業務連續性規劃要求您的業務和 IT 運營在緊急情況下保持暢通無阻。在這方面,您的數據中心應該能夠24/7 全天候保護您的系統和數據。如果您的數據中心也在潛在的災難性事件中宕機,那么您精心制定的計劃將付之東流。數據中心安全標準會派上用場,無論您是要構建自己的數據中心還是將其外包給第三方提供商。鑒于后者有多年建立數據中心的經驗,外包有優勢,其中最重要的是安全性。
在尋找第三方提供商時,數據中心安全性應該放在您的清單上的首位。您將把專有和敏感信息委托給您的提供商這一事實使這一點變得更加重要。盡管許多供應商現在都認為數據中心安全很重要,但對數據中心安全標準進行全面審查是必不可少的。只有這樣,您才能委托您的供應商處理您的關鍵任務基礎設施和數據。
什么是數據中心?
數據中心是企業保存重要程序和數據的物理位置。數據中心的設計建立在允許共享應用程序和數據交付的計算機和存儲資源網絡之上。
誰需要數據中心安全?
任何依賴數據中心進行全部或部分運營的公司都應實施各種物理和網絡安全措施,以保護數據中心的數據免遭丟失、惡意修改和盜竊。現在幾乎沒有一家公司在沒有某種技術的情況下運作;因此,每家公司都是一家科技公司。大多數公司已經從紙張轉向數字,現在大多數數據都存儲在計算機上而不是文件柜上。每個企業都需要一種機制來確保其數據中心中的數據安全可靠。
數據中心安全標準概述
數據中心安全是指數據中心保護自身免受潛在物理和電子威脅的方式。它包含一系列用于保護數據中心的流程和技術,所有這些都旨在確保您的系統即使在最糟糕的情況下也能保持運行。
訪問管理是數據中心安全的關鍵。在物理方面,這包括位置、單門訪問、鎖門、安保人員、生物識別 ID 和監視系統。在電子方面,這包括數據控制、安全策略和訪問列表,由于數據泄露和其他形式的網絡攻擊帶來的威脅,所有這些都變得越來越重要。
理想的數據中心必須擁有訓練有素且精通物理和網絡安全策略和程序的人員。他們必須提供備用站點、設備和人員,以防其主要位置發生故障。必須提供冗余互聯網訪問以及替代云托管。
數據中心安全的關鍵要素
符合標準
符合ISO/IEC 20000-1 服務管理標準提供了另一個安全要素。其他需要尋找的合規標準包括 SSAE 18 和 SOC。
SSAE 是一個標準,而不是由審計標準委員會 (ASB) 開發的認證。它要求組織提供聲明以確保其控制到位。SSAE因此引入了對公司系統和流程的有效控制,并指導公司定期、及時地評估其風險。
SOC是對一個組織進行審核后獲得的認證。SOC1提供有關組織是否已建立其控制結構的信息。SOC 2 適用于需要廣泛保護客戶財務數據的組織。服務提供商必須報告所有內部訪問流程、通知流程、授權和監控實踐。所有這些參數都按照美國注冊會計師協會提供的控制措施進行審計。SOC 3 也需要像SOC 2 一樣的審核,但不需要報告或測試表,而是適合可能希望在其網站上發布 SOC 徽標的組織。
確保安全政策經過定期審查并保持最新,以避免潛在的處罰。
軟件安全
間諜軟件、惡意軟件和黑客攻擊是對存儲在數據中心內的數據的常見威脅。SIEM(安全信息和事件管理)工具提供數據中心安全狀態的實時視圖。這可以幫助提供對從訪問和警報系統到圍欄上許可器上的傳感器的所有內容的可見性和控制。
物理安全
理想的數據中心遠離自然災害頻繁發生的地區和其他災害的潛在原因。例子包括機場和化工廠。盡管如此,該設施應由堅固的混凝土制成,以防發生災害;障礙物還應圍繞該位置,以保護其免受室外因素的影響。該設施也可以位于地下,但必須考慮地下環境條件以避免設備故障。
無論是地上還是地下,設施都必須遠離高速公路,只允許單門進入。一旦進入,客戶和/或員工只能通過一個主入口進入設施,后面的裝卸碼頭是唯一的另一個入口。應該有不能從外面打開的消防通道。如果有的話,在行政區域只允許安裝幾扇夾層玻璃窗。
保護對數據中心的訪問
在設施內,鎖著的門只能由持有適當鑰匙卡的授權人員進入,工作人員和訪客的所有關鍵點都需要生物識別 ID 訪問。巡回安保人員必須在場,監控攝像頭和其他系統遍布整個設施,包括室外區域。訓練有素的技術人員應全天候 24/7 監控系統;如果發生安全事件,他們應該能夠為您提供更新。
網絡和數據安全
數據中心通過防火墻、訪問控制列表和入侵檢測系統等工具實施安全策略。數據加密應該在靜止和傳輸過程中進行,并且對 Web 應用程序進行符合標準的 SSL 加密。應使用 256 位 SSL、復雜密碼、密碼過期和強制執行的重用策略來保護用戶名和密碼。應維護所有用戶活動的審計日志。
冗余
數據中心安全包括提供冗余公用資源,例如電源和冷卻,以最大限度地減少停機時間。這些還包括安全、冗余的網絡連接。將 UPS 設備就位,確保重要設備即使在災難期間也能正常運行。
如果您正在尋求外包,請尋找提供增值服務的供應商,這些供應商會提供受過服務器維護和強化、數據合規性和工作場所恢復培訓的員工。這意味著您可以暫時在他們的場所外運營,以防災難襲擊您的辦公地點。
虛擬數據中心
虛擬數據中心具有常規數據中心的所有功能,但它使用基于云的資源而不是物理資源。它允許組織根據需要使用額外的基礎架構資源,而無需購買、部署、配置或管理物理設備。
數據中心的常見威脅和漏洞
網絡罪犯使用不同的工具來訪問數據中心。社會工程攻擊以人為食,引誘他們泄露密碼或允許不需要的人以各種方式訪問??。像“勒索軟件”這樣的惡意軟件會禁止真正的用戶登錄并劫持計算機,直到肇事者得到報酬,毫無戒心的用戶可以下載這些惡意軟件。網絡罪犯雇傭不關心安全的個人訪問數據中心的另一種方法是通過弱密碼。IT 管理員必須告知用戶各種威脅類型并實施最佳用戶安全實踐以確保數據中心的安全。
