來自7位IT和網(wǎng)絡(luò)安全專家的這些數(shù)據(jù)中心安全最佳實(shí)踐保護(hù)您的服務(wù)器和數(shù)據(jù)

想象一下，您有一堆金條，您有責(zé)任保護(hù)它。您是否將其保留在任何小偷都可以接觸到的地方，還是將其鎖定在鑰匙下？

同樣的類比適用于您的數(shù)據(jù)中心-信息虛擬的金礦-但許多公司選擇在數(shù)據(jù)中心安全方面做到最低。數(shù)據(jù)中心-處理，分發(fā)和存儲您的寶貴數(shù)據(jù)的聯(lián)網(wǎng)計(jì)算機(jī)服務(wù)器和設(shè)備-是組織數(shù)字基礎(chǔ)架構(gòu)的關(guān)鍵組成部分。數(shù)據(jù)中心安全性是保護(hù)其免受網(wǎng)絡(luò)攻擊和其他虛擬威脅的策略，流程，過程和技術(shù)的組合。

那么，您應(yīng)該了解哪些數(shù)據(jù)安全標(biāo)準(zhǔn)才能達(dá)到并保持合規(guī)性？我們已經(jīng)征詢了幾位IT和網(wǎng)絡(luò)安全專家的意見，并分享了他們的數(shù)據(jù)中心安全最佳實(shí)踐。

讓我們對其進(jìn)行哈希處理。

數(shù)據(jù)中心安全性的重要性持續(xù)增長

數(shù)據(jù)的安全性對任何企業(yè)都至關(guān)重要，這不足為奇。這是決定您業(yè)務(wù)成敗的寶貴信息。專有信息（例如，知識產(chǎn)權(quán)和商業(yè)秘密）以及客戶的個人和財(cái)務(wù)信息都是在數(shù)據(jù)中心內(nèi)可能發(fā)現(xiàn)的數(shù)據(jù)類型的所有示例。

有意或無意的數(shù)據(jù)泄露可能導(dǎo)致：

名譽(yù)受損和客戶信任的喪失 —如果有消息說您沒有采取必要的步驟來保護(hù)客戶的數(shù)據(jù)（甚至您自己的知識產(chǎn)權(quán)），那么他們?yōu)槭裁匆湃文?/p>

行業(yè)法規(guī)中的違規(guī)罰款 —有幾項(xiàng)與數(shù)據(jù)中心安全性相關(guān)的關(guān)鍵法規(guī)，包括PCI DSS，HIPAA，GDPR，SAE 18（以前稱為SAE 16）和ISO 27001：2013。

財(cái)務(wù)損失和損失收入 —停機(jī)是企業(yè)的主要問題，可能導(dǎo)致大量收入損失。

TechLoris的首席執(zhí)行官Shayne Sherman 表示，數(shù)據(jù)中心安全的重要性不可低估，對于每個企業(yè)來說，它都應(yīng)是頭等大事。

“花時間確保建筑物的安全，您的員工精通網(wǎng)絡(luò)安全防護(hù)，并且您滿足合規(guī)性要求在保護(hù)資產(chǎn)免受惡意行為者方面大有幫助?！薄?TechLoris首席執(zhí)行官Shayne Sherman

因此，不用說，如果其中任何一條信息落入不正確的人手中，您都會陷入困境。這就是為什么您需要了解一些可以實(shí)施的數(shù)據(jù)中心安全最佳實(shí)踐的原因。

提示1：實(shí)施數(shù)據(jù)中心物理安全措施

當(dāng)人們想到為保護(hù)組織數(shù)據(jù)而采取的安全措施類型時，他們不一定會考慮物理安全方面。為什么？他們通常過于關(guān)注與網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露引起的數(shù)據(jù)丟失風(fēng)險(xiǎn)有關(guān)的問題。

但是，公司可能沒有意識到物理安全威脅可能是最具影響力的威脅。一個這樣的例子就是前谷歌工程師安東尼·萊萬多夫斯基（Anthony Levandowski）的案例，他對竊取公司的商業(yè)機(jī)密并將其提供給優(yōu)步表示認(rèn)罪。

根據(jù)《紐約客》上的一篇文章，萊萬多夫斯基直接訪問Google的服務(wù)器進(jìn)行盜竊：

“根據(jù)Google的說法，在Levandowski辭職前一個月，他已將工作發(fā)行的筆記本電腦插入Google服務(wù)器，并下載了約一萬四千個文件，包括硬件原理圖。他將文件傳輸?shù)酵獠?a target="_blank">驅(qū)動器，然后將筆記本電腦擦干凈。”

組織可以根據(jù)需要和可用資源而擁有幾種主要類型的數(shù)據(jù)中心：

公共云數(shù)據(jù)中心 -這種數(shù)據(jù)中心不在現(xiàn)場，由IBM Cloud，Amazon Web Services（AWS）和其他技術(shù)巨頭等公共云提供商托管。盡管越來越多地采用這些平臺，但行業(yè)內(nèi)仍存在許多爭論，但其中許多問題是在客戶級別（例如服務(wù)器配置錯誤），而不是在提供商級別。

私人托管主機(jī)數(shù)據(jù)中心 -這種數(shù)據(jù)中心是您與其他公司和組織共享服務(wù)器的一種。這對于技術(shù)專業(yè)知識有限或無法承擔(dān)大量資本支出成本的公司來說非常有用。但是，它不一定是最安全的選擇。

托管數(shù)據(jù)中心 -這種數(shù)據(jù)中心是公司與其他公司共享空間，但擁有自己的服務(wù)器和其他設(shè)備的數(shù)據(jù)中心。與托管的托管數(shù)據(jù)中心相比，這為您的數(shù)據(jù)提供了更多保護(hù)，因?yàn)槟鷵碛凶约旱脑O(shè)備，并且不會與其他組織共享。

現(xiàn)場數(shù)據(jù)中心 -這種類型的數(shù)據(jù)中心是您在自己的設(shè)施中提供的。擁有本地?cái)?shù)據(jù)中心可提供最高級別的安全性，但與其他數(shù)據(jù)存儲選項(xiàng)相比，其運(yùn)營成本也要高得多。

每種類型都有很大的不同，這意味著每種類型的安全需求都不同。那么，首先應(yīng)該考慮的數(shù)據(jù)中心安全性是什么？

位置，位置，位置

如果您要創(chuàng)建自己的數(shù)據(jù)中心而又不依賴云或托管數(shù)據(jù)中心，那么有計(jì)劃地規(guī)劃數(shù)據(jù)中心的物理空間至關(guān)重要。這包括確定您是希望數(shù)據(jù)中心位于僻靜的地方還是人口稠密的區(qū)域。

但是，在安全性方面規(guī)劃數(shù)據(jù)中心位置時，還應(yīng)牢記什么呢？認(rèn)真對待與天氣有關(guān)的危險(xiǎn)和低洼地區(qū)。（我們發(fā)現(xiàn)洪水和技術(shù)并不是很好的組合。）另外，請務(wù)必當(dāng)心容易發(fā)生地震的高溫地質(zhì)區(qū)。

如果要在人口更稠密的區(qū)域中進(jìn)行構(gòu)建，可以通過將數(shù)據(jù)中心與周圍環(huán)境融為一體來隱藏?cái)?shù)據(jù)中心。

如果您使用的是服務(wù)提供商的設(shè)施，請檢查其建筑和位置。您還可以請求合規(guī)性報(bào)告以查看其度量標(biāo)準(zhǔn)。

關(guān)鍵數(shù)據(jù)中心物理安全措施

但是，除了位置之外，還有許多其他物理安全考慮因素。數(shù)據(jù)中心強(qiáng)化可以包括：

可以保護(hù)設(shè)施免受外部攻擊的鋼筋混凝土墻和結(jié)構(gòu)

服務(wù)器機(jī)柜和機(jī)架固定在地下并用鎖固定

監(jiān)控和調(diào)節(jié)溫度和濕度變化的環(huán)境控制

網(wǎng)絡(luò)安全和IT服務(wù)公司Cybericus的所有者M(jìn)ark Soto 很快指出，盡管物理攻擊并不像網(wǎng)絡(luò)攻擊那么普遍，但它們?nèi)匀皇菍δ鷶?shù)據(jù)安全的真正威脅。

“您需要在數(shù)據(jù)中心周圍設(shè)置安全措施，以確保其安全性。這可以通過徽章系統(tǒng)或密碼鍵盤來實(shí)現(xiàn)，僅允許某些人訪問這些位置。 要充分了解經(jīng)過設(shè)施的人員。如上所述，數(shù)據(jù)泄露的30％是內(nèi)部用戶造成的。作為一家公司，您應(yīng)該非常小心誰有權(quán)訪問數(shù)據(jù)中心以及他們有權(quán)訪問哪些部分。這可能涉及對員工和有權(quán)訪問您的數(shù)據(jù)中心設(shè)施的第三方承包商進(jìn)行背景調(diào)查。”-Cybericus的老板Mark Soto

InfoTracer的網(wǎng)絡(luò)運(yùn)營主管Ben Hartwig 說，您需要考慮設(shè)施的物理設(shè)計(jì)，才能真正評估數(shù)據(jù)中心的安全性。

“在物理安全方面，主要關(guān)注的是建筑物或設(shè)施設(shè)計(jì)本身。物理安全的關(guān)鍵點(diǎn)包括24/7全天候視頻監(jiān)視，金屬探測器和現(xiàn)場安全警衛(wèi)，以及分層的安全措施，安全檢查點(diǎn)（為反映受保護(hù)數(shù)據(jù)的敏感性而定制），有限或單個入口和出口點(diǎn)，以及更多?！薄?InfoTracer的Web運(yùn)營主管Ben Hartwig

某些類型的數(shù)據(jù)中心還具有其他物理要求，例如電信行業(yè)協(xié)會（TIA）在其數(shù)據(jù)標(biāo)準(zhǔn)ANSI / TIA-942 / TIA-942A中概述的要求。

Hartwig還建議將傳統(tǒng)安全措施提高到新的水平。一些方法包括使用多重訪問控制并在每個區(qū)域和每個房間強(qiáng)制執(zhí)行專門的安全性方法。

“每個受個人保護(hù)的區(qū)域都需要不止一種形式的身份驗(yàn)證和通過控制，因?yàn)椴⒎撬袉T工都應(yīng)有權(quán)訪問數(shù)據(jù)中心的每個部分。使用門禁卡和識別徽章，或其他保護(hù)措施，包括在進(jìn)入和離開場所時會稱重訪客的秤，對授權(quán)人員進(jìn)行的連續(xù)背景檢查以及生物識別鎖。”— InfoTracer的Web運(yùn)營主管Ben Hartwig

提示2：不僅要監(jiān)視和限制物理訪問，還要監(jiān)視和限制虛擬訪問

但是保護(hù)數(shù)據(jù)不僅需要安裝門鎖和攝像頭。您實(shí)際上還需要監(jiān)視數(shù)字訪問。為什么？在IBM和Ponemon Institute的《2019年數(shù)據(jù)泄露成本報(bào)告》中報(bào)告的數(shù)據(jù)泄露中，有49％被確定為人為錯誤和系統(tǒng)故障而不是網(wǎng)絡(luò)攻擊。

SSL商店的IT管理員Ross Thomas說，最明顯的數(shù)據(jù)中心安全最佳實(shí)踐之一是查看為有權(quán)訪問您的服務(wù)器的所有用戶設(shè)置的權(quán)限。

“定期權(quán)限審核對于確保訪問權(quán)限僅委派給需要訪問權(quán)限的人員至關(guān)重要。超級用戶非常危險(xiǎn)，因?yàn)樗麄兡軌蜻M(jìn)行任何更改或執(zhí)行任何代碼或進(jìn)程。但是，root用戶是必需的。向正確的用戶分配流程，任務(wù)等是委托流程的絕對最安全的方法。當(dāng)人員離開組織時，應(yīng)該對所有系統(tǒng)中的狀態(tài)進(jìn)行適當(dāng)?shù)脑u估，以確定即使沒有通過前門，他們是否也可以訪問。”— SSL商店的IT管理員Ross Thomas

而且，如果您還不擔(dān)心網(wǎng)絡(luò)釣魚詐騙和密碼不安全，那么應(yīng)該這么做。Verizon的2020年數(shù)據(jù)違規(guī)調(diào)查報(bào)告（DBIR）顯示，五分之四的與黑客相關(guān)的違規(guī)行為涉及暴力破解或使用丟失或被盜的憑證。

因此，如果您不能自動信任用戶就是他們所聲稱的身份，那么解決方案是什么？

采用零信任方法

獨(dú)立軟件測試和信息系統(tǒng)審核公司Kualitatem Inc.的售前經(jīng)理Sami Ullah 表示，組織應(yīng)實(shí)施零信任架構(gòu)：

“零信任模型將每筆交易，數(shù)據(jù)移動或數(shù)據(jù)迭代視為可疑。它是最新的入侵檢測方法之一。該系統(tǒng)跟蹤網(wǎng)絡(luò)行為，并實(shí)時從命令中心發(fā)送數(shù)據(jù)。它會檢查從系統(tǒng)中提取數(shù)據(jù)的任何人，并在檢測到異常的情況下提醒工作人員或撤消帳戶的權(quán)限。”— Kualitatem Inc.的售前經(jīng)理Sami Ullah

提示3：使用正確的工具保護(hù)您的數(shù)據(jù)和網(wǎng)絡(luò)

強(qiáng)大的數(shù)據(jù)中心安全策略是使用基于外圍的安全工具來監(jiān)視和保護(hù)您的網(wǎng)絡(luò)免受內(nèi)部和外部威脅的策略。此方法的一部分是正確配置和保護(hù)您的端點(diǎn)，網(wǎng)絡(luò)和防火墻（這是安全性的核心）。

國際軟件開發(fā)公司Riseapps的首席執(zhí)行官Vladlen Shulepov重點(diǎn)介紹了安全庫中應(yīng)包含的幾種關(guān)鍵監(jiān)視和檢測工具：

“外部威脅通常是數(shù)據(jù)中心的最大敵人，因此必須采取防護(hù)措施。入侵檢測系統(tǒng)，IP地址監(jiān)視和防火墻是一些最有用的工具，可以保護(hù)您的數(shù)據(jù)中心免受外界破壞并確保其安全性?！薄?Riseapps首席執(zhí)行官Vladlen Shulepov

SSL商店的IT管理員Ross Thomas說，使用反向代理也是一個不錯的選擇。反向代理的作用類似于訪問靜態(tài)和動態(tài)內(nèi)容的一線緩存，而不是讓用戶針對每個請求直接訪問Web服務(wù)器或數(shù)據(jù)庫服務(wù)器。

“將反向代理添加到Web服務(wù)器的前面是提高安全性的好方法。它使公眾無法直接訪問包含生產(chǎn)代碼或獲取有價值信息的手段的網(wǎng)絡(luò)服務(wù)器，例如數(shù)據(jù)庫。它還可以減輕某些處理和功能的負(fù)擔(dān)，以允許主服務(wù)器以滿（或接近滿）的電壓運(yùn)行。反向代理與負(fù)載均衡器并沒有太大區(qū)別，取決于服務(wù)器的結(jié)構(gòu)（例如，集群），反向代理通?？梢允且粋€相同的代理。無論如何，保護(hù)有價值的生產(chǎn)代碼/數(shù)據(jù)是安全的選擇?！薄?SSL商店的IT管理員Ross Thomas

如果您想進(jìn)一步加強(qiáng)數(shù)據(jù)中心的網(wǎng)絡(luò)防御能力，則可以（并且應(yīng)該）：

對您的資產(chǎn)，安全管理流程和訪問協(xié)議進(jìn)行定期審核。

使用網(wǎng)絡(luò)級加密來保護(hù)您的數(shù)據(jù)在端點(diǎn)之間傳輸時的安全，并使用服務(wù)器級加密來保護(hù)處于靜止?fàn)顟B(tài)的數(shù)據(jù)。

集成自動化和安全信息以及事件管理（SIEM）工具（或使用第三方服務(wù)）以持續(xù)監(jiān)視日志并報(bào)告安全事件和威脅。

提示4：保持服務(wù)器和系統(tǒng)為最新

沒有人喜歡抽出時間花一些時間來運(yùn)行無聊的更新并將修補(bǔ)程序應(yīng)用于其系統(tǒng)。畢竟，您還有許多重要的事情要做，對吧？

我們非常確定，幾年前受到WannaCry勒索軟件攻擊的23萬臺計(jì)算機(jī)的所有者是不同意的。在這些攻擊中，一個黑客組織利用了NSA的EternalBlue漏洞（微軟已對其進(jìn)行了修補(bǔ)，但WannaCry受害者并未將其應(yīng)用到他們的計(jì)算機(jī)上），以利用其在全球組織和企業(yè)（包括英國的國家衛(wèi)生系統(tǒng)， NHS）。

當(dāng)制造商發(fā)布補(bǔ)丁程序時，這是他們填補(bǔ)產(chǎn)品中發(fā)現(xiàn)的任何安全漏洞的方式。這就像在屋頂上打一個洞以防止雨水傾瀉或漏出一樣。這是他們在壞人利用漏洞并引起問題之前修復(fù)漏洞的方法。

簡而言之，從長遠(yuǎn)來看，修補(bǔ)和更新系統(tǒng)可以為您省去很多麻煩：

“確保您的服務(wù)器保持修補(bǔ)狀態(tài)，并保持最新的軟件版本。這是保護(hù)自己免受已知漏洞影響的最簡單方法。不要因?yàn)橐呀?jīng)解決的問題而受到侵犯?！薄?K2 Cyber Security首席技術(shù)官兼聯(lián)合創(chuàng)始人Jayant Shukla

提示5：已準(zhǔn)備好冗余數(shù)據(jù)備份和基礎(chǔ)架構(gòu)

無論我們談?wù)摂?shù)據(jù)備份多少次，這似乎都遠(yuǎn)遠(yuǎn)不夠。您在頭條新聞中了解到勒索軟件攻擊和其他網(wǎng)絡(luò)攻擊如何使主要城市政府，醫(yī)院和企業(yè)癱瘓。但是，由于某種原因，企業(yè)選擇不采取適當(dāng)?shù)念A(yù)防措施來創(chuàng)建冗余數(shù)據(jù)備份。

懶惰嗎？也許這是“這不會發(fā)生在我身上”的心態(tài)。不管為什么不應(yīng)該找借口，事實(shí)的真相是，就數(shù)據(jù)和輔助基礎(chǔ)結(jié)構(gòu)而言，冗余備份就位可以為您節(jié)省大量時間，金錢和麻煩。當(dāng)胡言亂語（不可避免）時，您會希望花時間做準(zhǔn)備。

我認(rèn)為Hartwig最好地總結(jié)了下一點(diǎn)：

數(shù)據(jù)安全與數(shù)據(jù)中心安全密不可分。為了有效地存儲和保護(hù)數(shù)據(jù)，必須在傳輸過程中對所有數(shù)據(jù)進(jìn)行嚴(yán)格編碼，并始終對其進(jìn)行監(jiān)視和定期備份?！薄?InfoTracer的Web運(yùn)營主管Ben Hartwig

當(dāng)然，在保護(hù)和保持基礎(chǔ)架構(gòu)正常運(yùn)行（以及維持正常運(yùn)行時間）方面，他說還有其他重要的事情：

保持設(shè)備涼爽。您的數(shù)據(jù)中心運(yùn)行在各種硬件上-所有這些都會產(chǎn)生大量的熱量。不受控制的高溫實(shí)際上會導(dǎo)致機(jī)器故障，融化或引起火災(zāi)，因此，對于每個數(shù)據(jù)中心而言，使用強(qiáng)大的氣候控制至關(guān)重要。其中的一部分包括安裝輔助冷卻系統(tǒng)，如果主系統(tǒng)出現(xiàn)故障，則可以啟動。

保護(hù)您的電源。停機(jī)的原因可能多種多樣，從人為錯誤到與天氣有關(guān)的各種問題。它們也可能是功率損耗或短時電涌造成的。無論原因?yàn)楹?，這都意味著您需要安裝備用電源系統(tǒng)，以便在出現(xiàn)問題時能夠啟動設(shè)備和服務(wù)器的正常運(yùn)行。

值得一提的最后一個重要點(diǎn)是使供水管線與其他關(guān)鍵系統(tǒng)分開。幾乎沒有什么事情像水管破裂一樣會破壞您的一天。因此，請確保有兩條線路進(jìn)入您位于不同位置的設(shè)施，但要使其遠(yuǎn)離電源和其他關(guān)鍵基礎(chǔ)設(shè)施。

提示6：使用數(shù)據(jù)中心網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是一個基本上可以幫助您根據(jù)終結(jié)點(diǎn)身份將數(shù)據(jù)網(wǎng)絡(luò)劃分為單獨(dú)組件的過程。通過劃分網(wǎng)絡(luò)并獨(dú)立隔離每個網(wǎng)段，這為黑客必須通過的網(wǎng)絡(luò)增加了障礙，并阻止了黑客在您的網(wǎng)絡(luò)中自由漫游。

馬克·索托（Mark Soto）的網(wǎng)絡(luò)安全和IT服務(wù)公司幫助數(shù)據(jù)中心遭到黑客入侵的企業(yè)，提供一些關(guān)鍵見解，說明可以采取哪些措施來防止遭受攻擊并在攻擊成功后限制損失的發(fā)生：

“通過網(wǎng)絡(luò)分段，如果黑客能夠訪問您的網(wǎng)絡(luò)之一，它可以幫助防止整個系統(tǒng)受到損害。它還使您有時間在最壞的情況下做出反應(yīng)，在其他情況下其他網(wǎng)絡(luò)也有被黑客入侵的危險(xiǎn)。使用網(wǎng)絡(luò)分段，您還可以指定用戶可以訪問哪些網(wǎng)絡(luò)資源。在惡意內(nèi)部用戶至少構(gòu)成數(shù)據(jù)泄露事件30％的世界中，這可能是網(wǎng)絡(luò)分段的最大好處。”-Cybericus的老板Mark Soto

關(guān)于數(shù)據(jù)中心安全性的最終想法

企業(yè)依靠數(shù)據(jù)運(yùn)行，而確保數(shù)據(jù)安全的能力會破壞或破壞您的組織。

數(shù)據(jù)中心是存儲網(wǎng)絡(luò)計(jì)算機(jī)，服務(wù)器和其他基本組件的地方。在災(zāi)難中，這是您數(shù)據(jù)的避風(fēng)港。

通過實(shí)施以下數(shù)據(jù)中心安全最佳實(shí)踐，使服務(wù)器，網(wǎng)絡(luò)和其他相關(guān)設(shè)備盡可能人性化：

采取物理安全措施，以防止壞人從物理上訪問您的網(wǎng)絡(luò)和數(shù)據(jù)存儲設(shè)備。

實(shí)施并強(qiáng)制執(zhí)行訪問限制，以確保只有那些需要訪問（物理和虛擬）的人才能擁有它。

使用正確的安全工具報(bào)告并防御許多數(shù)字安全威脅。

使所有內(nèi)容保持最新狀態(tài)并進(jìn)行修補(bǔ)，以消除已知漏洞。

事半功倍時，可以使用輔助系統(tǒng)和數(shù)據(jù)備份。

如果您正在探索使用云或托管托管服務(wù)提供商的想法，那么與內(nèi)部數(shù)據(jù)中心相比，您對現(xiàn)有物理安全措施的控制權(quán)就更少。但是，您可以要求服務(wù)提供商向您提供合規(guī)性報(bào)告，這可以使您對他們的安全功能更有信心。