如何保障數據安全

時間 2019-11-12

原文原文鏈接

數據中心管理人員天天都會時刻關注數據中心的安全運營狀況。所以不管如何，安全性是其最重要的關注事項：html

保持網絡安全，保障資產不受網絡攻擊的影響。
沒有智能卡或沒有經過生物識別身份驗證掃描，任何人都沒法進入數據中心。
對進出數據中心的審計跟蹤。
對警告進行編程，能夠通知團隊是否存在安全漏洞。

數據中心的安全性取決於保護層面，大多數數據中心在應用防護層保護虛擬訪問和物理邊界方面作得很是出色。可是數據中心內運行的設備物理安全性如何呢?駐留在機櫃中的服務器是否受到物理訪問保護?
若是機櫃沒有上鎖，那麼就像於在家裏將貴重財物隨意放置而沒有鎖入保險櫃同樣。
linux

數據中心的物理安全編程

曾幾什麼時候，只需在機房入口處經過採用安全、可審覈的訪問控制來管理對數據中心的訪問就足夠了。只要可以確保沒有未經受權的人員不能訪問組織敏感數字基礎設施，而且只要可以向審覈人員提供這些合理安全措施的證據就能夠了。
數據中心須要知足不斷升級的監管要求，例如HIPAA、SOX、PCI DSS 3.2和SSAE 16等法規要求數據中心敏感系統和數據受其自身特定保護。
而後是應對組織內部的風險。內部威脅(包括人爲錯誤)仍然是形成數據中心停機的主要緣由之一。爲了幫助消除內部威脅，須要受信任的用戶只能訪問有權使用的特定機櫃。
如今數據中心大部分的安全措施都只是關注人員的出入，但不必定關注和跟蹤人員在進入數據中心內部初始安全層以後發生的事情。
所以，只是確保受權人員進入數據中心已經不夠了。組織必須跟蹤和監控他們對特定敏感系統的訪問權限，並確保他們對特定區域擁有正確的權限。而且，組織必須可以提供普遍的審計跟蹤，瞭解誰在什麼時候這些系統，以及每次都作了什麼事情。
做爲迴應，數據中心正在採用多種方法來提高機架級物理安全性和合規性：安全

能夠遠程管理電子機櫃鎖，以便使用企業安全策略和/或臨時管理在適當的人員和正確的系統之間映射適當的權限。
近距離卡片身份驗證，使受權人員能夠輕鬆快速訪問得到受權的機櫃或機架。
機架內部署可捕獲實時視頻和照片攝像頭，並自動標記相關數據(時間、日期、用戶ID、系統數據、操做等)，以便進行審計文檔和取證。
與DCIM和/或其餘出入系統和樓宇控制系統集成，以促進單點控制，並輕鬆整合全部與安全/合規相關的審計跟蹤。
加密和檢測安全措施，以確保得到機架級安全保護和審計系統的完整性。
實時警告/警報，通知適當的當事人須要當即關注的事件。

一樣重要的是，工做人員須要認識到其機架級控件的重要性，它們是數據中心基礎設施管理工做流程的一部分。提供SIEM分析和取證，支持向組織的內部和外部審計人員提供合規性文檔。它們甚至能夠在其餘過程當中發揮做用，例如捕獲和分析基於活動的數據中心成本。
機架級工具應與各類相關硬件和軟件很好地集成。機架級管理中的各類利益相關者(從一線技術人員到外部監管機構)必須對經過這些集成提供的數據和控制保持高度的信心。所以，除了從技術角度上有效地將機架級工具集成到更普遍的安全性和合規性流程以外，組織還必須確保技術和非技術利益相關者瞭解這些集成如何幫助他們完成各自的工做。
在理想狀況下，新機櫃控件的安裝應該很容易地用現有機櫃鎖進行改進，並與現有機架基礎設施(如PDU)即插即用，以即可以利用現有數據中心基礎設施，這將消除安裝單獨安全系統的成本、電纜和網絡佈線。固然，組織須要的軟件可與其現有的DCIM應用程序、資產跟蹤系統、LDAP/AD目錄服務等配合使用，以便共享數據。例如，用於構建訪問的感應卡系統使用的ID徽章憑證可用於創建直至機櫃級別的訪問權限。
企業無需對數據中心機櫃或機架進行全面改造，便可進行更好的機架級控制和審計。選擇附件的良好試驗計劃能夠爲組織提供所需的實際操做，以確保在準備執行更完整的部署時取得成功。服務器