数据是一种需要主动数据中心安全策略才能正确管理数据的商品。系统中的单一漏洞将对公司造成严重破坏并产生长期影响。您的关键工作负载是否与外部网络安全威胁隔离?如果您的公司使用(或计划使用)托管服务,这是您首先要保证的。为了阻止这种趋势,服务提供商需要采用零信任模型。从物理结构到网络机架,每个组件的设计都考虑到了这一点。
一、零信任架构
零信任模型将每个事务,移动或迭代数据视为可疑数据。它是最新的入侵检测方法之一。系统实时跟踪网络行为和来自指挥中心的数据流。它会检查从系统中提取数据的任何人,并向工作人员发出警报或撤消来自帐户的权限,从而检测到异常。
二、安全层和数据中心的冗余
保护数据安全需要安全控制,并且系统检查逐层构建到数据中心的结构中。从物理建筑本身,软件系统和参与日常任务的人员。您可以将图层分为物理图层或数字图层。
1、数据中心物理安全标准
评估数据中心是否安全从位置开始。受信任的数据中心的设计将考虑到:
该地区的地质活动
该地区的高风险行业
任何洪水风险
其他不可抗力的风险
您可以通过在物理设计中设置障碍或额外冗余来防止上面列出的某些风险。由于有害影响,这些事件将对数据中心的运作产生影响,最好完全避免它们。
2、建筑物,结构和数据中心支持系统
组成数据中心的结构设计需要降低任何访问控制风险。围绕周边的围栏,建筑物墙壁的厚度和材料,以及它的入口数量。所有这些都会影响数据中心的安全性。
一些关键因素还包括:
服务器机柜配有锁。
建筑物需要一个以上的电信服务和电力供应商。
UPS和发电机等额外的电源备份系统是关键基础设施。
使用验证。这涉及在两个单独的门之间设置一个气闸,两个门都需要进行认证
3、物理访问控制
控制数据中心周围的访客和员工的移动至关重要。如果您在所有门上都有生物识别扫描仪 - 并记录谁有权访问什么和什么时间 - 这将有助于调查未来可能发生的任何违规行为。消防逃生和疏散路线应该只允许人们离开大楼。不应该有任何户外把手,防止再次进入。打开任何安全门都应该发出警报。
4、保护所有端点
任何设备,无论是服务器,平板电脑,智能手机还是连接到数据中心网络的笔记本电脑,都是一个端点。数据中心为安全标准可能不确定的客户提供机架和机箱空间。如果客户未正确保护服务器,则整个数据中心可能存在风险。攻击者将试图利用连接到互联网的不安全设备。
例如,大多数客户希望远程访问配电装置(PDU),因此他们可以远程重启服务器。在这种用例中,安全性是一个重要问题。设施提供商必须了解并保护连接到互联网的所有设备。
5、维护视频和条目日志
所有日志,包括视频监控录像和入口日志,应保存至少三个月。当已经为时已经太晚时确定了一些漏洞,但记录有助于识别易受攻击的系统和入口点。
6、文件安全程序
拥有严格,明确和有文件记录的程序至关重要。像常规交付这样简单的东西需要精心规划其核心细节。不要将任何东西留给解释。
7、运行常规安全审核
审计范围可以从日常安全检查,物理演练到季度PCI和SOC审计。必须进行物理审核,以验证实际条件是否符合报告的数据。
8、数据中心的数字安全层
除了所有物理控制,软件和网络构成了受信任数据中心的其余安全和访问模型。有多层数字保护旨在防止安全威胁获得访问权限。
入侵检测和预防系统
入侵检测和预防系统检查高级持续性威胁
该系统检查高级持续性威胁(APT)。它侧重于找到那些成功获得数据中心访问权限的人。APT通常是受到攻击的攻击,黑客会针对他们收集的数据设定一个特定的目标。
检测此类攻击需要对任何异常事件的网络和系统活动进行实时监控。
三、建筑管理系统的安全最佳实践
建筑管理系统(BMS)与其他数据中心技术一致。他们现在可以管理建筑物系统的各个方面。这包括访问控制,气流,火警系统和环境温度。
现代BMS配备了许多连接设备。它们从分散控制系统发送数据或接收指令。设备本身可能是风险,也可能是他们使用的网络。任何具有IP地址的东西都是可以攻击的。
1、安全的建筑管理系统
安全专业人员知道,将数据中心从地图上移除的最简单方法是攻击其楼宇管理系统。
在设计这些设备时,制造商可能没有安全性,因此必须使用补丁。如果由网络攻击引发的话,像喷水灭火系统那样微不足道的东西可以摧毁数百台服务器。
2、细分系统
从主网络分割建筑物管理系统不再是可选的。更重要的是,即使采取这种预防措施,攻击者也可以找到破坏主要数据网络的方法。
在的目标数据泄露期间,楼宇管理系统位于物理上独立的网络上。然而,这只会减慢攻击者的速度,因为他们最终从一个网络跳到另一个网络。这导致我们进入另一个关键点 - 监控横向运动。
4、横向运动
横向移动是攻击者用来在设备和网络中移动并获得更高权限的一组技术。一旦攻击者渗入系统,他们就会映射所有设备和应用程序,以尝试识别易受攻击的组件。
如果未及早发现威胁,攻击者可能会获得特权访问,并最终造成严重破坏。横向移动监控限制了数据中心安全威胁在系统内部活动的时间。使有这些额外的控制,BMS内仍然可能存在未知的接入点。
5、在网络级安全
基于虚拟化的基础架构的使用增加带来了新的安全挑战。为此,数据中心正在采用网络级安全方法。网络级加密是在网络数据传输层使用加密技术,负责端点之间的连接和路由。数据传输期间加密处于活动状态,此类加密独立于任何其他加密工作,使其成为独立的解决方案。
6、网络分段
优良作法是在软件级别划分网络流量。这意味着根据端点标识将所有流量分类到不同的段中。每个段与所有其他段隔离,因此充当独立子网。
网络分段简化了策略实施。此外,它包含单个子网中的任何潜在威胁,防止其攻击其他设备和网络。
7、虚拟防火墙
虽然数据中心将物理防火墙作为其安全系统的一部分,但它也可能为其客户提供虚拟防火墙。虚拟防火墙监视数据中心物理网络之外的上游网络活动。这有助于在不使用必要的防火墙资源的情况下尽早查找数据包。拟防火墙可以是虚拟机管理程序的一部分,也可以在桥接模式下在自己的虚拟机上运行。
8、传统的威胁防护解决方案
众所周知的威胁防护解决方案包括:
虚拟专用网络和加密通信
内容,数据包,网络,垃圾邮件和病毒过滤
交通或网络流量分析仪和隔离器
这些技术的结合将有助于确保数据安全,同时保持所有者可访问。
四、数据中心安全标准
管理数据中心的安全性有一种趋势是使数据服务更安全并使数据中心的安全性标准化。分类系统为数据中心的“控制”设定了标准,以确保可用性。由于安全性会影响系统的正常运行时间,因此它构成了其层级分类标准的一部分。系统定义了四个4层。每个层都映射到业务需求,这取决于存储和管理的数据类型。
第1层和第2层
作为战术服务,第1层和第2层仅具有本文中列出的一些安全功能。它们成本低,并且由不希望实时访问其数据且由于临时系统故障而不会遭受财务损失的公司使用。它们主要用于异地数据存储。
第3层和第4层
这些层级具有更高的安全级别。它们具有内置冗余,可确保正常运行时间和访问权限。为知道服务中断的声誉损害成本的公司提供关键任务服务。这些实时数据处理设施提供最高的安全标准。
认真对待数据中心安全
越来越多的公司正在将其关键工作负载和服务转移到托管服务器和云计算基础架构。数据中心是坏人的主要目标。
根据本文中介绍的最佳实践来衡量您的服务提供商至关重要。
网友评论