it-swarm-es.com

Razones para no permitir que las personas entren en la sala de servidores.

He trabajado en algunas compañías de alojamiento y he visto dos escuelas de pensamiento en este

  1. No permita a los clientes en la sala de servidores. El argumento es básicamente, aumenta la seguridad ( esta noticia normalmente se proporciona como una razón por la que la seguridad solo es buena si conoce a las personas) y la privacidad y que si proporciona un terminal local para ellos es bueno. suficiente.
  2. Permitir a los clientes en la sala de servidores porque las personas necesitan acceso a sus máquinas y hace una buena pieza del espectáculo.

¿Hay alguna razón (como legal, cumplimiento, etc.) que no debe permitir que las personas entren en la sala de servidores?

18
Robert MacLean

enter image description here

lo dice todo, realmente :)

23
Alnitak

En mi experiencia, el 75% de la interrupción del servicio/sistema está reducido a un problema de 'Capa 8'/Modificación: las personas que derraman bebidas, presionando los botones ¿No deberían, tropezar con los cables, incluso "probar" la conmutación por error de RAID sin una maldita razón?

Mantenga a las personas, una forma de hacerlo es tener un registro de entrada manual con un campo de 'Razón para la entrada' que tienen que escribir a sí mismos, que detendrán a las personas sin una buena razón.

13
Chopper3

Personalmente, si era anfitrión de mi equipo en otro lugar, y no me dejarían trabajar en ello, estaría bastante molesto. Entiendo que necesita mantener su instalación segura y dejar que alguien fuera de la calle sea una mala idea, pero si le estoy pagando a organizar mi equipo, entonces tengo un interés personal en la seguridad de mi sistema, no estoy va a hacer cualquier cosa para comprometer eso.

Debe haber seguridad, debo necesitar identificación o una contraseña o una exploración de iris para entrar en el DC, pero detenerme a todos juntos, solo me haría llevar a mi negocio en otro lugar.

7
Sam Cogan

Acceso físico a una máquina == oportunidad para arraigar la máquina.

No permita que nadie ingrese a la sala de servidores que no desea acceder al equipo en la máquina. O, tener acceso físico (junto con KVM u otros medios locales/consola) a los controles de la máquina restringidos si va a permitir que otros accidentes físicos a la sala de máquinas.

La mejor práctica en mi mente es evitar el acceso enteramente a los no administradores, para proporcionar un acompañamiento de seguridad, mientras que alguien está en la sala de servidores que no está autorizada para el acceso global (es decir, los proveedores), o para mantener el hardware bloqueado por llave en su lugar y Restrinja claves a subconjuntos de usuarios/administradores autorizados. La última parte es la mejor práctica para la mayoría de los espacios de colocación donde usted como cliente alquilará espacio.

Además: si tiene la oportunidad, asegúrese de tener un sistema de "bloqueo de aire" que requiera dos formas de acceso, lo que evita la "cola trasera". En nuestro caso, estos son bloqueos de perforación y análisis de tarjetas. La entrada en el vestíbulo requiere que haya golpeado un código en un bloqueo. Una vez que esté en el vestíbulo, debe escanear una tarjeta de identificación para ingresar a la sala de servidores real.

Más allá de que "es realmente una buena idea", hay ciertas leyes específicas de la industria, leyes o regulaciones específicas que podrían estar involucradas. En una institución educativa o gubernamental, tengo leyes específicas que debo asegurarme de que se apliquen con respecto al acceso a la información del estudiante. Existen requisitos similares para las empresas que se negocian públicamente; Deben cumplir con los SOX. La industria médica, o cualquier industria que maneje la información de identidad asociada, junto con la historia médica, debe seguir HIPPA. Cualquier compañía que almacene transacciones con tarjeta de crédito debe cumplir con sus acuerdos comerciales, que generalmente son muy explícitos sobre lo que las máquinas pueden almacenar y quién tiene acceso a las máquinas. El kilometraje de su industria puede variar.

6
Karl Katzke

Tuve un colocado en un servidor con un centro de datos local que requirió una escolta para acceder. Nada como tener una caja hacia abajo, tener que permanecer a la espera de esperar a que alguien esté disponible para que pueda arreglarlo. Entonces, esa persona se pone de pie allí aburrida, solo mirando. En ese caso, fue varias horas. Hacemos nuestros servidores en casa ahora ...

5
Brian Knoblauch

Cumplimiento de SAS70 Si está haciendo eso o Sarbanes Oxley tiene una provisión para los controles de TI en torno a los sistemas financieros.

5
Rob Bergin

Permitir que los clientes accedan a su propio kit parecen un "derecho" fundamental. La seguridad de la COLO debe ser observadora y estructurada lo suficiente como que el acceso por rack por parte de los clientes esté a salvo.

Si otros clientes sienten que requieren más seguridad, entonces pueden desaparecer y obtener su propia jaula o habitación.

4
Stu Thompson

En gran medida, depende de qué tipo de alojamiento está proporcionando. Algunos centros de datos nunca deberán permitir que los visitantes entrarán, aunque puede ser útil tener ventanas a través de las cuales los clientes pueden ver el hardware.

Hay otros centros de datos donde los clientes deben ser absolutamente permitidos al acceso físico. p.ej. Para restaurar desde una cinta usando una unidad local. Este tipo de acceso se requerirá si, por ejemplo, la instalación ofrece instalaciones de recuperación de desastres/continuidad de negocios. Las propiedades del cliente pueden haber sido destruidas, por lo que todas las funciones se realizan temporalmente en el centro de datos.

2
John Gardeniers

El acceso físico a una máquina es siempre la parte más crítica de la seguridad, y la que más a menudo se pasa por alto. Habiendo acompañado el acceso debería estar bien, especialmente si ha registrado acceso al área. En un entorno virtualizado, el acceso físico no sería un problema.

1
Waldo