你已經很好地保護了數據中心周邊的安全。你建立了設施控制來保護入口,鎖定了伺服器機房並部署了多種物理身份驗證因素來控制機架訪問權限。你確信自己已經盡一切可能維護了物理數據中心的安全。
不幸的是,你的物理安全策略仍然存在空白。你還沒有解決所謂數據中心安全「第四層」帶來的風險,這一層安全的重點是保護單個伺服器機櫃。因此,你仍然容易受到惡意內部人員等威脅。
如果沒有機櫃級控制,任何物理數據中心安全策略都是不完整的。下面就讓我們來深入地了解一下機櫃級安全的含義,解開數據中心物理安全第四層、也是最後一層的神秘面紗。
數據中心安全的四層
要了解機櫃安全在整個數據中心物理安全策略的位置,那麼採用國際自動化協會對物理數據中心安全四層的定義就變得非常有用了。這一理念將物理安全控制分解如下:
第1層——周邊安全:數據中心物理安全的基礎是通過阻止和監控對數據中心所在位置未經授權的訪問來保護其周邊的,目標是防止威脅行為者跳過柵欄或闖入窗戶等風險。
第2層——設施控制:設施控制是限制可以通過數據中心合法入口人員的一項措施,例如門禁卡和生物特徵認證設備。
第3層——伺服器機房控制:第3層側重於保護對數據中心內伺服器所在房間的訪問。由於這是數據中心的核心,因此你應該建立一套單獨的訪問控制和監控解決方案,以防止未經授權人訪問任何包含IT設備的房間。
第4層——機櫃控制:你一定不想讓設法潛入伺服器機房的威脅行為者肆意妄為。這時候,數據中心物理安全的第四層也是最後一層就要發揮作用了,它會管理對各個伺服器機櫃的訪問的設備來提供最後一層防線。
只有當你在每一層都建立了嚴格的安全控制和可見性時,這樣才能認為你的物理安全策略是完整的。
什麼是機櫃級安全?
了解安全層的一到三層非常簡單。周邊屏障和監控系統,以及通過門禁卡或生物識別身份驗證設備限制開門和進入房間的人員,這並不是什麼新鮮事。
但至少對於一些數據中心運營商來說,機櫃級安全控制往往是一個更新穎的概念。除了用鑰匙鎖機櫃(在多人需要打開柜子的情況下,這種做法在流程上很複雜)之外,一般來說投資使用先進的機櫃級保護措施並不常見。
但這並不意味著這樣的保護措施不存在,實際上有多種可以保護機櫃的解決方案,例如:
保護措施與管理數據中心其他部分的門禁卡數字訪問控制系統進行集成,讓操作員可以使用集中式系統管理多層安全的訪問權限。
保護措施需要生物識別身份驗證(例如指紋掃描)才能打開,這些措施還可以與更大規模的身份驗證系統集成。
安全室內的攝像頭系統,可以監控誰正在訪問哪些伺服器。
訪問控制審核軟體,連接到數字保護措施,可以跟蹤訪問模式並標記異常活動(例如在一天中異常時間段訪問伺服器機架)。
對於數據中心運營商來說,只需利用此類保護措施來實現機櫃級機架安全即可。
機櫃級安全的重要性
在某些方面,機櫃級安全性似乎不如物理數據中心安全性的其他層那麼重要。畢竟,如果你已經建立了強大的保護措施來防止壞人進入數據中心設施,那麼真的還需要在各個機柜上再建立另一層保護嗎?
答案是肯定的,因為在某些情況下,輕易通過其他安全控制的人員可能會對個別伺服器構成威脅。例如,你可以想像如下場景:
有一名數據中心技術人員可以訪問數據中心設施所有部分,他心懷不滿,決定篡改設備,對數據中心操作員造成傷害。
在託管設施中運行伺服器的一家公司的員工,可以訪問另一家公司擁有的伺服器,以竊取數據。
在應對一次壓力很大的停電事件期間,一位善意的工程師由於錯誤地訪問了錯誤的機櫃,意外地關閉了與故障無關的伺服器。
在以上每種情況下,那些允許訪問伺服器機房的門禁卡或生物識別控制設備的人員,仍然對單個機櫃中的伺服器構成了威脅,只有機架級安全控制能防止此類事件發生。
另外請注意,機櫃級保護很重要,因為機櫃和伺服器是物理安全與數字安全相遇的地方。一旦有人進入了你的機櫃,防止未經授權的訪問這項工作就會轉移到數字保護上,例如限制對伺服器訪問的密碼。機櫃級物理保護是你在壞人入侵之前使用物理控制的最後一個機會,因為物理控制很難被黑客入侵,通常是無法利用軟體漏洞來規避的。
數據中心機櫃保護帶來的挑戰
雖然機櫃級控制具有明顯的好處,但也會帶來一些挑戰。
最重要的是,這種控制措施讓技術人員必須通過另一層身份驗證才能完成工作。在打開機架之前,必須掃描卡或指紋並不是特別耗時,但當工作人員需要進入機櫃解決時間敏感型問題的時候,如果數字鎖發生故障,機櫃級控制可能就會出現問題。
機櫃級保護還增加了數據中心運營商的管理負擔,因為這是需要建立細粒度的訪問控制設置來管理可以訪問各個機櫃的人員。在大多數情況下,這比管理整個設施或伺服器機房的訪問權限更為複雜,因為後者的粒度不那麼細化。
機櫃級保護的成本也是一個需要考慮的因素。相對於其他物理安全控制來說,機櫃級保護措施的成本並不是特別高,但會增加整體物理安全預算。
所有這些挑戰都是可以解決的,沒有理由不採用機櫃級控制。但是對於那些想要擴展物理數據中心安全策略以保護單個機櫃的組織來說,應該確保他們有一個計劃來克服這些挑戰。
物理數據中心安全的最後一層
再多的高級物理安全控制也無法緩解影響單個伺服器機櫃及其內部IT設備受到的某些威脅,這就是為什麼利用數據中心機櫃的現代化保護措施是任何數據中心物理安全策略的一個重要組成部分。當你限制了可以訪問每個機櫃的人員,監控針對各個伺服器機架的威脅時,你就縮小了物理安全操作中的一個關鍵差距。
