サーバールームに人を入れない理由

私はいくつかのホスティング会社で働いており、これについて2つの考え方を見てきました

1. 顧客をサーバールームに入れないでください。議論は基本的にセキュリティを高めることです（このニュース記事は通常、セキュリティは人々を知っている場合にのみ良いという理由として提供されます）およびプライバシー、そして彼らにローカル端末を提供すれば十分であるということです。
2. 人々は自分のマシンにアクセスする必要があるので、顧客をサーバールームに入れてください。

サーバールームへの入室を許可しない理由（法的、コンプライアンスなど）がありますか？

各クライアントのハードウェアが別々のケージなどに分離されているとすると、サーバールームに人を入れない理由はありません。しかし、銀行、警察などの非常に機密性の高い重要なデータの場合、私はその部屋にいる非常に少数の有資格者だけです。顧客に関しては、資格があり、悪意がないことをどのように知っていますか。リスクに値しません。

わずかなダウンタイムやデータの損失が大きな問題を引き起こすこれらの状況では、注意を払って間違いを犯すことは常に安全です。

本当にすべてを言う:)

私の経験では、サービス/システムの停止の75％は「レイヤー8」/ウェットウェアの問題です-飲み物をこぼしたり、ボタンを押したり、ケーブルをつまずいたり、RAIDフェイルオーバーを「テスト」したりすることはありません！

これを行う1つの方法は、「エントリの理由」フィールドを備えた手動エントリログを作成することです。これにより、正当な理由なく人々を停止できます。

個人的に私が他のどこかで機器をホストし、彼らが私にそれを働かせてくれないなら、私はかなりイライラするでしょう。施設を安全に保つ必要があり、通りから人を出させることは悪い考えですが、機器をホストするためにあなたにお金を払うなら、私はシステムのセキュリティに既得権益を持っています、私はそうではありません妥協するために何でもします。

セキュリティが必要です。DCにアクセスするにはIDまたはパスワードまたは虹彩スキャンが必要ですが、すべてを一緒に停止すると、ビジネスを別の場所に連れて行ってしまいます。

マシンへの物理的アクセス==マシンをルート化する機会。

サーバールームには、マシンの機器へのアクセスを許可したくない人を許可しないでください。または、マシンルームへの物理的なアクセスを他の人に許可する場合は、マシンの制御への物理的なアクセスを（KVMまたは他のローカル/コンソール手段とともに）制限します。

私の考えでは、非管理者へのアクセスを完全に防止するか、グローバルアクセスを許可されていないサーバールームにいる間（つまりベンダー）にセキュリティエスコートを提供するか、キーロックされたハードウェアを保持し、許可されたユーザー/管理者のサブセットにキーを制限します。最後の部分は、顧客としてお客様がスペースをレンタルするコロケーションスペースのベストプラクティスです。

また、機会がある場合は、2つの形式のアクセスを必要とする「エアロック」システムがあることを確認してください。私たちの場合、これらはパンチロックとカードスキャンロックです。ロビーに入るには、コードをロックにパンチする必要があります。ホワイエに入ったら、IDカードをスキャンして実際のサーバールームに入る必要があります。

「それは本当に良いアイデアです」だけでなく、関係する特定の業界固有のSAP、法律、または規制があります。教育機関または政府機関では、学生情報へのアクセスに関して確実に施行される必要がある特定の法律があります。上場している企業にも同様の要件があります。SOXに準拠する必要があります。医療業界、または病歴とともに関連するアイデンティティ情報を処理する業界は、HIPPAに従う必要があります。クレジットカード取引を保管する会社は、商人の契約に準拠する必要があります。これは通常、マシンが何を保管できるか、誰がマシンにアクセスできるかについて非常に明確です。業界の走行距離は実際に異なる場合があります。

セキュリティは、そうしない理由としてすでに言及されています。もう1つは、健康と安全です。DCは、訓練を受けていない人にとって危険な環境です。もちろん、これらは両方とも「たとえば、トレーニングを受けたスタッフを同伴する必要があります。当社のデータセンターでは、適切なコースを行わない限り、スタッフにアクセスを許可しないようにします。伴わない限り。

私は、アクセスのために護衛を必要とするローカルデータセンターとサーバーを共存させました。あなたがそれを修正することができるように、誰かが利用可能になるのを待って、箱を下ろすことのようなものは何もありません。それから、その人はただ見ているだけで退屈します。その場合、それは数時間でした。現在、社内でサーバーを使用しています...

SAS70コンプライアンスを行っている場合、またはSarbanes Oxleyが金融システムに関するITコントロールを提供している場合。

これについて考えてみましょう：銀行は、顧客が金庫に行って口座にお金を出し入れすることを許可していますか？答えは：のみのアカウントボックスが個別に固定され、そして場合でも、その後、彼らはガードがあなたに同行持っていることがあります。しかし、高セキュリティのシナリオで最も良いのは 、必要なときにボックスを持ち出すことです。これは、高セキュリティの銀行が行います。

顧客が認定スタッフを同伴している場合、それは私には問題ないようです。私は確かに、サーバールームの顧客を無人にさせません。スタッフに関しては、侵入防止策を実施する必要があります。

サーバールームを展示物として使用したい場合は、窓やガラスの壁が無数の人々を敏感なエリアを歩くことなく、それを行うための素晴らしい方法です。

顧客が自分のキットにアクセスできるようにすることは、基本的な「正しい」ように思えます。coloのセキュリティは、顧客によるラックごとのアクセスが安全であるように、十分に注意して構成する必要があります。

他のお客様がより多くのセキュリティが必要だと感じた場合は、外に出て自分のケージや部屋を手に入れることができます。

非常に大部分は、提供しているホスティングの種類によって異なります。一部のデータセンターでは、訪問者を許可する必要はありませんが、顧客がハードウェアを見ることができる窓があると便利です。

顧客が絶対に物理的なアクセスを許可されなければならない他のデータセンターがあります。たとえば、ローカルドライブを使用してテープから復元する場合。たとえば、施設が災害復旧/事業継続施設を提供している場合、この種のアクセスが必要になります。顧客自身の施設が破壊された可能性があるため、すべての機能はデータセンターで一時的に実行されます。

マシンへの物理的なアクセスは常にセキュリティの最も重要な部分であり、最も見過ごされがちな部分です。特にエリアへのアクセスをログに記録している場合は、護衛されたアクセスは問題ないはずです。仮想化環境では、物理的なアクセスは問題になりません。