사람들이 서버 실에 들어 가지 못하게하는 이유

나는 몇몇 호스팅 회사에서 일했고 이것에 대해 두 가지 생각의 학교를 보았습니다.

1. 고객이 서버 실에 들어 가지 못하게하십시오. 논쟁은 기본적으로 보안을 강화한다는 것입니다 ( 이 뉴스 스토리 는 일반적으로 사람들을 아는 경우에만 보안이 좋은 이유로 제공됩니다). 개인 정보 보호 및 로컬 터미널을 제공하면 충분합니다.
2. 사람들이 자신의 컴퓨터에 액세스해야하므로 훌륭한 쇼룸을 만들 수 있기 때문에 고객이 서버 실에 입장 할 수 있습니다.

사람들이 서버 실에 들어가서는 안되는 이유 (법률, 규정 준수 등)가 있습니까?

각 클라이언트의 하드웨어가 별도의 케이지 등으로 분리되어 있다고 가정하면 사람들이 서버 룸에 들어 가지 못하게 할 이유가 없습니다. 그러나 은행, 경찰 등 매우 민감한 중요 데이터의 경우 그 방에있는 자격을 갖춘 소수의 사람들 만이 가능합니다. 고객과 관련하여 고객이 자격을 갖추고 있으며 악의적이지 않다는 것을 어떻게 알 수 있습니까? 위험이 없습니다.

약간의 다운 타임이나 데이터 손실로 인해 큰 문제가 발생할 수있는 상황에서는 항상주의를 기울이는 것이 안전합니다.

정말 모든 것을 말합니다 :)

내 경험상 서비스 / 시스템 가동 중단의 75 %가 '계층 8'/웨어웨어 문제입니다. 사람들은 음료를 엎 지르거나 버튼을 누르지 말고 케이블을 넘어 뜨리거나 아무 문제없이 RAID 페일 오버를 테스트하기까지합니다!

사람들을 막으십시오. 이렇게하는 한 가지 방법은 직접 입력해야하는 '입국 이유'필드가있는 수동 입력 로그를 작성하는 것입니다.

개인적으로 내가 다른 곳에서 장비를 호스트하고 장비를 작동시키지 않으면 꽤 짜증이납니다. 시설을 안전하게 유지하고 거리에서 다른 사람을 데려가는 것이 좋지 않다는 것을 알고 있지만 장비를 호스팅하기 위해 비용을 지불하는 경우 시스템 보안에 관심이 있습니다. 그것을 타협하기 위해 무엇이든 할 것입니다.

보안이 필요합니다. DC에 들어가려면 ID 또는 비밀번호 또는 홍채 스캔이 필요하지만, 모두 함께 막 으면 다른 곳으로 사업을 할 수 있습니다.

머신에 대한 물리적 접근 == 머신을 루팅 할 기회.

기계실의 장비에 접근하기를 원하지 않는 서버 실에 사람이 있으면 안됩니다. 또는 다른 사용자가 기계실에 물리적으로 액세스 할 수 있도록하려면 기계 제어에 대한 물리적 액세스 (KVM 또는 기타 로컬 / 콘솔 수단과 함께)를 제한하십시오.

내 마음에 가장 좋은 방법은 관리자가 아닌 사람에 대한 액세스를 완전히 차단하거나, 글로벌 액세스 권한이없는 서버 룸에있는 사람 (예 : 공급 업체)에서 보안 호위를 제공하거나 키 잠금 하드웨어를 제자리에 유지하는 것입니다. 인증 된 사용자 / 관리자의 하위 집합으로 키를 제한합니다. 마지막 부분은 고객이 공간을 임대 할 대부분의 코 로케이션 공간에 가장 적합한 방법입니다.

또한 : 기회가 있다면, 두 가지 형태의 접근이 필요한 "에어 록"시스템이 있는지 확인하십시오. 우리의 경우에는 펀치 및 카드 스캔 잠금 장치입니다. 로비에 들어가려면 코드를 자물쇠로 뚫어야합니다. 로비에 들어 서면 실제 서버 실에 들어가기 위해 ID 카드를 스캔해야합니다.

"정말 좋은 생각입니다"외에도, 관련 될 수있는 특정 산업별 SAP, 법률 또는 규정이 있습니다. 교육 기관 또는 정부 기관에는 학생 정보에 대한 액세스와 관련하여 시행해야 할 특정 법률이 있습니다. 공개적으로 거래되는 회사에 대해서도 비슷한 요구 사항이 있습니다. 그들은 SOX를 준수해야합니다. 의료 산업 또는 병력과 함께 관련 신원 정보를 처리하는 모든 산업은 HIPPA를 따라야합니다. 신용 카드 거래를 저장하는 모든 회사는 가맹점 계약을 준수해야합니다.이 계약은 일반적으로 기계를 저장할 수있는 대상과 기계에 액세스 할 수있는 사람에 대해 매우 명시 적입니다. 귀하의 산업 마일리지는 실제로 다를 수 있습니다.

보안은하지 말아야 할 이유로 이미 언급되었습니다. 다른 하나는 건강과 안전입니다. DC는 훈련받지 않은 사람들에게 위험한 환경 일 수 있습니다. "예를 들어 숙련 된 직원을 동반해야합니다. 데이터 센터에서는 직원이 적절한 과정을 수행하지 않으면 액세스 권한이 부여되지 않아야합니다. 그리고 고객은 액세스 권한이 허용되지 않습니다. 동반하지 않는 한.

액세스를 위해 호위가 필요한 로컬 데이터 센터와 서버를 공동 배치했습니다. 상자를 내려 놓고 누군가를 구할 수있을 때까지 기다려서 고칠 수 있어야하는 것은 아닙니다. 그러면 그 사람은 지루 해져서 그냥보고 있습니다. 이 경우 몇 시간이 걸렸습니다. 우리는 지금 사내에서 서버를 운영합니다 ...

SAS70 준수 여부 또는 Sarbanes Oxley는 재무 시스템 관련 IT 제어 조항을 보유하고 있습니다.

이것에 대해 생각해합니까 은행이 수 의 고객이 금고 예금으로 이동하거나 자신의 계정에서 /로 돈을 인출? 대답은 : 만 계정 상자 개별적으로 확보하고 있으며, 경우에 그렇다하더라도 그들이 가드가 당신을 동반 할 수 있습니다. 그러나 보안 수준이 높은 시나리오의 가장 좋은 점은 보안 수준이 높은 은행이 필요로하는 경우 필요할 때 상자를 가져 오는 것 입니다.

고객에게 공인 된 직원이 동행하면 괜찮습니다. 나는 확실히 서버 룸에있는 고객을 무인으로 보내지 않을 것이다. 직원의 경우 stict 제어가 시행되어야합니다.

서버 룸을 쇼 피스로 사용하려면 창문이나 유리 벽을 사용하여 민감한 지역을 지나는 수많은 사람들을 걷지 않고 그것을 할 수 있습니다.

고객이 자신의 키트에 액세스하도록 허용하는 것은 근본적인 '권리'와 같습니다. Colo의 보안은 고객의 랙별 액세스가 안전 할 정도로 충분히 준수되고 구조화되어야합니다.

다른 고객이 더 많은 보안이 필요하다고 생각하면 나가서 자신의 케이지나 방을 얻을 수 있습니다.

제공하는 호스팅의 종류에 따라 크게 다릅니다. 고객이 하드웨어를 볼 수있는 창을 갖는 것이 도움이 될 수 있지만 일부 데이터 센터에서는 방문자를 방문 할 필요가 없습니다.

고객이 물리적 액세스를 반드시 허용해야하는 다른 데이터 센터가 있습니다. 예 : 로컬 드라이브를 사용하여 테이프에서 복원합니다. 예를 들어 시설에서 재해 복구 / 비즈니스 연속성 시설을 제공하는 경우 이러한 종류의 액세스가 필요합니다. 고객의 자체 구내가 파손되었을 수 있으므로 모든 기능이 데이터 센터에서 일시적으로 수행됩니다.

컴퓨터에 대한 물리적 액세스는 항상 보안에서 가장 중요한 부분이며 가장 간과되는 부분입니다. 특히 해당 지역에 대한 액세스 권한을 기록한 경우 에스코트 된 액세스 권한이 있어야합니다. 가상화 된 환경에서 물리적 액세스는 문제가되지 않습니다.