サーバーを外部の攻撃から保護するために、多くの時間とコラムが費やされています。これは完全に有効です。なぜなら、攻撃者が物理的なアクセスを取得するよりも、インターネットを使用してサーバーを破壊する方が簡単だからです。
ただし、一部のIT専門家は、物理サーバーセキュリティの重要性を強調しています。ほとんどではないにしても、最も深刻なセキュリティ侵害の多くは組織内部から実行されます。
それはキュービクル内のITマネージャーの机のすぐ隣にありますか、それとも電子カードと生体認証アクセスでいくつかのドアの後ろにロックされていますか?
誰かがサーバーに物理的にアクセスできるようになったら、どのような保護策が講じられていますか?
もちろん、これは組織によって異なり、ビジネスニーズやビジネスニーズによって異なりますが、プリントサーバーでさえも、印刷される機密データ(契約および従業員情報)にアクセスできるため、一見しただけではないこともあります。
回答:
すべての本番サーバーは、世界の反対側の堅牢なデータセンターに保管されています。マントラップ、バイオメトリックスキャナー、箱全体、サイコロ。
私たちのオフィスにあるマシンの場合、それらはスワイプカードを介してのみアクセス可能なサーバールームに住んでいます。その領域にアクセスできるスワイプカードを持っているのは、システム管理者だけです。
要するに、誰かがあなたのキットを物理的に持っている場合、あなたのデータは彼らのものです。これが十分な懸念事項である場合、価値のあるものをpgpし、その場で復号化するのは手間がかかりますが、必要な要件です。
編集:バックアップメディアの物理的なセキュリティの質問にこれを拡張できます。オフサイトのセキュリティがそれ以上ではない場合、強固な物理的セキュリティはどの程度優れていますか?
必要な物理的セキュリティの量は、ビジネスの性質と規模、ITスタッフなどによって異なります。ほとんどの中小企業では、施錠されたドアと安価なセキュリティカメラが役立ちます。
電気クローゼットへのアクセスを確保することも重要です。ブレーカーを投げることは、コンピューターシステムのシャットダウンに大いに役立ちます。
スマートカードアクセス、近接センサー、重いドア、キックプレート、カメラ、強力なパスワード、生体認証を使用して、あらゆる種類の物理的セキュリティを確保できます。
問題は、電気技師が配線を行い、ドアをレンガで開いて支え、誰にも通知せずに昼食に向かう必要がある場合です。それは一度起こりました。幸いなことに、私はすぐに来ました。レンガが1万ドル以上のセキュリティをどのように回避できるかがおかしい。
別物。非技術系ユーザーとその愚かさに注意してください。
私たちの本番サーバーはコロケーションセンターでは安全でしたが、オフィスでは開発用のものでした。掃除婦が無料の電源コンセントを見つけられず、掃除機をサーバーのUPSに差し込んだ。幸いなことに、非常に大きな過負荷アラームがあったため、すぐに対応できました。
その他の場合(実際の伝説や都会の伝説がどれだけあるかはわからない)、毎日早朝にサーバーの1つの不思議なダウンタイムが発生します。誰も問題を特定できませんでした。その結果、彼のシフトの開始時に警備員がサーバーの1つを外し、コーヒーメーカーを接続することになりました。彼は「誰も気づかないだろうが、たった3分だった」と言った。
これは都市伝説の一部、真実の一部です。
UL:会社が新しいコンピュータールームを建設し、IT管理者がセキュリティ対策(マントラップ、スワイプカードなど)を友人に見せていました。友人は、非常に感銘を受けたように頭をseemいた。数分後、友人がアイデアを得ると、2人はドアのすぐ外で話します。彼は壁に背を向け、壁に良いサイズの穴を開けて、良いキックを与えます。言うまでもなく、管理者は入る前に壁を補強しました。
真実:マルチテナントの建物にある小さな会社の賃貸スペース。カードキーなど週末に誰かがドアの隣の乾式壁に穴を開け、20台のコンピューター(すべてのライセンスキーを持つサーバーを含む)を盗みました
コンピューター室の乾式壁の下に金属の層があります。
中小企業の場合、おそらくコロケーションセンターにサーバーがあり、大企業の場合、独自のサーバーがあります。
これは通常、物理的なセキュリティを提供するということです。あなたが言及しなかったのは、盗聴を防ぐ電磁シールドです(ツイストペアイーサネットを数百フィートほどの距離から盗聴できる市販の製品があります)。銀行の場合、これらはバンカーのような構造であり、EMP攻撃にも耐えることができます。
また、データセンターでは、少なくとも2つの物理的な場所を持ち、何らかの自然災害(洪水、火災など)の場合にバックアップをとることも一般的です。もちろん、UPSだけでなく発電機も備えた独自の電源です。
ITスタッフ(および、可能であれば、警察官/予備役の友人またはセキュリティ分野の誰か)をいつか部屋に座ってもらいます。スニーカー、ミッションインポッシブル、オーシャンズ11。
次に、誰かが部屋に侵入するすべてのシナリオを考え出します。床下、壁を通り、ドアロックを破り、天井を通り、通気口を通ります。
次に、セキュリティを階層化します。
部屋をできるだけ不浸透にするために、ドア、ロック、コンクリート、金属の棒/格子を使用します。
次に、セキュリティの最初の行が侵害されたと仮定します。
モーションセンサー、サイレントアラーム、可聴アラームはすべて良好です。
すべてのラックのロックは、人を締め出します(または速度を落とします)。
別の部屋/サイトにログを記録するいくつかのカメラ(ドアの外およびサーバールーム内)は、優れた抑止力です。
補足として、バックアップの保護を忘れないでください。
私の仕事は、ああ、それほど重要ではない何かを中心にしています...そのため、セキュリティは「Iron Mountain」などほど厳しくありません。しかしながら...
サーバールームは、6 "のコンクリートスラブ壁を使用する建物の2階にあります。外部の最初のエントリポイントにはキーが必要です(フロントカウンターの従業員を通過します)。2番目のエントリポイントには別のキーが必要です。必要となる第三の鍵を、と私はチェーンソーを持つ人、ジェット機、あるいは攻撃の他の騒々しい/目立たない/明らかな手段が通過になるだろうと思いますが、ドアは、カジュアルな攻撃を防ぐために、ワイヤメッシュのガラスを採用しています。施設全体が実行されているカメラで覆われています24時間365日の動きを記録するDVRでは、DVR自体も同様の方法で保護されます。
バックアップは、メディア定格の耐火インサートにサーバールームに格納され、追加の耐火セーフティ内に配置されます。オフサイトバックアップは、警戒された家に住んでいるITマネージャーによって直接取得されます(また、オンサイトの金庫も持っているはずです)。
いいえ、物理的なセキュリティを設計しませんでした。また、物理的なセキュリティに関するポリシーを決定しませんでした。キャベツやオレンジなどの箱を販売しているので、軍隊や国家の秘密を扱うビジネスをしているわけではありません...
データに応じて、監督を検討することをお勧めします。
私が知っているデータセンター-私はそれにアクセスしませんでしたが、チームメイトはアクセスしました。アクセスするには写真付きの身分証明書と承認が必要でした。そのため、訪問したことがほとんどないチームの場合、サーバーにアクセスするためにディレクターから手紙を受け取る必要はほとんどありませんでした。
彼らがあなたを入れることを決めたら、彼らはthumb印を取り、あなたに標準のバッジ/アクセスカードを掛けます。それから、技術的なエスコートと警備員の2人に付き添われました。私は、技術者があなたが好きではない何かをしているのを見た場合、それが何であれあなたがそれをするのを防ぐためにあなたに警備員を設置したという考えだと理解しています。
これは、ロンドン市の主要な国際銀行のサーバーを保持するデータセンターでした。
フーバーとコーヒーマシンと警備員のクリーニング女性。ははは。少なくとも、彼らはすべてのITスタッフを知るための報酬を受け取っていません。これが本当のハロウィーンの物語です。
ITマネージャーは先に進み、辞めることにしました。会社のマネージングディレクターは、ITについてまったく知らないスリックを雇いましたが、彼らは同じ優雅な学校に通っていたので、インタビューで、彼らは昔、ボートの挑戦、酒、女の子について話していたと思います。
彼の2週目に、新しいITマネージャーはサーバールームに行き、数時間後にセットアップに慣れました(彼が何をしていたのかまだわかりません)。エアコンが非常に強いため、彼はスイッチをオフにしました。数時間冗談を言った後、彼は家に帰りました(おそらく非常に満足しているかもしれませんが、おそらく文字通りです-私は彼がそこでp0rnを見ている可能性を排除しません)。確かに彼は非常に疲れていた(長時間の騒音など)ので、エアコンを元に戻すのを自然に忘れていました。
朝までにデータベースサーバーは完全に停止するまで調理され、他の2台のサーバーは次の2日間で故障しました。
あなたは掃除婦と言います。彼女は間違いなくより良い仕事をするでしょう(特に彼が支払われた金額に対して)。その話の唯一の良い点は、IT部門全体が、私たち一人一人がMDに1つずつ行き、彼が留まると災害になると言ったことです。幸運なMDは、誰もがそれを言って、idi0tを解雇した場合、それは本当に間違っていることを認識しました。