數據是一種商品,需要積極的數據中心安全策略才能對其進行正確管理。系統中的單一漏洞將對公司造成嚴重破壞并產生長期影響。您的關鍵工作負載是否與外部?網絡安全威脅隔離?這是您想知道您的公司是否使用(或計劃使用)托管服務的第一個保證。對可信數據中心的入侵往往更頻繁地發生。當有關APT 攻擊?(Advanced Persistent Threat) 成功的新聞爆出時,公眾會注意到。為了阻止這種趨勢,服務提供商需要采用零信任模型。從物理結構到聯網機架,每個組件的設計都考慮到了這一點。
零信任架構
零信任模型將數據的每筆交易、移動或迭代都視為可疑。它是最新的入侵檢測方法之一。該系統跟蹤網絡行為,并實時從指揮中心流出數據。它會檢查任何從系統中提取數據的人,并在檢測到異常時提醒員工或撤銷帳戶的權限。
數據中心的安全層和冗余
確保數據安全需要安全控制,并且系統檢查逐層構建到數據中心的結構中。從物理建筑本身、軟件系統和日常任務中涉及的人員。您可以將圖層分為物理層或數字層。
數據中心物理安全標準
地點
評估數據中心是否安全從位置開始。
可信數據中心的設計將考慮:
- 該地區的地質活動
- 區域內高風險行業
- 任何洪水風險
- 其他不可抗力風險
您可以通過在物理設計中設置障礙或額外冗余來防止上面列出的一些風險。由于有害影響,這些事件將對數據中心的運營產生影響;最好完全避免它們。
建筑物、結構和數據中心支持系統
構成數據中心的結構設計需要降低任何訪問控制風險。周圍的圍欄,建筑物墻壁的厚度和材料,以及它的入口數量。這些都會影響數據中心的安全。
一些關鍵因素還包括:
- 配有鎖的服務器機柜。
- 建筑物需要不止一個供應商來提供電信服務和電力。
- UPS 和發電機等額外的備用?電源系統?是關鍵基礎設施。
- 陷阱的使用。這涉及在兩個單獨的門之間安裝一個氣閘,兩扇門都需要驗證
- 考慮未來在同一邊界內的擴展
- 與空白區分開的支持系統允許授權的工作人員執行他們的任務。它還阻止維護和服務技術人員在無人監督的情況下進入。
物理訪問控制
控制數據中心周圍的訪客和工作人員的移動至關重要。如果您在所有門上都安裝了生物識別掃描儀——并記錄誰可以訪問什么以及何時訪問——這將有助于調查未來任何潛在的違規行為。火災逃生通道和疏散路線應該只允許人們離開建筑物。不應有任何室外把手,以防止重新進入。打開任何安全門都應該發出警報。所有車輛入口點都應使用加固護柱以防止車輛襲擊。
保護所有端點
任何設備,無論是連接到數據中心網絡的服務器、平板電腦、智能手機還是筆記本電腦,都是端點。數據中心為安全標準可能存疑的客戶提供機架和籠子空間。如果客戶沒有正確保護服務器,整個數據中心都可能處于危險之中。攻擊者將嘗試利用連接到互聯網的不安全設備。例如,大多數客戶希望遠程訪問配電單元 (PDU),以便他們可以遠程重新啟動服務器。在此類用例中,安全性是一個重要問題。設施提供商應了解并保護所有連接到互聯網的設備。
維護視頻和條目日志
所有日志,包括視頻監控錄像和進入日志,都應存檔至少三個月。發現一些違規行為已經為時已晚,但記錄有助于識別易受攻擊的系統和入口點。
文件安全程序
擁有嚴格、定義明確和記錄在案的程序至關重要。像定期交付這樣簡單的事情需要對其核心細節進行精心計劃。不要留下任何解釋。
運行定期安全審計
審計范圍從每日安全檢查、物理排查到季度 PCI 和?SOC 審計。物理審計是必要的,以驗證實際條件是否符合報告的數據。
數據中心的數字安全層
以及所有物理控制、軟件和網絡構成了可信數據中心的其余安全和訪問模型。有多層數字保護旨在防止安全威脅獲得訪問權限。
入侵檢測和防御系統
該系統檢查高級持續威脅 (APT)。它側重于尋找那些成功訪問數據中心的人。APT 通常是贊助攻擊,黑客將針對他們收集的數據有一個特定的目標。檢測這種攻擊需要實時監控網絡和系統活動以發現任何異常事件。
異常事件可能包括:
- 具有提升權限的用戶在奇數時間訪問系統的增加
- 服務請求的增加可能導致分布式拒絕服務攻擊 (DDoS)
- 出現或在系統中移動的大型數據集。
- 從系統中提取大型數據集
- 對關鍵人員的網絡釣魚嘗試增加
為了應對這種攻擊,入侵檢測和預防系統 (IDPS) 使用正常系統狀態的基線。任何異常活動都會得到響應。IDP 現在使用人工神經網絡或機器學習技術來發現這些活動。
建筑管理系統的安全最佳實踐
樓宇管理系統 (BMS) 與其他數據中心技術同步發展。他們現在可以管理建筑物系統的各個方面。這包括訪問控制、氣流、火災報警系統和環境溫度。現代 BMS 配備了許多連接的設備。它們從分散的控制系統發送數據或接收指令。設備本身以及它們使用的網絡都可能存在風險。任何具有 IP 地址的東西都是可破解的。
安全的建筑管理系統
安全專家知道,讓數據中心脫離地圖的最簡單方法是攻擊其建筑管理系統。制造商在設計這些設備時可能沒有考慮到安全性,因此補丁是必要的。如果受到網絡攻擊,像自動噴水滅火系統這樣微不足道的東西就可以摧毀數百臺服務器。
分割系統
將樓宇管理系統與主網絡分開不再是可選的。更重要的是,即使有這樣的預防措施,攻擊者也可以找到破壞主要數據網絡的方法。在臭名昭著的 Target 數據泄露事件中,樓宇管理系統位于物理上獨立的網絡上。然而,這只會減緩攻擊者的速度,因為他們最終會從一個網絡跳轉到另一個網絡。這將我們引向另一個關鍵點——監控橫向運動。
橫向運動
橫向移動是攻擊者用來在設備和網絡中移動并獲得更高權限的一組技術。一旦攻擊者滲透到系統中,他們就會映射所有設備和應用程序,以嘗試識別易受攻擊的組件。如果未及早檢測到威脅,攻擊者可能會獲得特權訪問,并最終造成嚴重破壞。橫向移動監控限制了數據中心安全威脅在系統內活躍的時間。即使有了這些額外的控制,BMS 中仍有可能存在未知接入點。
網絡級別的安全
越來越多地使用基于虛擬化的基礎架構帶來了新級別的安全挑戰。為此,數據中心正在采用網絡級安全方法。網絡級加密在網絡數據傳輸層使用密碼學,負責端點之間的連接和路由。加密在數據傳輸期間處于活動狀態,并且這種類型的加密獨立于任何其他加密工作,使其成為一個獨立的解決方案。
網絡分段
在軟件級別對網絡流量進行分段是一種很好的做法。這意味著根據端點身份將所有流量分類到不同的段中。每個段都與所有其他段隔離,因此充當獨立的子網。網絡分段?簡化了策略執行。此外,它包含單個子網中的任何潛在威脅,防止它攻擊其他設備和網絡。
虛擬防火墻
盡管數據中心將有一個物理防火墻作為其安全系統的一部分,但它也可能為其客戶配備一個虛擬防火墻。虛擬防火墻監視數據中心物理網絡之外的上游網絡活動。這有助于在不使用必要的防火墻資源的情況下及早發現數據包注入。虛擬防火墻可以是管理程序的一部分,也可以?以?橋接模式存在于它們自己的虛擬機上。
傳統威脅防護解決方案
著名的威脅防護解決方案包括:
- 虛擬化專用網絡和加密通信
- 內容、數據包、網絡、垃圾郵件和病毒過濾
- 流量或 NetFlow 分析器和隔離器
結合這些技術將有助于確保數據安全,同時保持所有者可以訪問。
數據中心安全標準
使數據服務更安全和數據中心安全標準化的趨勢。為了支持這一點,??Uptime Institute?發布了數據中心的等級分類系統。分類系統為確保可用性的數據中心控制設置了標準。由于安全性會影響系統的正常運行時間,因此它構成了其?等級分類?標準的一部分。系統定義了四個 4 層。每一層都映射到業務需求,這取決于存儲和管理的數據類型。
第 1 層和第 2 層
被視為戰術服務,第 1 層和第 2 層將僅具有本文中列出的一些安全功能。它們成本低,可供不希望實時訪問其數據并且不會因臨時系統故障而遭受財務損失的公司使用。它們主要用于異地數據存儲。
第 3 層和第 4 層
這些層具有更高級別的安全性。它們具有內置冗余功能,可確保正常運行時間和訪問。為了解服務中斷造成的聲譽損害成本的公司提供關鍵任務服務。這些實時數據處理設施提供最高標準的安全性。
