Bảo mật máy chủ vật lý

Rất nhiều thời gian và các cột được dành để thảo luận về việc bảo vệ máy chủ khỏi các cuộc tấn công bên ngoài. Điều này là hoàn toàn hợp lệ vì kẻ tấn công sử dụng Internet để phá vỡ máy chủ của bạn dễ dàng hơn so với việc họ có quyền truy cập vật lý.

Tuy nhiên, một số chuyên gia CNTT nhấn mạnh tầm quan trọng của bảo mật máy chủ vật lý. Nhiều, nếu không phải hầu hết, các vi phạm nghiêm trọng nhất về an ninh được thực hiện từ bên trong tổ chức.

• Làm thế nào để bạn bảo vệ máy chủ của mình khỏi người dùng có quyền truy cập tại chỗ, những người không có nhu cầu truy cập vào máy chủ hoặc phòng máy chủ?

Có phải nó nằm ngay cạnh bàn của người quản lý CNTT trong một tủ, hoặc bị khóa sau vài cánh cửa với thẻ điện tử và truy cập sinh trắc học?

Khi ai đó có quyền truy cập vật lý vào máy chủ, có biện pháp bảo vệ nào ngăn chặn hoặc ít nhất là đăng nhập, truy cập vào dữ liệu nhạy cảm mà họ không có nhu cầu hợp lý để xem?

Tất nhiên điều này sẽ thay đổi từ tổ chức này sang tổ chức khác và nhu cầu kinh doanh cần kinh doanh, nhưng ngay cả các máy chủ in cũng có quyền truy cập vào dữ liệu nhạy cảm (hợp đồng và thông tin nhân viên) được in, vì vậy có nhiều thứ hơn là có thể xuất hiện ngay từ cái nhìn đầu tiên.

Tất cả các máy chủ sản xuất của chúng tôi được lưu trữ ở phía bên kia của thế giới trong một trung tâm dữ liệu vững chắc. Man bẫy, máy quét sinh trắc học, toàn bộ hộp và súc sắc.

Đối với các máy đang ở trong văn phòng của chúng tôi, chúng sống trong phòng máy chủ, chỉ có thể truy cập thông qua thẻ quẹt. Chỉ các sysadins có thẻ quẹt có thể truy cập vào khu vực đó.

Nói tóm lại, nếu ai đó thực sự có tay trên bộ của bạn, thì dữ liệu của bạn là của họ. Nếu đây là một mối quan tâm đầy đủ thì việc lấy bất cứ thứ gì có giá trị và giải mã nó ngay lập tức là một yêu cầu nặng nề nhưng cần thiết.

chỉnh sửa: bạn có thể mở rộng điều này cho các câu hỏi về bảo mật vật lý của phương tiện sao lưu của bạn. Điều gì tốt là bảo mật vật lý vững chắc nếu trang web của bạn không an toàn hoặc nhiều hơn?

Số lượng bảo mật vật lý bạn cần phụ thuộc vào tính chất và quy mô của doanh nghiệp, nhân viên CNTT, v.v ... Đối với hầu hết các công ty nhỏ hơn, một cánh cửa bị khóa và camera an ninh rẻ tiền sẽ thực hiện thủ thuật.

Đảm bảo truy cập vào tủ điện cũng quan trọng. Ném một máy cắt đi một chặng đường dài hướng tới việc tắt các hệ thống máy tính.

Tất cả các cách bảo mật vật lý có thể được thực hiện với quyền truy cập thẻ thông minh, cảm biến prox, cửa nặng, tấm đá, máy ảnh, mật khẩu mạnh, sinh trắc học ..

Vấn đề là khi các thợ điện cần làm hệ thống dây điện, đẩy cửa mở bằng gạch và đi ăn trưa mà không thông báo cho bất kỳ ai. Nó đã xảy ra một lần. May mắn thay tôi đến trong khoảnh khắc sau đó. Thật buồn cười là một viên gạch có thể phá vỡ $ 10k + bảo mật.

Cái khác. Cẩn thận với người dùng phi kỹ thuật và sự ngu ngốc của họ.

Các máy chủ sản xuất của chúng tôi đã an toàn tại trung tâm colocation, nhưng các máy chủ phát triển trong văn phòng. Khi người phụ nữ dọn dẹp không thể tìm thấy ổ cắm điện miễn phí và cắm máy hút bụi vào UPS của máy chủ. May mắn thay, nó có báo động quá tải khá lớn, vì vậy chúng tôi có thể phản ứng kịp thời.

Một trường hợp khác (không biết có bao nhiêu truyền thuyết thực hay đô thị), nơi có thời gian chết bí ẩn của một trong những máy chủ mỗi ngày vào sáng sớm. Không ai có thể xác định vấn đề. Kết quả là, nhân viên bảo vệ khi bắt đầu ca làm việc của anh ta sẽ rút phích cắm của một trong các máy chủ và cắm vào máy pha cà phê. Anh ta nói rằng "không ai để ý, chỉ 3 phút thôi".

Tòa nhà của chúng tôi từng là một ngân hàng, vì vậy chúng tôi giữ máy chủ của mình trong kho tiền. Làm mát không phải là tuyệt vời, nhưng chúng tôi chỉ có nửa tá, và không ai trong số họ mạnh mẽ cả, vì vậy nó không thực sự là một vấn đề.

Đây là một phần truyền thuyết đô thị, một phần sự thật.

UL: Một công ty đã xây dựng một phòng máy tính mới và quản trị viên CNTT đã thể hiện các biện pháp bảo mật (bẫy người, quẹt thẻ, v.v.) cho một trong những người bạn của anh ta. Người bạn gật đầu dường như rất ấn tượng. Vài phút sau hai người đang nói chuyện ngay bên ngoài cửa thì người bạn có ý kiến. Anh ta quay lưng vào tường và cho nó một cú đá tốt, phá vỡ một lỗ có kích thước tốt trên tường. Không cần phải nói, quản trị viên đã củng cố các bức tường trước khi chuyển đến.

Sự thật: Công ty nhỏ cho thuê mặt bằng trong một tòa nhà nhiều người thuê. Chìa khóa thẻ, v.v ... Cuối tuần qua, một người nào đó đã đục một lỗ trên vách thạch cao bên cạnh cửa và lấy trộm 20 máy tính (bao gồm cả máy chủ có tất cả các khóa cấp phép)

Chúng tôi có một lớp kim loại dưới vách thạch cao của phòng máy tính.

Phòng máy chủ của chúng tôi được bảo vệ thông qua thẻ khóa. Chỉ nhân viên CNTT mới có thẻ khóa sẽ mở cửa và chỉ bộ phận Bảo mật mới kiểm soát quyền truy cập của thẻ khóa của bạn.

Khi ở trong phòng máy chủ, tất cả các máy chủ được giữ trong các giá đỡ kín. Cửa trước và cửa sau của mỗi giá được khóa và chỉ nhân viên CNTT mới được cung cấp khóa giá.

Chúng tôi cũng giữ các tủ mạng trên tất cả các tầng bị khóa và chỉ các thành viên của nhóm Tiện nghi có chìa khóa cho các cửa này.

Nếu đó là công ty vừa và nhỏ, có lẽ sẽ có máy chủ ở trung tâm colocation, nếu là tập đoàn lớn, sẽ có công ty riêng.

Điều này thường cung cấp bảo mật vật lý có nghĩa là bạn đã đề cập. Những gì bạn đã không đề cập là che chắn điện từ, ngăn chặn nghe lén (có những sản phẩm thương mại có khả năng nghe lén Ethernet xoắn đôi từ khoảng cách hàng trăm feet). Trong trường hợp của các ngân hàng, đây là những cấu trúc giống như hầm ngầm, thậm chí có thể chịu được các cuộc tấn công EMP .

Đây cũng là điển hình cho trung tâm dữ liệu, có ít nhất hai vị trí thực tế, để có bản sao lưu trong trường hợp xảy ra một số loại thảm họa tự nhiên (lũ lụt, hỏa hoạn, bất cứ điều gì). Tất nhiên đó là nguồn cung cấp năng lượng riêng, không chỉ UPS, mà cả máy phát điện.

Để nhân viên CNTT của bạn (và nếu có thể, một sĩ quan cảnh sát / người bạn dự bị hoặc một người nào đó trong lĩnh vực an ninh) ngồi trong phòng một ngày nào đó. Xem Sneakers, Nhiệm vụ bất khả thi và Đại dương 11.

Sau đó đưa ra mọi kịch bản mà ai đó sẽ đột nhập vào phòng. Dưới sàn nhà, xuyên qua các bức tường, đánh bại khóa cửa, xuyên qua trần nhà, qua các lỗ thông hơi.

Sau đó, lớp bảo mật của bạn.

Sử dụng cửa, ổ khóa, bê tông và thanh kim loại / lưới để làm cho căn phòng không thấm nước càng tốt.

Sau đó, giả sử rằng dòng bảo mật đầu tiên của bạn bị vi phạm.

Cảm biến chuyển động, báo động im lặng, báo động âm thanh đều tốt.

Khóa trên tất cả các giá đỡ giữ mọi người ra ngoài (hoặc làm chậm chúng).

Một vài máy ảnh (bên ngoài cửa và trong phòng máy chủ) đăng nhập vào một phòng / trang web riêng biệt là một công cụ ngăn chặn tuyệt vời.

Là một lưu ý phụ, đừng quên bảo mật các bản sao lưu.

Công việc của tôi xoay quanh một thứ gì đó, à, không quan trọng lắm ... vì vậy an ninh không chặt chẽ như " Núi sắt " hay somesuch. Tuy nhiên...

Phòng máy chủ nằm trên tầng hai của tòa nhà sử dụng tường bê tông 6 ". Điểm vào ban đầu bên ngoài cần có chìa khóa (và vượt qua nhân viên quầy trước). Điểm vào thứ hai yêu cầu khóa khác . Điểm vào thứ ba yêu cầu khóa thứ ba và cửa sử dụng kính lưới thép để ngăn chặn các cuộc tấn công thông thường, mặc dù tôi đoán ai đó có cưa máy, ống thổi hoặc các phương tiện tấn công ồn ào / khó chịu / rõ ràng khác sẽ vượt qua. Toàn bộ cơ sở được lắp camera trên các DVR ghi lại chuyển động 24/7 và bản thân các DVR được bảo mật theo cách tương tự.

Các bản sao lưu được lưu trữ trong phòng máy chủ trong một bộ chèn an toàn chống cháy được xếp hạng phương tiện, sau đó được đặt bên trong một bộ an toàn chống cháy bổ sung. Sao lưu ngoại vi được thực hiện trực tiếp bởi Giám đốc CNTT, người sống trong một ngôi nhà được báo động (và tôi chắc chắn cũng có một két an toàn tại chỗ).

Không, tôi không thiết kế bảo mật vật lý, tôi cũng không xác định chính sách về bảo mật vật lý. Nơi bán hộp bắp cải và cam và không có gì, vì vậy không giống như chúng ta đang kinh doanh xử lý các bí mật quân sự hoặc nhà nước ...

Tùy thuộc vào dữ liệu của bạn, bạn có thể muốn xem xét giám sát.

Một trung tâm dữ liệu mà tôi biết - tôi đã không truy cập nhưng các đồng đội của tôi thì có. Bạn cần id ảnh và ủy quyền để truy cập. Vì vậy, trong trường hợp nhóm của chúng tôi chỉ ghé thăm nó hiếm khi chúng tôi phải nhận được thư của giám đốc để truy cập máy chủ của chúng tôi.

Khi họ quyết định cho bạn vào, họ sẽ in một ngón tay cái và treo huy hiệu / thẻ truy cập tiêu chuẩn lên bạn. Sau đó, bạn được hộ tống bởi hai người, một người hộ tống kỹ thuật và một nhân viên bảo vệ. Tôi hiểu ý tưởng là nếu người kỹ thuật thấy bạn làm điều gì đó mà anh ta không thích anh ta đặt nhân viên bảo vệ cho bạn để ngăn bạn làm bất cứ điều gì.

Đây là một trung tâm dữ liệu tổ chức các máy chủ cho các ngân hàng quốc tế lớn ở Thành phố Luân Đôn.

Ha ha, tôi biết mọi người coi trọng an ninh, nhưng sinh trắc học? tâm thần. Tôi cho rằng nó thực sự phụ thuộc vào bản chất của dữ liệu bạn đã lưu trữ. Tôi đã phải nghiên cứu một thiết lập kích thước nhỏ cho công ty thiết kế của chúng tôi và chúng tôi đã tìm thấy một số nội dung hay trên GuruOnline, rất nhiều vids về bảo mật và công cụ mạng. Nó khá cơ bản nhưng có thể là một khởi đầu tốt ...

Người phụ nữ dọn dẹp với một người bảo vệ và bảo vệ với một máy pha cà phê. ha-ha. ít nhất họ không được trả tiền để biết tất cả những thứ về CNTT. đây là câu chuyện halloween có thật

quản lý CNTT của chúng tôi quyết định tiếp tục và bỏ việc. giám đốc quản lý công ty đã thuê một số người không biết gì về CNTT nhưng họ đã học cùng một trường sang trọng nên tôi cho rằng trong cuộc phỏng vấn họ đã nói về b0llox về thời xưa, những thử thách chèo thuyền, say rượu và những cô gái.

vào tuần thứ hai, người quản lý CNTT mới đến phòng máy chủ và ở lại sau nhiều giờ để làm quen với thiết lập (tôi vẫn không biết anh ta đang làm gì ở đó). bởi vì aircons khá mạnh trong đó nên anh tắt chúng đi. Sau vài giờ đùa giỡn anh ấy về nhà (có lẽ rất hài lòng, thậm chí có thể theo nghĩa đen - tôi không loại trừ khả năng anh ấy xem p0rn ở đó). chắc chắn anh ấy đã rất mệt mỏi (nhiều giờ ồn ào, v.v.) nên anh ấy tự nhiên quên chuyển máy lạnh trở lại.

Đến sáng, máy chủ cơ sở dữ liệu đã được nấu hoàn toàn để tạm dừng và 2 máy chủ khác đã thất bại trong 2 ngày tới.

và bạn nói phụ nữ dọn dẹp. cô ấy chắc chắn sẽ làm việc tốt hơn (đặc biệt là số tiền anh ta được trả). điều tốt duy nhất trong câu chuyện đó là toàn bộ bộ phận CNTT, mỗi người chúng tôi đã đến MD từng người một và nói rằng đó sẽ là một thảm họa nếu anh ta ở lại. may mắn thay MD nhận ra rằng đó là một cái gì đó thực sự sai nếu mọi người nói điều đó và sa thải idi0t.