Sicurezza del server fisico

Molto tempo e colonne vengono spesi per discutere della protezione di un server da attacchi esterni. Ciò è perfettamente valido perché è più facile per un utente malintenzionato utilizzare Internet per rompere il server piuttosto che ottenere l'accesso fisico.

Tuttavia, alcuni professionisti IT ignorano l'importanza della sicurezza fisica dei server. Molte, se non la maggior parte, delle violazioni più gravi della sicurezza vengono eseguite all'interno dell'organizzazione.

• Come proteggete i vostri server dagli utenti con accesso in loco che non hanno bisogno di accedere al server o alla sala server stessa?

Si trova proprio accanto alla scrivania del responsabile IT in un cubicolo o chiuso dietro diverse porte con scheda elettronica e accesso biometrico?

Una volta che qualcuno ha accesso fisico ai server, quali protezioni sono in atto che impediscono, o almeno registrano, l'accesso a dati sensibili che non hanno ragionevolmente bisogno di vedere?

Naturalmente questo varierà da un'organizzazione all'altra e le esigenze aziendali per le esigenze aziendali, ma anche i server di stampa hanno accesso ai dati sensibili (contratti e informazioni sui dipendenti) in fase di stampa, quindi c'è molto di più di quello che potrebbe apparire a prima vista.

Tutti i nostri server di produzione sono archiviati dall'altra parte del mondo in un solido data center. Trappole per uomini, scanner biometrici, l'intera scatola e dadi.

Per le macchine che si trovano nel nostro ufficio, vivono nella sala server, accessibile solo tramite carta magnetica. Solo gli amministratori di sistema hanno carte magnetiche che possono accedere a quell'area.

In breve, se qualcuno mette fisicamente le mani sul tuo kit, i tuoi dati sono loro. Se questa è una preoccupazione sufficiente, allora comprimere qualcosa di valore e decifrarlo al volo è un requisito pesante ma necessario.

modifica: è possibile estenderlo a questioni di sicurezza fisica del supporto di backup. A che serve una solida sicurezza fisica se i tuoi siti non sono altrettanto o più sicuri?

La quantità di sicurezza fisica necessaria dipende dalla natura e dalle dimensioni della tua azienda, del personale IT, ecc. Per la maggior parte delle aziende più piccole, una porta chiusa a chiave e una videocamera di sicurezza economica faranno il trucco.

È importante anche garantire l'accesso all'armadio elettrico. Lanciare un interruttore fa molto per spegnere i sistemi informatici.

Tutte le maniere di sicurezza fisica possono essere prese con accesso a smart card, sensori prox, porte pesanti, pedane, telecamere, password complesse, biometria.

Il problema è quando gli elettricisti dovevano fare i cavi, aprire la porta con un mattone e andare a pranzo senza avvisare nessuno. Era successo una volta. Per fortuna sono arrivato pochi istanti dopo. Divertente come un mattone può aggirare $ 10k + di sicurezza.

Un'altra cosa. Fai attenzione agli utenti non tecnici e alla loro stupidità.

I nostri server di produzione erano sicuri presso il centro di colocation, ma quelli di sviluppo in ufficio. Una volta la donna delle pulizie non riuscì a trovare la presa di corrente libera e collegò l'aspirapolvere all'UPS dei server. Fortunatamente aveva un allarme di sovraccarico abbastanza forte, quindi potevamo reagire prontamente.

Altro caso (non so quanta leggenda reale o urbana sia), lì dove misteriosi tempi di inattività di uno dei server ogni giorno al mattino presto. Nessuno è stato in grado di identificare il problema. Ne conseguì che la guardia di sicurezza all'inizio del suo turno avrebbe scollegato uno dei server e collegato la caffettiera. Pensava che "nessuno se ne sarebbe accorto, erano solo 3 minuti".

Il nostro edificio era una banca, quindi manteniamo i nostri server nel caveau. Il raffreddamento non è eccezionale, ma ne abbiamo solo una mezza dozzina e nessuno di essi è estremamente potente, quindi non è un problema.

Questa è in parte leggenda urbana, in parte verità.

UL: Una società stava costruendo una nuova sala computer e l'amministratore IT stava mostrando le misure di sicurezza (trappola per uomo, carte magnetiche, ecc.) A uno dei suoi amici. L'amico annuì, sembrando molto colpito. Pochi minuti dopo i due stanno parlando appena fuori dalla porta quando l'amico ha un'idea. Gira le spalle al muro e gli dà un bel calcio, rompendo un buco di buone dimensioni nel muro. Inutile dire che l'amministratore aveva i muri rinforzati prima di entrare.

Verità: piccola impresa in affitto in un edificio multi-inquilino. Chiavi della carta, ecc. Durante un fine settimana qualcuno ha perforato un buco nel muro a secco vicino alla porta e rubato 20 computer (incluso il server con tutte le chiavi di licenza)

Abbiamo uno strato di metallo sotto il muro a secco della nostra sala computer.

La nostra sala server è protetta tramite keycard. Solo il personale IT dispone di keycard che apriranno la porta e solo il dipartimento di sicurezza ha il controllo delle autorizzazioni di accesso della keycard.

Una volta all'interno della sala server, tutti i server sono tenuti in rack chiusi. Le porte anteriore e posteriore di ciascun rack sono bloccate e solo al personale IT vengono assegnate le chiavi del rack.

Manteniamo anche gli armadi di rete su tutti i piani bloccati e solo i membri del team delle strutture hanno le chiavi per queste porte.

Se è una società medio-piccola, probabilmente avrà i suoi server nel centro di colocation, se è una grande azienda, avrà la propria.

Questo di solito fornisce sicurezza fisica significa che hai menzionato. Ciò che non hai menzionato è la schermatura elettromagnetica, che impedisce l'intercettazione (ci sono prodotti disponibili in commercio in grado di intercettare Ethernet a doppino intrecciato da una distanza di circa 100 piedi). Nel caso delle banche, si tratta di strutture simili a bunker, che resisterebbero persino agli attacchi EMP .

È anche tipico per il data center, avere almeno due posizioni fisiche, avere il backup in caso di qualche tipo di disastro naturale (alluvione, incendio, qualunque cosa). Ovviamente è un alimentatore proprio, non solo UPS, ma anche generatori.

Chiedi al tuo personale IT (e, se possibile, un ufficiale di polizia / amico riservista o qualcuno nel campo della sicurezza) di sedersi in una stanza un giorno. Guarda Sneakers, Mission Impossible e Oceans 11.

Quindi escogita tutti gli scenari in cui qualcuno entrerebbe nella stanza. Sotto il pavimento, attraverso le pareti, sconfiggendo la serratura della porta, attraverso il soffitto, attraverso le prese d'aria.

Quindi, stratifica la tua sicurezza.

Usa porte, serrature, barre e grate in cemento e metallo per rendere la stanza il più impermeabile possibile.

Quindi, supponi che la tua prima linea di sicurezza sia stata violata.

Sensori di movimento, allarmi silenziosi, allarmi sonori sono tutti buoni.

I blocchi su tutti gli scaffali tengono fuori le persone (o le rallentano).

Alcune telecamere (fuori dalla porta e nella sala server) che accedono a una stanza / sito separato sono un ottimo deterrente.

Come nota a margine, non dimenticare di proteggere i backup.

Il mio lavoro ruota attorno a qualcosa che è, ah, non così critico ... quindi la sicurezza non è così stretta come " Iron Mountain " o qualcosa del genere. Tuttavia...

La sala server si trova al secondo piano di un edificio che utilizza pareti di lastre di cemento da 6 ". Il punto di ingresso iniziale esterno richiede una chiave (e il superamento dei dipendenti del banco anteriore). Il secondo punto di accesso richiede una chiave diversa . Il terzo punto di ingresso richiede una terza chiave e la porta utilizza un vetro a rete per prevenire attacchi casuali, anche se immagino che qualcuno con una motosega, una fiamma ossidrica o altri mezzi di attacco rumorosi / invadenti / ovvi possa passare. L'intera struttura è coperta da telecamere funzionanti sui DVR che registrano i movimenti 24 ore su 24, 7 giorni su 7, e i DVR stessi sono protetti in modo simile.

I backup vengono archiviati nella sala server in un inserto di sicurezza ignifugo, che viene quindi inserito in un'ulteriore cassaforte antincendio. I backup fuori sede vengono eseguiti direttamente dal responsabile IT, che vive in una casa allarmata (e sono sicuro che ha anche una cassaforte in loco).

No, non ho progettato la sicurezza fisica, né stabilisco la politica sulla sicurezza fisica. Il posto vende scatole di cavoli e arance e quant'altro, quindi non è che ci occupiamo della gestione di segreti militari o statali ...

A seconda dei tuoi dati potresti prendere in considerazione la supervisione.

Un data center di cui sono a conoscenza: non ho avuto accesso ma i miei compagni di squadra lo hanno fatto. Avevi bisogno di ID foto e autorizzazione per accedere. Quindi nel caso del nostro team che lo ha visitato raramente, abbiamo dovuto ricevere una lettera dal nostro direttore per accedere ai nostri server.

Una volta che avessero deciso di farti entrare, avrebbero preso un'impronta digitale e ti avrebbero appeso il badge standard / la carta di accesso. Quindi sei stato scortato da due persone, una scorta tecnica e una guardia di sicurezza. Capisco l'idea che se la persona tecnica ti ha visto fare qualcosa che non gli piace, ti ha messo la guardia di sicurezza per impedirti di fare qualunque cosa fosse.

Questo era un data center che ospitava server per le principali banche internazionali nella City di Londra.

Ah ah, sapevo che le persone prendevano sul serio la sicurezza, ma la biometria? mentale. Suppongo che dipenda davvero dalla natura dei dati che hai archiviato. Ho dovuto cercare una configurazione di piccole dimensioni per la nostra società di progettazione e abbiamo trovato alcune cose buone su GuruOnline, molti video sulla sicurezza della rete e cose. È piuttosto semplice ma potrebbe essere un buon inizio ...

La donna delle pulizie con aspirapolvere e guardia di sicurezza con una macchina da caffè. ha-ha. almeno non sono pagati per conoscere tutte le cose IT. ecco la vera storia di halloween.

il nostro responsabile IT ha deciso di andare avanti e uscire. l'amministratore delegato della compagnia ha assunto alcuni slick che non avevano idea dell'IT, ma sono andati nella stessa scuola elegante, quindi suppongo che durante l'intervista parlassero di vecchi tempi, sfide di canottaggio, alcol e ragazze.

alla sua seconda settimana il nuovo responsabile IT è andato nella sala server e dopo ore è rimasto per un po 'a familiarizzare con l'installazione (non ho ancora idea di cosa ci facesse lì). perché gli aircons sono abbastanza forti li ha spenti. dopo poche ore di scherzi è tornato a casa (forse molto soddisfatto, forse anche letteralmente - non escludo la possibilità che lui guardi lì). sicuramente era molto stanco (lunghe ore molto rumorose, ecc.), quindi ha naturalmente dimenticato di riaccendere l'aria condizionata.

entro la mattina il server del database è stato completamente arrestato e altri 2 server non sono riusciti nei prossimi 2 giorni.

e tu dici donna delle pulizie. sicuramente farebbe un lavoro migliore (soprattutto per l'importo che gli è stato pagato). l'unica cosa positiva di quella storia è che l'intero dipartimento IT, ognuno di noi è andato dal MD uno alla volta e ha detto che sarebbe stato un disastro se fosse rimasto. per fortuna MD ha capito che è qualcosa di veramente sbagliato se tutti lo dicessero e ha sparato l'idioma.