Bezpieczeństwo fizyczne serwera

Sporo czasu i kolumn poświęca się na zabezpieczenie serwera przed atakami z zewnątrz. Jest to całkowicie poprawne, ponieważ atakującemu łatwiej jest wykorzystać Internet do zerwania twojego serwera, niż uzyskać fizyczny dostęp.

Jednak niektórzy specjaliści IT zastanawiają się nad znaczeniem fizycznego bezpieczeństwa serwera. Wiele, jeśli nie większość, najbardziej rażących naruszeń bezpieczeństwa ma miejsce wewnątrz organizacji.

• Jak chronisz swoje serwery przed użytkownikami z dostępem na miejscu, którzy nie muszą uzyskiwać dostępu do serwera lub samej serwerowni?

Czy znajduje się tuż obok biurka kierownika działu IT w szafce, czy jest zamknięty za kilkoma drzwiami z kartą elektroniczną i dostępem biometrycznym?

Kiedy ktoś ma fizyczny dostęp do serwerów, jakie zabezpieczenia są na miejscu, które uniemożliwiają lub przynajmniej rejestrują dostęp do wrażliwych danych, których nie mają uzasadnionej potrzeby widzieć?

Oczywiście będzie to różnić się w zależności od organizacji, a potrzeby biznesowe od potrzeb biznesowych, ale nawet serwery druku mają dostęp do drukowanych poufnych danych (umów i informacji o pracownikach), więc jest to coś więcej, niż mogłoby się wydawać na pierwszy rzut oka.

Wszystkie nasze serwery produkcyjne są przechowywane po drugiej stronie świata w solidnym centrum danych. Pułapki na człowieka, skanery biometryczne, całe pudełko i kości.

W przypadku maszyn, które są w naszym biurze, mieszkają w serwerowni, dostępnej tylko za pomocą karty machnięcia. Tylko sysadmini mają karty machnięcia, które mają dostęp do tego obszaru.

Krótko mówiąc, jeśli ktoś ma fizyczny wpływ na Twój zestaw, to Twoje dane należą do nich. Jeśli jest to wystarczający problem, to sprawdzenie czegoś wartościowego i odszyfrowanie go w locie jest ciężkim, ale niezbędnym wymogiem.

edycja: możesz to rozszerzyć na pytania dotyczące fizycznego bezpieczeństwa nośnika kopii zapasowej. Co dobrego ma solidne bezpieczeństwo fizyczne, jeśli Twoje witryny nie są tak bezpieczne lub bardziej bezpieczne?

Ilość potrzebnego bezpieczeństwa fizycznego zależy od charakteru i wielkości firmy, personelu IT itp. W przypadku większości mniejszych firm wystarczą zamknięte drzwi i niedroga kamera bezpieczeństwa.

Ważne jest również zapewnienie dostępu do szafy elektrycznej. Rzucanie wyłącznika ma duży wpływ na zamykanie systemów komputerowych.

Wszystkie sposoby bezpieczeństwa fizycznego można uzyskać dzięki dostępowi do kart inteligentnych, czujnikom zbliżeniowym, ciężkim drzwiom, płytkom ochronnym, kamerom, silnym hasłom, biometrii.

Problem polega na tym, że elektrycy musieli wykonać okablowanie, otworzyć drzwi cegłą i udać się na lunch bez powiadamiania kogokolwiek. To się kiedyś zdarzyło. Na szczęście przyszedłem chwilę później. Zabawne, jak cegła może ominąć ponad 10 000 $ bezpieczeństwa.

Inna rzecz. Uważaj na nietechnicznych użytkowników i ich głupotę.

Nasze serwery produkcyjne były bezpieczne w centrum kolokacji, a serwery programistyczne w biurze. Pewnego razu sprzątaczka nie mogła znaleźć wolnego gniazdka i podłączyła odkurzacz do UPS serwerów. Na szczęście miał dość głośny alarm przeciążenia, dzięki czemu mogliśmy szybko zareagować.

Inny przypadek (nie wiem, ile to jest prawdziwej lub miejskiej legendy), w którym tajemnicze przestoje jednego z serwerów każdego dnia wcześnie rano. Nikt nie mógł zidentyfikować problemu. W rezultacie ochroniarz na początku swojej zmiany odłączy jeden z serwerów i włączy ekspres do kawy. Pomyślał, że „nikt nie zauważy, to tylko 3 minuty”.

Nasz budynek był kiedyś bankiem, więc przechowujemy nasze serwery w skarbcu. Chłodzenie nie jest świetne, ale mamy tylko pół tuzina i żadne z nich nie jest niezwykle wydajne, więc to naprawdę nie jest problem.

To po części miejska legenda, po części prawda.

UL: Firma budowała nową salę komputerową, a administrator IT pochwalił się środkami bezpieczeństwa (pułapka, karty machnięcia itp.) Jednemu ze swoich przyjaciół. Przyjaciel skinął głową, jakby był pod wielkim wrażeniem. Kilka minut później oboje rozmawiają tuż za drzwiami, kiedy przyjaciel wpadł na pomysł. Odwraca się plecami do ściany i daje jej dobry kopniak, przełamując dziurę w ścianie odpowiedniej wielkości. Nie trzeba dodawać, że administrator przed wejściem wzmocnił ściany.

Prawda: Mała firma wynajmuje powierzchnię w budynku z wieloma najemcami. Klucze do kart itp. W ciągu weekendu ktoś wybił dziurę w suchej zabudowie obok drzwi i ukradł 20 komputerów (w tym serwer ze wszystkimi kluczami licencyjnymi)

Pod płytą gipsowo-kartonową naszej sali komputerowej mamy warstwę metalu.

Nasza serwerownia jest chroniona za pomocą karty dostępu. Tylko personel IT ma karty dostępu, które otworzą drzwi, a tylko dział bezpieczeństwa ma kontrolę nad uprawnieniami dostępu do karty.

Po wejściu do serwerowni wszystkie serwery są przechowywane w zamkniętych szafach. Przednie i tylne drzwi każdej szafy są zamknięte, a tylko personel IT otrzymuje klucze do szafy.

Trzymamy również szafy sieciowe na wszystkich piętrach zamknięte, a tylko członkowie zespołu ds. Urządzeń mają klucze do tych drzwi.

Jeśli jest to mała lub średnia firma, prawdopodobnie będzie miała swoje serwery w centrum kolokacji, jeśli jest to duża korporacja, będzie miała własne.

Zazwyczaj zapewnia to bezpieczeństwo fizyczne, o którym wspomniałeś. To, o czym nie wspomniałeś, to ekranowanie elektromagnetyczne, zapobiegające podsłuchowi (istnieją komercyjnie dostępne produkty zdolne do podsłuchu skrętki Ethernet z odległości około stu stóp). W przypadku banków są to struktury podobne do bunkrów, które wytrzymają nawet ataki EMP .

Typowe jest także to, że centrum danych ma co najmniej dwie fizyczne lokalizacje i ma kopie zapasowe na wypadek klęski żywiołowej (powodzi, pożaru itp.). Oczywiście to własny zasilacz, nie tylko UPS, ale także generatory.

Niech Twój personel IT (i jeśli to możliwe, policjant / przyjaciel rezerwowy lub ktoś w dziedzinie bezpieczeństwa) usiądzie kiedyś w pokoju. Oglądaj trampki, misję niemożliwą i oceany 11.

Następnie wymyśl każdy scenariusz, w którym ktoś włamałby się do pokoju. Pod podłogą, przez ściany, pokonując zamek drzwi, przez sufit, przez otwory wentylacyjne.

Następnie warstwuj swoje bezpieczeństwo.

Użyj drzwi, zamków, betonowych i metalowych prętów / krat, aby pokój był jak najbardziej nieprzepuszczalny.

Następnie załóż, że Twoja pierwsza linia bezpieczeństwa została naruszona.

Czujniki ruchu, ciche alarmy, alarmy dźwiękowe są dobre.

Zamki na wszystkich stojakach utrzymują ludzi na zewnątrz (lub spowalniają ich).

Kilka kamer (na zewnątrz drzwi i w serwerowni), które logują się do oddzielnego pokoju / witryny, jest doskonałym środkiem odstraszającym.

Na marginesie, nie zapomnij o zabezpieczeniu kopii zapasowych.

Moja praca obraca się wokół czegoś, co nie jest tak krytyczne ... więc bezpieczeństwo nie jest tak ścisłe jak „ Iron Mountain ” czy coś takiego. Jednak...

Serwerownia znajduje się na drugim piętrze budynku, w którym zastosowano 6-metrowe ściany betonowe. Początkowy punkt wejścia na zewnątrz wymaga klucza (i obejścia pracowników front-front). Drugi punkt wejścia wymaga innego klucza. Trzeci punkt wejścia wymaga trzeciego klucza, a drzwi wyposażone są w siatkę drucianą, aby zapobiec przypadkowym atakom, chociaż wydaje mi się, że ktoś z piłą łańcuchową, latarką lub innym hałaśliwym / natrętnym / oczywistym środkiem ataku przedostałby się. Cały obiekt jest przykryty działającymi kamerami w rejestratorach, które rejestrują ruch 24/7, a same rejestratory są zabezpieczone w podobny sposób.

Kopie zapasowe są przechowywane w serwerowni w medialnej wkładce ognioodpornej, która jest następnie umieszczana w dodatkowym sejfie ogniowym. Kopie zapasowe poza siedzibą są pobierane bezpośrednio przez kierownika działu IT, który mieszka w zaniepokojonym domu (i jestem pewien, że ma również sejf na miejscu).

Nie, nie zaprojektowałem bezpieczeństwa fizycznego, ani nie określam zasad bezpieczeństwa fizycznego. To miejsce sprzedaje pudełka kapusty i pomarańczy i tak dalej, więc to nie tak, że zajmujemy się tajemnicą wojskową lub państwową ...

W zależności od danych możesz rozważyć nadzór.

Jedno centrum danych, które znam - nie miałem do niego dostępu, ale zrobili to moi koledzy z drużyny. Potrzebujesz dostępu do dokumentu tożsamości ze zdjęciem i autoryzacji. Tak więc w przypadku naszego zespołu, który odwiedzał go rzadko, musieliśmy dostać list od naszego dyrektora, aby uzyskać dostęp do naszych serwerów.

Gdy zdecydują się cię wpuścić, wezmą odcisk kciuka i powiesą na tobie standardową kartę identyfikacyjną / dostępową. Potem eskortowały cię dwie osoby, eskorta techniczna i ochroniarz. Rozumiem, że pomysł polegał na tym, że jeśli technik zobaczył, że robisz coś, co mu się nie podobało, postawił na tobie ochroniarza, aby uniemożliwić ci zrobienie tego, co było.

Było to centrum danych, w którym przechowywano serwery dla dużych międzynarodowych banków w City of London.

Ha ha, wiedziałem, że ludzie poważnie traktują bezpieczeństwo, ale biometria? psychiczny. Przypuszczam, że tak naprawdę zależy to od charakteru przechowywanych danych. Musiałem zbadać małą konfigurację dla naszej firmy projektowej i znaleźliśmy dobre rzeczy na GuruOnline, wiele filmów o bezpieczeństwie sieci i tym podobne. To dość proste, ale może być dobrym początkiem ...

Sprzątaczka z odkurzaczem i ochroniarz z ekspresem do kawy. ha ha. przynajmniej nie są wynagradzani za znajomość wszystkich zagadnień informatycznych. oto prawdziwa historia Halloween.

nasz kierownik działu IT zdecydował się przejść i zrezygnować. dyrektor zarządzający firmy zatrudnił kogoś, kto nie miał pojęcia o IT, ale poszli do tej samej eleganckiej szkoły, więc przypuszczam, że podczas wywiadu rozmawiali na temat dawnych czasów, wyzwań wiosłowych, alkoholu i dziewcząt.

w drugim tygodniu nowy menedżer IT poszedł do serwerowni i po kilku godzinach został zaznajomiony z konfiguracją (wciąż nie mam pojęcia, co on tam robił). ponieważ samoloty są tam dość mocne, wyłączył je. po kilku godzinach żartów wrócił do domu (być może bardzo zadowolony, a może nawet dosłownie - nie wykluczam możliwości, że ogląda tam p0rn). z pewnością był bardzo zmęczony (długie godziny dużo hałasu itp.), więc naturalnie zapomniał zmienić klimatyzację.

do rana serwer bazy danych był całkowicie gotowy do zatrzymania, a 2 inne serwery uległy awarii w ciągu następnych 2 dni.

i mówisz sprzątaczkę. z pewnością wykonałaby lepszą robotę (szczególnie za kwotę, którą otrzymał). jedyną dobrą rzeczą w tej historii jest to, że cały dział IT, każdy z nas poszedł do MD jeden po drugim i powiedział, że będzie katastrofą, jeśli zostanie. na szczęście MD zdał sobie sprawę, że to coś naprawdę złego, jeśli wszyscy to powiedzieli, i zwolnił idi0t.