Ich habe bei einigen Hosting-Unternehmen gearbeitet und dabei zwei Denkschulen gesehen
- Lassen Sie keine Kunden in den Serverraum. Das Argument ist im Grunde genommen, dass es die Sicherheit erhöht ( diese Nachricht wird normalerweise als Grund dafür angegeben, dass Sicherheit nur dann gut ist, wenn Sie die Leute kennen) und die Privatsphäre, und dass es gut genug ist, wenn Sie ein lokales Terminal für sie bereitstellen.
- Ermöglichen Sie Kunden den Zutritt zum Serverraum, da Benutzer Zugriff auf ihre Maschinen benötigen und dies ein gutes Aushängeschild ist.
Gibt es irgendwelche Gründe (wie Recht, Compliance usw.), warum Sie keine Personen in den Serverraum lassen sollten?
quelle
Meiner Erfahrung nach sind 75% des Service- / Systemausfalls auf ein "Layer 8" - / Wetware-Problem zurückzuführen - Leute, die Getränke verschütten, Knöpfe drücken, über Kabel stolpern und sogar RAID-Failover ohne jeden Grund "testen"!
Halten Sie die Leute fern. Eine Möglichkeit, dies zu tun, besteht darin, ein manuelles Eingabeprotokoll mit einem Feld "Grund für die Eingabe" zu erstellen, das sie selbst schreiben müssen. Dadurch werden die Leute ohne triftigen Grund davon abgehalten.
quelle
Persönlich, wenn ich meine Ausrüstung woanders hosten würde und sie mich nicht dazu bringen würden, daran zu arbeiten, wäre ich ziemlich verärgert. Ich verstehe, dass Sie Ihre Einrichtung sicher halten müssen und es keine gute Idee ist, jemanden von der Straße hereinzulassen, aber wenn ich Sie dafür bezahle, meine Ausrüstung zu hosten, habe ich ein berechtigtes Interesse an der Sicherheit meines Systems, das bin ich nicht werde alles tun, um das zu gefährden.
Es sollte Sicherheit geben, ich sollte einen Ausweis oder ein Passwort oder einen Iris-Scan benötigen, um in den DC zu gelangen, aber wenn ich alle zusammenhalte, würde ich einfach mein Geschäft woanders hinbringen.
quelle
Physischer Zugriff auf eine Maschine == Möglichkeit, die Maschine zu rooten.
Lassen Sie niemanden in den Serverraum, der keinen Zugriff auf die Geräte auf dem Computer erhalten soll. Sie können auch den physischen Zugriff (zusammen mit KVM oder anderen lokalen / Konsolen-Mitteln) auf die Steuerelemente des Geräts beschränken, wenn Sie anderen Benutzern den physischen Zugriff auf den Maschinenraum gewähren möchten.
Ich halte es für die beste Methode, entweder den Zugriff auf Nicht-Administratoren vollständig zu verhindern, während sich jemand im Serverraum befindet, der nicht für den globalen Zugriff autorisiert ist (z. B. Anbieter), eine Sicherheitseskorte bereitzustellen oder die mit Schlüsseln gesperrte Hardware an Ort und Stelle zu halten und Beschränken Sie die Schlüssel auf Teilmengen autorisierter Benutzer / Administratoren. Der letzte Teil ist die beste Vorgehensweise für die meisten Colocation-Räume, in denen Sie als Kunde Räume mieten.
Außerdem: Wenn Sie die Möglichkeit haben, stellen Sie sicher, dass Sie über ein "Luftschleusensystem" verfügen, für das zwei Zugriffsarten erforderlich sind, die ein "Heckklappen" verhindern. In unserem Fall handelt es sich um Locher- und Kartenscan-Sperren. Um in das Foyer zu gelangen, müssen Sie einen Code in ein Schloss eingeben. Sobald Sie im Foyer sind, müssen Sie einen Ausweis scannen, um den eigentlichen Serverraum zu betreten.
Abgesehen von "Es ist wirklich eine gute Idee" gibt es bestimmte branchenspezifische SAPs, Gesetze oder Vorschriften, die möglicherweise eine Rolle spielen. In einer Bildungseinrichtung oder staatlichen Einrichtung habe ich bestimmte Gesetze, die ich unbedingt einhalten muss, um Zugang zu Informationen über Studierende zu erhalten. Ähnliche Anforderungen bestehen für börsennotierte Unternehmen; Sie müssen SOX-konform sein. Die Medizinbranche oder jede Branche, die die zugehörigen Identitätsinformationen zusammen mit der Krankengeschichte verarbeitet, muss sich an HIPPA halten. Jedes Unternehmen, das Kreditkartentransaktionen speichert, muss seine Händlervereinbarungen einhalten, die in der Regel SEHR eindeutig festlegen, was die Maschinen speichern dürfen und wer Zugriff auf die Maschinen hat. Die Laufleistung Ihrer Branche kann in der Tat variieren.
quelle
Sicherheit wurde bereits als Grund genannt, dies nicht zu tun. Ein anderer ist Gesundheit und Sicherheit. DCs können für Ungeübte eine gefährliche Umgebung sein. Beides kann natürlich durch Richtlinien wie "Sie müssen von einem geschulten Mitarbeiter begleitet werden" gemildert werden. Unser Rechenzentrum verlangt, dass Mitarbeitern kein Zugang gewährt wird, es sei denn, sie haben den entsprechenden Kurs absolviert sofern nicht begleitet.
quelle
Ich hatte einen Server mit einem lokalen Rechenzentrum, der eine Eskorte für den Zugriff benötigte. Es gibt nichts Schöneres als eine Kiste unten zu haben, herumstehen zu müssen und darauf zu warten, dass jemand verfügbar wird, damit Sie sie reparieren können. Dann kann diese Person gelangweilt dastehen und nur zuschauen. In diesem Fall waren es mehrere Stunden. Wir machen unsere Server jetzt im Haus ...
quelle
SAS70-Konformität, wenn Sie dies tun oder Sarbanes Oxley eine Bestimmung für IT-Kontrollen in Bezug auf Finanzsysteme vorsieht.
quelle
Denken Sie darüber nach : Hat eine Bank erlauben , ihren Kunden in den Tresorraum zu gehen und Anzahlung oder Geld abheben in / von ihrem Konto? Die Antwort lautet: Nur wenn die Kontoboxen einzeln gesichert sind und Sie auch dann von einer Wache begleitet werden. Das Beste für Hochsicherheitsszenarien ist jedoch, dass sie Ihre Box zu Ihnen bringen, wenn Sie sie benötigen, wie es Hochsicherheitsbanken tun.
quelle
Wenn die Kunden von einem autorisierten Mitarbeiter begleitet werden, scheint mir das in Ordnung zu sein. Ich würde sicherlich keinen Kunden unbeaufsichtigt im Serverraum lassen. Was das Personal betrifft, sollten strenge Kontrollen durchgeführt werden.
Wenn Sie den Serverraum als Prunkstück nutzen möchten, sind Fenster oder Glaswände eine großartige Möglichkeit, um dies zu tun, ohne unzählige Menschen durch einen sensiblen Bereich zu führen.
quelle
Den Kunden den Zugang zu ihrer eigenen Ausrüstung zu ermöglichen, scheint ein grundlegendes "Recht" zu sein. Die Sicherheit des Colo sollte so sorgfältig und strukturiert sein, dass der Rack-für-Rack-Zugriff durch Kunden sicher ist.
Wenn andere Kunden das Gefühl haben, dass sie mehr Sicherheit benötigen, können sie ihren eigenen Käfig oder Raum beziehen.
quelle
In hohem Maße hängt es davon ab, welche Art von Hosting Sie anbieten. In einigen Rechenzentren müssen Besucher niemals zugelassen werden, obwohl es hilfreich sein kann, Fenster zu haben, durch die die Kunden die Hardware sehen können.
Es gibt andere Rechenzentren, in denen Kunden unbedingt physischen Zugang haben müssen. Zum Beispiel, um von einem Band mit einem lokalen Laufwerk wiederherzustellen. Diese Art von Zugriff ist erforderlich, wenn die Einrichtung beispielsweise Einrichtungen für Disaster Recovery / Business Continuity bietet. Möglicherweise wurden die Räumlichkeiten des Kunden zerstört, sodass alle Funktionen vorübergehend im Rechenzentrum ausgeführt werden.
quelle
Der physische Zugriff auf eine Maschine ist immer der kritischste und am häufigsten übersehene Teil der Sicherheit. Ein begleiteter Zugriff sollte in Ordnung sein, insbesondere wenn Sie den Zugriff auf den Bereich protokolliert haben. In einer virtualisierten Umgebung ist der physische Zugriff kein Problem.
quelle