ti-enxame.com

Razões para não permitir que as pessoas na sala do servidor

Eu trabalhei em algumas empresas de hospedagem e vi duas escolas de pensamento sobre isso

  1. Não permita aos clientes na sala do servidor. O argumento é basicamente, ele gera segurança ( esta notícia é normalmente fornecido como uma razão pela qual a segurança é boa se você conhece as pessoas) e a privacidade e que se você fornecer um terminal local para eles, é bom o suficiente.
  2. Permitir aos clientes na sala do servidor porque as pessoas precisam de acesso às suas máquinas e faz uma boa peça de show.

Existe alguma razão (como legal, conformidade, etc ...) que você não deve permitir que as pessoas na sala do servidor?

18
Robert MacLean

Assumindo que o hardware para cada cliente é segregado em gaiolas separadas, etc. Então eu não vejo nenhuma razão para não deixar as pessoas para a sala do servidor. No entanto, para dados críticos altamente sensíveis, e. Bancos, policiais etc. Eu só faria o que um número extremamente pequeno de pessoas qualificadas naquela sala. Quando se trata de clientes, como você sabe que eles são qualificados e igualmente não são maliciosos. Não vale a pena o risco.

Nestas situações em que o tempo de inatividade ou perda de dados incorrer em grandes questões, é sempre seguro errar do lado da cautela.

13
Toby Mills

enter image description here

diz tudo, realmente :)

23
Alnitak

Na minha experiência, 75% da interrupção do serviço/sistema é até um problema de "camada 8 '/ wetware - pessoas derramando bebidas, pressionando botões eles não devem, tropeçando sobre cabos, até mesmo" testando "failover RAID sem nenhum maldito motivo!

Mantenha as pessoas para fora, uma maneira de fazer isso é ter um log de entrada manual com um campo de 'razão para entrada' que eles têm que se escrever - isso vai parar as pessoas sem uma boa razão.

13
Chopper3

Pessoalmente, se eu fosse hospedado meu equipamento em outro lugar, e eles não me deixaram entrar para trabalhar nisso, eu ficaria muito irritado. Eu entendo que você precisa manter suas instalações seguras e deixar que ninguém fora da rua seja uma má ideia, mas se eu estou pagando para hospedar meu equipamento, então eu tenho um interesse investido na segurança do meu sistema, eu não sou vai fazer qualquer coisa para comprometer isso.

Deve haver segurança, devo precisar de ID ou uma senha ou iris digitalizar para entrar no DC, mas me impedindo de tudo juntos, apenas me faria levar o meu negócio em outro lugar.

7
Sam Cogan

Acesso físico a uma máquina == oportunidade de enraizar a máquina.

Não permita que ninguém na sala de servidores que você não deseja dar acesso ao equipamento na máquina. Ou, tem acesso físico (junto com KVM ou outros meios locais/console) para os controles da máquina restringidos se você for permitir que outros acessem o acesso físico à sala de máquinas.

A melhor prática em minha mente é impedir o acesso inteiramente a não-administradores, para fornecer uma escolta de segurança enquanto alguém está na sala de servidores que não está autorizada para acesso global (ou seja, fornecedores), ou para manter o hardware chave bloqueado e restringir as chaves para subconjuntos de usuários/administradores autorizados. A última parte é a melhor prática para a maioria dos espaços de cologicação onde você como cliente vai alugar espaço.

Além disso: se você tiver a oportunidade, certifique-se de ter um sistema de "Airlock" que requer duas formas de acesso, o que impede a "tailgating". No nosso caso, estes são bloqueios de perfuração e cartão. A entrada no foyer requer que você socar um código em um bloqueio. Quando estiver no foyer, você precisa digitalizar um cartão de identificação para entrar na sala do servidor real.

Além de apenas "é realmente uma boa ideia", há certa indústria específica seiva, leis ou regulamentos que podem estar envolvidos. Em uma instituição educacional ou governamental, tenho leis específicas que preciso ter certeza de ser aplicada em relação ao acesso a informações do aluno. Existem requisitos semelhantes para empresas que são negociadas publicamente; eles devem cumprir com Sox. A indústria médica, ou qualquer indústria que lida com informações de identidade associadas junto com o histórico médico, deve seguir Hippa. Qualquer empresa que armazena transações com cartão de crédito deve cumprir seus contratos comerciais, que geralmente são muito explícitos sobre o que as máquinas podem armazenar e quem tem acesso às máquinas. A milhagem do seu setor pode realmente variar.

6
Karl Katzke

Pense nisso: faz um banco Permitir se Clientes para entrar no cofre e depósito ou retirar dinheiro para sua conta ? A resposta é: Somente se as caixas de conta estiverem protegidas individualmente e mesmo Eles podem ter um guarda acompanhando você. Mas a melhor coisa para cenários de alta segurança seria que eles trazem sua caixa para você quando você precisa, quais bancos de alta segurança fazem.

5
Teddy

A segurança já foi mencionada como uma razão para não. Outro é saúde e segurança. A DC pode ser ambientes perigosos para o destreinado. Estes podem ser mitigados, é claro, por políticas, como "você deve ser acompanhado por um membro treinado do pessoal, por exemplo. Nosso data center requer que o pessoal não tenha acesso a menos que tenham feito o curso apropriado. E os clientes certamente não são permitidos a menos que acompanhado.

5
Vagnerr

A conformidade SAS70 se você estiver fazendo isso ou Sarbanes Oxley tem uma provisão para controlar os sistemas financeiros.

5
Rob Bergin

Permitir que os clientes o acesso ao próprio kit pareça um "direito" fundamental. A segurança do Colo deve ser observante e estruturada o suficiente para que o acesso à Rack-by-Rack pelos clientes esteja seguro.

Se outros clientes sentirem que exigem mais segurança, então eles podem sair e obter sua própria gaiola ou sala.

4
Stu Thompson

Se os clientes são acompanhados por um membro da equipe autorizada, isso parece bem para mim. Eu certamente não deixaria um cliente na sala de servidores desacompanhada. Quanto ao pessoal, os controles Stict devem ser aplicados.

Se você quiser usar a sala do servidor como uma peça de exposição, então janelas ou paredes de vidro são uma ótima maneira de fazer isso sem andar inúmeras pessoas através de uma área sensível.

4
user640

Em grande medida, depende de que tipo de hospedagem você está fornecendo. Alguns data centers nunca precisarão permitir visitantes, embora possa ser útil ter janelas através do qual os clientes podem ver o hardware.

Existem outros data centers onde os clientes devem ser permitidos acesso físico. por exemplo. Para restaurar de uma fita usando uma unidade local. Esse tipo de acesso será necessário se, por exemplo, a instalação oferece instalações de continuidade de recuperação de desastres/negócios. As próprias instalações do cliente podem ter sido destruídas, portanto, todas as funções são temporariamente executadas no data center.

2
John Gardeniers