業(yè)務(wù)連續(xù)性規(guī)劃要求您的業(yè)務(wù)和 IT 運營在緊急情況下保持暢通無阻。在這方面,您的數(shù)據(jù)中心應(yīng)該能夠24/7 全天候保護您的系統(tǒng)和數(shù)據(jù)。如果您的數(shù)據(jù)中心也在潛在的災(zāi)難性事件中宕機,那么您精心制定的計劃將付之東流。數(shù)據(jù)中心安全標準會派上用場,無論您是要構(gòu)建自己的數(shù)據(jù)中心還是將其外包給第三方提供商。鑒于后者有多年建立數(shù)據(jù)中心的經(jīng)驗,外包有優(yōu)勢,其中最重要的是安全性。
在尋找第三方提供商時,數(shù)據(jù)中心安全性應(yīng)該放在您的清單上的首位。您將把專有和敏感信息委托給您的提供商這一事實使這一點變得更加重要。盡管許多供應(yīng)商現(xiàn)在都認為數(shù)據(jù)中心安全很重要,但對數(shù)據(jù)中心安全標準進行全面審查是必不可少的。只有這樣,您才能委托您的供應(yīng)商處理您的關(guān)鍵任務(wù)基礎(chǔ)設(shè)施和數(shù)據(jù)。
什么是數(shù)據(jù)中心?
數(shù)據(jù)中心是企業(yè)保存重要程序和數(shù)據(jù)的物理位置。數(shù)據(jù)中心的設(shè)計建立在允許共享應(yīng)用程序和數(shù)據(jù)交付的計算機和存儲資源網(wǎng)絡(luò)之上。
誰需要數(shù)據(jù)中心安全?
任何依賴數(shù)據(jù)中心進行全部或部分運營的公司都應(yīng)實施各種物理和網(wǎng)絡(luò)安全措施,以保護數(shù)據(jù)中心的數(shù)據(jù)免遭丟失、惡意修改和盜竊。現(xiàn)在幾乎沒有一家公司在沒有某種技術(shù)的情況下運作;因此,每家公司都是一家科技公司。大多數(shù)公司已經(jīng)從紙張轉(zhuǎn)向數(shù)字,現(xiàn)在大多數(shù)數(shù)據(jù)都存儲在計算機上而不是文件柜上。每個企業(yè)都需要一種機制來確保其數(shù)據(jù)中心中的數(shù)據(jù)安全可靠。
數(shù)據(jù)中心安全標準概述
數(shù)據(jù)中心安全是指數(shù)據(jù)中心保護自身免受潛在物理和電子威脅的方式。它包含一系列用于保護數(shù)據(jù)中心的流程和技術(shù),所有這些都旨在確保您的系統(tǒng)即使在最糟糕的情況下也能保持運行。
訪問管理是數(shù)據(jù)中心安全的關(guān)鍵。在物理方面,這包括位置、單門訪問、鎖門、安保人員、生物識別 ID 和監(jiān)視系統(tǒng)。在電子方面,這包括數(shù)據(jù)控制、安全策略和訪問列表,由于數(shù)據(jù)泄露和其他形式的網(wǎng)絡(luò)攻擊帶來的威脅,所有這些都變得越來越重要。
理想的數(shù)據(jù)中心必須擁有訓(xùn)練有素且精通物理和網(wǎng)絡(luò)安全策略和程序的人員。他們必須提供備用站點、設(shè)備和人員,以防其主要位置發(fā)生故障。必須提供冗余互聯(lián)網(wǎng)訪問以及替代云托管。
數(shù)據(jù)中心安全的關(guān)鍵要素
符合標準
符合ISO/IEC 20000-1 服務(wù)管理標準提供了另一個安全要素。其他需要尋找的合規(guī)標準包括 SSAE 18 和 SOC。
SSAE 是一個標準,而不是由審計標準委員會 (ASB) 開發(fā)的認證。它要求組織提供聲明以確保其控制到位。SSAE因此引入了對公司系統(tǒng)和流程的有效控制,并指導(dǎo)公司定期、及時地評估其風(fēng)險。
SOC是對一個組織進行審核后獲得的認證。SOC1提供有關(guān)組織是否已建立其控制結(jié)構(gòu)的信息。SOC 2 適用于需要廣泛保護客戶財務(wù)數(shù)據(jù)的組織。服務(wù)提供商必須報告所有內(nèi)部訪問流程、通知流程、授權(quán)和監(jiān)控實踐。所有這些參數(shù)都按照美國注冊會計師協(xié)會提供的控制措施進行審計。SOC 3 也需要像SOC 2 一樣的審核,但不需要報告或測試表,而是適合可能希望在其網(wǎng)站上發(fā)布 SOC 徽標的組織。
確保安全政策經(jīng)過定期審查并保持最新,以避免潛在的處罰。
軟件安全
間諜軟件、惡意軟件和黑客攻擊是對存儲在數(shù)據(jù)中心內(nèi)的數(shù)據(jù)的常見威脅。SIEM(安全信息和事件管理)工具提供數(shù)據(jù)中心安全狀態(tài)的實時視圖。這可以幫助提供對從訪問和警報系統(tǒng)到圍欄上許可器上的傳感器的所有內(nèi)容的可見性和控制。
物理安全
理想的數(shù)據(jù)中心遠離自然災(zāi)害頻繁發(fā)生的地區(qū)和其他災(zāi)害的潛在原因。例子包括機場和化工廠。盡管如此,該設(shè)施應(yīng)由堅固的混凝土制成,以防發(fā)生災(zāi)害;障礙物還應(yīng)圍繞該位置,以保護其免受室外因素的影響。該設(shè)施也可以位于地下,但必須考慮地下環(huán)境條件以避免設(shè)備故障。
無論是地上還是地下,設(shè)施都必須遠離高速公路,只允許單門進入。一旦進入,客戶和/或員工只能通過一個主入口進入設(shè)施,后面的裝卸碼頭是唯一的另一個入口。應(yīng)該有不能從外面打開的消防通道。如果有的話,在行政區(qū)域只允許安裝幾扇夾層玻璃窗。
保護對數(shù)據(jù)中心的訪問
在設(shè)施內(nèi),鎖著的門只能由持有適當鑰匙卡的授權(quán)人員進入,工作人員和訪客的所有關(guān)鍵點都需要生物識別 ID 訪問。巡回安保人員必須在場,監(jiān)控攝像頭和其他系統(tǒng)遍布整個設(shè)施,包括室外區(qū)域。訓(xùn)練有素的技術(shù)人員應(yīng)全天候 24/7 監(jiān)控系統(tǒng);如果發(fā)生安全事件,他們應(yīng)該能夠為您提供更新。
網(wǎng)絡(luò)和數(shù)據(jù)安全
數(shù)據(jù)中心通過防火墻、訪問控制列表和入侵檢測系統(tǒng)等工具實施安全策略。數(shù)據(jù)加密應(yīng)該在靜止和傳輸過程中進行,并且對 Web 應(yīng)用程序進行符合標準的 SSL 加密。應(yīng)使用 256 位 SSL、復(fù)雜密碼、密碼過期和強制執(zhí)行的重用策略來保護用戶名和密碼。應(yīng)維護所有用戶活動的審計日志。
冗余
數(shù)據(jù)中心安全包括提供冗余公用資源,例如電源和冷卻,以最大限度地減少停機時間。這些還包括安全、冗余的網(wǎng)絡(luò)連接。將 UPS 設(shè)備就位,確保重要設(shè)備即使在災(zāi)難期間也能正常運行。
如果您正在尋求外包,請尋找提供增值服務(wù)的供應(yīng)商,這些供應(yīng)商會提供受過服務(wù)器維護和強化、數(shù)據(jù)合規(guī)性和工作場所恢復(fù)培訓(xùn)的員工。這意味著您可以暫時在他們的場所外運營,以防災(zāi)難襲擊您的辦公地點。
虛擬數(shù)據(jù)中心
虛擬數(shù)據(jù)中心具有常規(guī)數(shù)據(jù)中心的所有功能,但它使用基于云的資源而不是物理資源。它允許組織根據(jù)需要使用額外的基礎(chǔ)架構(gòu)資源,而無需購買、部署、配置或管理物理設(shè)備。
數(shù)據(jù)中心的常見威脅和漏洞
網(wǎng)絡(luò)罪犯使用不同的工具來訪問數(shù)據(jù)中心。社會工程攻擊以人為食,引誘他們泄露密碼或允許不需要的人以各種方式訪問??。像“勒索軟件”這樣的惡意軟件會禁止真正的用戶登錄并劫持計算機,直到肇事者得到報酬,毫無戒心的用戶可以下載這些惡意軟件。網(wǎng)絡(luò)罪犯雇傭不關(guān)心安全的個人訪問數(shù)據(jù)中心的另一種方法是通過弱密碼。IT 管理員必須告知用戶各種威脅類型并實施最佳用戶安全實踐以確保數(shù)據(jù)中心的安全。
