你好,游客 登錄
背景:
閱讀新聞

如何保證托管數據中心的安全

[日期:2019-10-24] 來源:企業網D1Net  作者: [字體: ]

  數據對于組織和個人來說是私有的,但數據中心通常是共享的。而這是托管數據中心服務商須面對的安全問題。

  很多企業希望將業務遷移到云端,但其內部部署數據中心仍然擁有大量的IT資源。為了使業務更容易處理,企業通常將它們遷移到托管數據中心。業界廠商Vertiv公司在2017年開展的一項調查發現,57%的企業計劃增加數據中心外包服務。而Technavio公司的研究預測,到2022年,托管數據中心市場將以9%左右的速度增長。

  同時,大部分云平臺實際上運行在托管數據中心空間中,像AWS這樣的云計算巨頭使用大量的共享設施來填補覆蓋范圍的空白。

  對于客戶而言,托管數據中心行業降低投資成本、擴大規模,并實現有效的地理分布。但也有一個缺點:租戶須信任負責托管硬件和數據的托管服務提供商,須知道托管數據中心也有可能遭受潛在攻擊。

  Equinix公司英國和北歐地區總經理Russell Poole說:“數據中心用戶需要重視安全性,這是我們所有客戶希望在一起部署時主要的要求。”

  托管數據中心供應商的高度優先權

  在托管數據中心發生的安全事件對于客戶的影響和危害就像發生在自己擁有和運營的數據中心一樣。但對于受到影響的托管數據中心服務商來說,發生安全性故障可能會更令人尷尬,因為這代表著其核心業務的失敗。

  托管數據中心服務商C I Host公司位于芝加哥托管的托管數據中心在2005年至2007年期間發生四起盜竊事件,盜竊者盜竊了該數據中心價值數萬美元的服務器。2018年12月,澳大利亞電信提供商Vocus公司遭到客戶投訴,指出該公司一個數據中心設施的大門幾個月都對外開放。除了盜竊物理基礎設施外,未經授權的服務器訪問還讓入侵者竊取數據或更改在該硬件上運行的數據和進程。

  雖然這兩家公司仍在運營托管數據中心業務,但如果不能保障數據中心設施和設備的安全,將會造成毀滅性的后果。即使其服務條款在安全事故責任方面是無懈可擊的,但失去信任很容易導致客戶流失,特別是在市場競爭激烈并且服務提供商眾多的情況下。

  Poole說,“在數據泄露能夠讓在全球開展業務的企業一夜之間陷入困境的情況下,數據中心在防止發生這種情況方面扮演著很重要的角色。安全漏洞的隱患不僅對托管數據中心服務商的聲譽造成災難性的影響,而且對于租戶的聲譽也造成災難性的影響。”

  獨特的挑戰

  托管數據中心同樣面臨著由企業內部部署數據設施的所有安全問題。但是,他們面臨另一大挑戰,因為為多個租戶提供服務,而且可能隨時都有租戶訪問數據中心。

  數據中心建筑不要設置標識和宣傳廣告,這樣可以減少意外或不受歡迎的訪客進入的機會。外圍圍欄、通用警告標志、少的出入口將有助于阻止居心不良人員的進入。警衛、屏障、監控系統(例如閉路電視)以及潛在的訪問控制(例如鑰匙卡)將控制和減少進入數據中心設施的人數。

  然而,在確保數據中心外圍安全的同時,內部安全才是重點所在。與企業擁有和運營的數據中心相比,外來人員進入意味著數據中心員工應該對此保持高度警惕,并采取更嚴格的控制措施。他們可能會習慣于在數據中心設施內部看到陌生人員開展看似無害的工作,但實際上可能是針對租戶或設施的攻擊者。

  當被問及租用托管數據中心客戶可能面臨攻擊方法的示例時,滲透測試廠商Secarma公司的技術主管Holly Grace Williams說,其中一個有效的方法就是租用同一數據中心設施的空間。

  他說,“如果某人希望對一個托管數據中心的設施或租戶進行攻擊,那么他可以租用數據中心的空間,并獲得訪問權限。然后可以嘗試使用和攻擊數據中心其他租戶的設備;如果發現某個機架圍籠沒有上鎖,并且正好具有時間窗口,則可以將U盤插入服務器的端口竊取數據。正因為如此,關鍵在于托管數據中心服務商需要對客戶進行適當的細分,以及監控和培訓員工。托管數據中心服務商應該構建一條只能允許一個人通過的狹窄通道,在托管數據中心中應該采用可以隔開機架和房間的堅固網狀圍籠。”

  托管數據中心服務商應該具有防篡改機制,以便能夠檢測到客戶的機架何時被打開,并將其與監控系統集成,其監控系統可以立即告訴租戶的員工是否在場,以及可能發生撬鎖和強行打開圍籠的情況。

  他說,“托管數據中心服務商的團隊需要密切注意在設施中工作的工作人員,以保障他們只能使用自己的工具箱,并且如果不是租戶公司的員工打開了其機架,就會立即采取行動。”

  外部人員進入數據中時,應使用生物特征識別和密鑰卡等訪問控制設備,并記錄某人何時去了哪里。內部監控設施(如閉路電視和攝像頭)也應遍布在整個設施中,并配備全天候值班人員。

  Equinix公司的Poole建議說,““當潛在的租戶訪問數據中心以評估其適用性時,他們應該問自己,‘如果我忘記了通行證,進入這里將會有多困難?’其答案應該是‘禁止進入’。”

  他解釋說,如果有人需要進入Equinix公司的數據中心,只能通過預約訪問,并且需要通過一系列安全措施(例如生物特征識別、指紋讀取器等)控制人員出入,這些讀取器可以從加密的數據庫中識別出指紋和權限。

  他說,“一旦有人員進入,訓練有素的安保人員將讓他們簽字,并進行視覺確認,確保只有經過授權的訪問者才能進入。數據中心采用數以百計的攝像頭和手持讀取器進行監控,為關鍵基礎設施領域和所有客戶提供詳細的監控和存檔。”

  數據中心的安保人員和工作人員都應該受過良好的培訓,并意識到社交工程潛在的風險。如果現場工作人員藐視常規流程讓沒有許可的人員進入,那么其所有的控制和防御措施都將失敗。因此需要確保員工有足夠的信心,即使在壓力面前也能遵守規定,敢于提出問題或仔細核查他們不確定的事情,并對不良行為保持警惕。

  由托管數據中心服務商和租戶進行的定期滲透測試,不僅可以確保安全控制措施得到正確實施,有效發揮作用,并發現潛在的漏洞或不足之處進行改進。同樣,還應鼓勵租戶自行檢查,并確保數據中心的安全達到他們期望或要求的標準。

 

  Secarma公司的Williams解釋說:“安全的托管數據中心和很安全的托管數據中心之間是有區別的,但是大多數人不會根據直覺進行區分,而是根據某些合規性或監管法規要求來區分。”





收藏 推薦 打印 | 錄入:admin | 閱讀:
本文評論   查看全部評論 (0)
表情: 表情 姓名: 字數
點評:
       
評論聲明
  • 尊重網上道德,遵守中華人民共和國的各項有關法律法規
  • 承擔一切因您的行為而直接或間接導致的民事或刑事法律責任
  • 本站管理人員有權保留或刪除其管轄留言中的任意內容
  • 本站有權在網站內轉載或引用您的評論
  • 參與本評論即表明您已經閱讀并接受上述條款
捕鱼达人之深海狩猎玩