存在安全漏洞。

資料中心的安全性取決於保護層面,大多數資料中心在應用防禦層保護虛擬訪問和物理邊界方面做得非常出色。但是資料中心內執行的裝置物理安全性如何呢?駐留在機櫃中的伺服器是否受到物理訪問保護?
如果機櫃沒有上鎖,那麼就像於在家裡將貴重財物隨意放置而沒有鎖入保險櫃一樣。
如何保障資料安全如何保障資料安全

資料中心的物理安全

曾幾何時,只需在機房入口處透過採用安全、可稽核的訪問控制來管理對資料中心的訪問就足夠了。只要能夠確保沒有未經授權的人員不能訪問組織敏感數字基礎設施,並且只要能夠向稽核人員提供這些合理安全措施的證據就可以了。
資料中心需要滿足不斷升級的監管要求,例如HIPAA、SOX、PCI DSS 3.2和SSAE 16等法規要求資料中心敏感系統和資料受其自身特定保護。
然後是應對組織內部的風險。內部威脅(包括人為錯誤)仍然是造成資料中心停機的主要原因之一。為了幫助消除內部威脅,需要受信任的使用者只能訪問有權使用的特定機櫃。
現在資料中心大部分的安全措施都只是關注人員的出入,但不一定關注和跟蹤人員在進入資料中心內部初始安全層之後發生的事情。
因此,只是確保授權人員進入資料中心已經不夠了。組織必須跟蹤和監控他們對特定敏感系統的訪問許可權,並確保他們對特定區域擁有正確的許可權。並且,組織必須能夠提供廣泛的審計跟蹤,瞭解誰在何時這些系統,以及每次都做了什麼事情。
作為回應,資料中心正在採用多種方法來提升機架級物理安全性和合規性:

可以遠端管理電子機櫃鎖,以便使用企業安全策略和/或臨時管理在適當的人員和正確的系統之間對映適當的許可權。
近距離卡片身份驗證,使授權人員可以輕鬆快速訪問獲得授權的機櫃或機架。
機架內部署可捕獲實時影片和照片攝像頭,並自動標記相關資料(時間、日期、使用者ID、系統資料、操作等),以便進行審計文件和取證。
與DCIM和/或其他出入系統和樓宇控制系統整合,以促進單點控制,並輕鬆整合所有與安全/合規相關的審計跟蹤。
加密和檢測安全措施,以確保獲得機架級安全保護和審計系統的完整性。
實時警告/警報,通知適當的當事人需要立即關注的事件。

同樣重要的是,工作人員需要認識到其機架級控制元件的重要性,它們是資料中心基礎設施管理工作流程的一部分。提供SIEM分析和取證,支援向組織的內部和外部審計人員提供合規性文件。它們甚至可以在其他過程中發揮作用,例如捕獲和分析基於活動的資料中心成本。
機架級工具應與各種相關硬體和軟體很好地整合。機架級管理中的各種利益相關者(從一線技術人員到外部監管機構)必須對透過這些整合提供的資料和控制保持高度的信心。因此,除了從技術角度上有效地將機架級工具整合到更廣泛的安全性和合規性流程之外,組織還必須確保技術和非技術利益相關者瞭解這些整合如何幫助他們完成各自的工作。
在理想情況下,新機櫃控制元件的安裝應該很容易地用現有機櫃鎖進行改進,並與現有機架基礎設施(如PDU)即插即用,以便可以利用現有資料中心基礎設施,這將消除安裝單獨安全系統的成本、電纜和網路佈線。當然,組織需要的軟體可與其現有的DCIM應用程式、資產跟蹤系統、LDAP/AD目錄服務等配合使用,以便共享資料。例如,用於構建訪問的感應卡系統使用的ID徽章憑證可用於建立直至機櫃級別的訪問許可權。
企業無需對資料中心機櫃或機架進行全面改造,即可進行更好的機架級控制和審計。選擇附件的良好試驗計劃可以為組織提供所需的實際操作,以確保在準備執行更完整的部署時取得成功。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2218317/,如需轉載,請註明出處,否則將追究法律責任。

相關文章