業(yè)務(wù)連續(xù)性規(guī)劃要求您的業(yè)務(wù)和 IT 運(yùn)營在緊急情況下保持暢通無阻。在這方面,您的數(shù)據(jù)中心應(yīng)該能夠24/7 全天候保護(hù)您的系統(tǒng)和數(shù)據(jù)。如果您的數(shù)據(jù)中心也在潛在的災(zāi)難性事件中宕機(jī),那么您精心制定的計(jì)劃將付之東流。數(shù)據(jù)中心安全標(biāo)準(zhǔn)會(huì)派上用場,無論您是要構(gòu)建自己的數(shù)據(jù)中心還是將其外包給第三方提供商。鑒于后者有多年建立數(shù)據(jù)中心的經(jīng)驗(yàn),外包有優(yōu)勢,其中最重要的是安全性。
在尋找第三方提供商時(shí),數(shù)據(jù)中心安全性應(yīng)該放在您的清單上的首位。您將把專有和敏感信息委托給您的提供商這一事實(shí)使這一點(diǎn)變得更加重要。盡管許多供應(yīng)商現(xiàn)在都認(rèn)為數(shù)據(jù)中心安全很重要,但對(duì)數(shù)據(jù)中心安全標(biāo)準(zhǔn)進(jìn)行全面審查是必不可少的。只有這樣,您才能委托您的供應(yīng)商處理您的關(guān)鍵任務(wù)基礎(chǔ)設(shè)施和數(shù)據(jù)。
什么是數(shù)據(jù)中心?
數(shù)據(jù)中心是企業(yè)保存重要程序和數(shù)據(jù)的物理位置。數(shù)據(jù)中心的設(shè)計(jì)建立在允許共享應(yīng)用程序和數(shù)據(jù)交付的計(jì)算機(jī)和存儲(chǔ)資源網(wǎng)絡(luò)之上。
誰需要數(shù)據(jù)中心安全?
任何依賴數(shù)據(jù)中心進(jìn)行全部或部分運(yùn)營的公司都應(yīng)實(shí)施各種物理和網(wǎng)絡(luò)安全措施,以保護(hù)數(shù)據(jù)中心的數(shù)據(jù)免遭丟失、惡意修改和盜竊。現(xiàn)在幾乎沒有一家公司在沒有某種技術(shù)的情況下運(yùn)作;因此,每家公司都是一家科技公司。大多數(shù)公司已經(jīng)從紙張轉(zhuǎn)向數(shù)字,現(xiàn)在大多數(shù)數(shù)據(jù)都存儲(chǔ)在計(jì)算機(jī)上而不是文件柜上。每個(gè)企業(yè)都需要一種機(jī)制來確保其數(shù)據(jù)中心中的數(shù)據(jù)安全可靠。
數(shù)據(jù)中心安全標(biāo)準(zhǔn)概述
數(shù)據(jù)中心安全是指數(shù)據(jù)中心保護(hù)自身免受潛在物理和電子威脅的方式。它包含一系列用于保護(hù)數(shù)據(jù)中心的流程和技術(shù),所有這些都旨在確保您的系統(tǒng)即使在最糟糕的情況下也能保持運(yùn)行。
訪問管理是數(shù)據(jù)中心安全的關(guān)鍵。在物理方面,這包括位置、單門訪問、鎖門、安保人員、生物識(shí)別 ID 和監(jiān)視系統(tǒng)。在電子方面,這包括數(shù)據(jù)控制、安全策略和訪問列表,由于數(shù)據(jù)泄露和其他形式的網(wǎng)絡(luò)攻擊帶來的威脅,所有這些都變得越來越重要。
理想的數(shù)據(jù)中心必須擁有訓(xùn)練有素且精通物理和網(wǎng)絡(luò)安全策略和程序的人員。他們必須提供備用站點(diǎn)、設(shè)備和人員,以防其主要位置發(fā)生故障。必須提供冗余互聯(lián)網(wǎng)訪問以及替代云托管。
數(shù)據(jù)中心安全的關(guān)鍵要素
符合標(biāo)準(zhǔn)
符合ISO/IEC 20000-1 服務(wù)管理標(biāo)準(zhǔn)提供了另一個(gè)安全要素。其他需要尋找的合規(guī)標(biāo)準(zhǔn)包括 SSAE 18 和 SOC。
SSAE 是一個(gè)標(biāo)準(zhǔn),而不是由審計(jì)標(biāo)準(zhǔn)委員會(huì) (ASB) 開發(fā)的認(rèn)證。它要求組織提供聲明以確保其控制到位。SSAE因此引入了對(duì)公司系統(tǒng)和流程的有效控制,并指導(dǎo)公司定期、及時(shí)地評(píng)估其風(fēng)險(xiǎn)。
SOC是對(duì)一個(gè)組織進(jìn)行審核后獲得的認(rèn)證。SOC1提供有關(guān)組織是否已建立其控制結(jié)構(gòu)的信息。SOC 2 適用于需要廣泛保護(hù)客戶財(cái)務(wù)數(shù)據(jù)的組織。服務(wù)提供商必須報(bào)告所有內(nèi)部訪問流程、通知流程、授權(quán)和監(jiān)控實(shí)踐。所有這些參數(shù)都按照美國注冊會(huì)計(jì)師協(xié)會(huì)提供的控制措施進(jìn)行審計(jì)。SOC 3 也需要像SOC 2 一樣的審核,但不需要報(bào)告或測試表,而是適合可能希望在其網(wǎng)站上發(fā)布 SOC 徽標(biāo)的組織。
確保安全政策經(jīng)過定期審查并保持最新,以避免潛在的處罰。
軟件安全
間諜軟件、惡意軟件和黑客攻擊是對(duì)存儲(chǔ)在數(shù)據(jù)中心內(nèi)的數(shù)據(jù)的常見威脅。SIEM(安全信息和事件管理)工具提供數(shù)據(jù)中心安全狀態(tài)的實(shí)時(shí)視圖。這可以幫助提供對(duì)從訪問和警報(bào)系統(tǒng)到圍欄上許可器上的傳感器的所有內(nèi)容的可見性和控制。
物理安全
理想的數(shù)據(jù)中心遠(yuǎn)離自然災(zāi)害頻繁發(fā)生的地區(qū)和其他災(zāi)害的潛在原因。例子包括機(jī)場和化工廠。盡管如此,該設(shè)施應(yīng)由堅(jiān)固的混凝土制成,以防發(fā)生災(zāi)害;障礙物還應(yīng)圍繞該位置,以保護(hù)其免受室外因素的影響。該設(shè)施也可以位于地下,但必須考慮地下環(huán)境條件以避免設(shè)備故障。
無論是地上還是地下,設(shè)施都必須遠(yuǎn)離高速公路,只允許單門進(jìn)入。一旦進(jìn)入,客戶和/或員工只能通過一個(gè)主入口進(jìn)入設(shè)施,后面的裝卸碼頭是唯一的另一個(gè)入口。應(yīng)該有不能從外面打開的消防通道。如果有的話,在行政區(qū)域只允許安裝幾扇夾層玻璃窗。
保護(hù)對(duì)數(shù)據(jù)中心的訪問
在設(shè)施內(nèi),鎖著的門只能由持有適當(dāng)鑰匙卡的授權(quán)人員進(jìn)入,工作人員和訪客的所有關(guān)鍵點(diǎn)都需要生物識(shí)別 ID 訪問。巡回安保人員必須在場,監(jiān)控?cái)z像頭和其他系統(tǒng)遍布整個(gè)設(shè)施,包括室外區(qū)域。訓(xùn)練有素的技術(shù)人員應(yīng)全天候 24/7 監(jiān)控系統(tǒng);如果發(fā)生安全事件,他們應(yīng)該能夠?yàn)槟峁└隆?/p>
網(wǎng)絡(luò)和數(shù)據(jù)安全
數(shù)據(jù)中心通過防火墻、訪問控制列表和入侵檢測系統(tǒng)等工具實(shí)施安全策略。數(shù)據(jù)加密應(yīng)該在靜止和傳輸過程中進(jìn)行,并且對(duì) Web 應(yīng)用程序進(jìn)行符合標(biāo)準(zhǔn)的 SSL 加密。應(yīng)使用 256 位 SSL、復(fù)雜密碼、密碼過期和強(qiáng)制執(zhí)行的重用策略來保護(hù)用戶名和密碼。應(yīng)維護(hù)所有用戶活動(dòng)的審計(jì)日志。
冗余
數(shù)據(jù)中心安全包括提供冗余公用資源,例如電源和冷卻,以最大限度地減少停機(jī)時(shí)間。這些還包括安全、冗余的網(wǎng)絡(luò)連接。將 UPS 設(shè)備就位,確保重要設(shè)備即使在災(zāi)難期間也能正常運(yùn)行。
如果您正在尋求外包,請尋找提供增值服務(wù)的供應(yīng)商,這些供應(yīng)商會(huì)提供受過服務(wù)器維護(hù)和強(qiáng)化、數(shù)據(jù)合規(guī)性和工作場所恢復(fù)培訓(xùn)的員工。這意味著您可以暫時(shí)在他們的場所外運(yùn)營,以防災(zāi)難襲擊您的辦公地點(diǎn)。
虛擬數(shù)據(jù)中心
虛擬數(shù)據(jù)中心具有常規(guī)數(shù)據(jù)中心的所有功能,但它使用基于云的資源而不是物理資源。它允許組織根據(jù)需要使用額外的基礎(chǔ)架構(gòu)資源,而無需購買、部署、配置或管理物理設(shè)備。
數(shù)據(jù)中心的常見威脅和漏洞
網(wǎng)絡(luò)罪犯使用不同的工具來訪問數(shù)據(jù)中心。社會(huì)工程攻擊以人為食,引誘他們泄露密碼或允許不需要的人以各種方式訪問??。像“勒索軟件”這樣的惡意軟件會(huì)禁止真正的用戶登錄并劫持計(jì)算機(jī),直到肇事者得到報(bào)酬,毫無戒心的用戶可以下載這些惡意軟件。網(wǎng)絡(luò)罪犯雇傭不關(guān)心安全的個(gè)人訪問數(shù)據(jù)中心的另一種方法是通過弱密碼。IT 管理員必須告知用戶各種威脅類型并實(shí)施最佳用戶安全實(shí)踐以確保數(shù)據(jù)中心的安全。
