业务连续性规划要求您的业务和 IT 运营在紧急情况下保持畅通无阻。在这方面,您的数据中心应该能够24/7 全天候保护您的系统和数据。如果您的数据中心也在潜在的灾难性事件中宕机,那么您精心制定的计划将付之东流。数据中心安全标准会派上用场,无论您是要构建自己的数据中心还是将其外包给第三方提供商。鉴于后者有多年建立数据中心的经验,外包有优势,其中最重要的是安全性。
在寻找第三方提供商时,数据中心安全性应该放在您的清单上的首位。您将把专有和敏感信息委托给您的提供商这一事实使这一点变得更加重要。尽管许多供应商现在都认为数据中心安全很重要,但对数据中心安全标准进行全面审查是必不可少的。只有这样,您才能委托您的供应商处理您的关键任务基础设施和数据。
什么是数据中心?
数据中心是企业保存重要程序和数据的物理位置。数据中心的设计建立在允许共享应用程序和数据交付的计算机和存储资源网络之上。
谁需要数据中心安全?
任何依赖数据中心进行全部或部分运营的公司都应实施各种物理和网络安全措施,以保护数据中心的数据免遭丢失、恶意修改和盗窃。现在几乎没有一家公司在没有某种技术的情况下运作;因此,每家公司都是一家科技公司。大多数公司已经从纸张转向数字,现在大多数数据都存储在计算机上而不是文件柜上。每个企业都需要一种机制来确保其数据中心中的数据安全可靠。
数据中心安全标准概述
数据中心安全是指数据中心保护自身免受潜在物理和电子威胁的方式。它包含一系列用于保护数据中心的流程和技术,所有这些都旨在确保您的系统即使在最糟糕的情况下也能保持运行。
访问管理是数据中心安全的关键。在物理方面,这包括位置、单门访问、锁门、安保人员、生物识别 ID 和监视系统。在电子方面,这包括数据控制、安全策略和访问列表,由于数据泄露和其他形式的网络攻击带来的威胁,所有这些都变得越来越重要。
理想的数据中心必须拥有训练有素且精通物理和网络安全策略和程序的人员。他们必须提供备用站点、设备和人员,以防其主要位置发生故障。必须提供冗余互联网访问以及替代云托管。
数据中心安全的关键要素
符合标准
符合ISO/IEC 20000-1 服务管理标准提供了另一个安全要素。其他需要寻找的合规标准包括 SSAE 18 和 SOC。
SSAE 是一个标准,而不是由审计标准委员会 (ASB) 开发的认证。它要求组织提供声明以确保其控制到位。SSAE因此引入了对公司系统和流程的有效控制,并指导公司定期、及时地评估其风险。
SOC是对一个组织进行审核后获得的认证。SOC1提供有关组织是否已建立其控制结构的信息。SOC 2 适用于需要广泛保护客户财务数据的组织。服务提供商必须报告所有内部访问流程、通知流程、授权和监控实践。所有这些参数都按照美国注册会计师协会提供的控制措施进行审计。SOC 3 也需要像SOC 2 一样的审核,但不需要报告或测试表,而是适合可能希望在其网站上发布 SOC 徽标的组织。
确保安全政策经过定期审查并保持最新,以避免潜在的处罚。
软件安全
间谍软件、恶意软件和黑客攻击是对存储在数据中心内的数据的常见威胁。SIEM(安全信息和事件管理)工具提供数据中心安全状态的实时视图。这可以帮助提供对从访问和警报系统到围栏上许可器上的传感器的所有内容的可见性和控制。
物理安全
理想的数据中心远离自然灾害频繁发生的地区和其他灾害的潜在原因。例子包括机场和化工厂。尽管如此,该设施应由坚固的混凝土制成,以防发生灾害;障碍物还应围绕该位置,以保护其免受室外因素的影响。该设施也可以位于地下,但必须考虑地下环境条件以避免设备故障。
无论是地上还是地下,设施都必须远离高速公路,只允许单门进入。一旦进入,客户和/或员工只能通过一个主入口进入设施,后面的装卸码头是唯一的另一个入口。应该有不能从外面打开的消防通道。如果有的话,在行政区域只允许安装几扇夹层玻璃窗。
保护对数据中心的访问
在设施内,锁着的门只能由持有适当钥匙卡的授权人员进入,工作人员和访客的所有关键点都需要生物识别 ID 访问。巡回安保人员必须在场,监控摄像头和其他系统遍布整个设施,包括室外区域。训练有素的技术人员应全天候 24/7 监控系统;如果发生安全事件,他们应该能够为您提供更新。
网络和数据安全
数据中心通过防火墙、访问控制列表和入侵检测系统等工具实施安全策略。数据加密应该在静止和传输过程中进行,并且对 Web 应用程序进行符合标准的 SSL 加密。应使用 256 位 SSL、复杂密码、密码过期和强制执行的重用策略来保护用户名和密码。应维护所有用户活动的审计日志。
冗余
数据中心安全包括提供冗余公用资源,例如电源和冷却,以最大限度地减少停机时间。这些还包括安全、冗余的网络连接。将 UPS 设备就位,确保重要设备即使在灾难期间也能正常运行。
如果您正在寻求外包,请寻找提供增值服务的供应商,这些供应商会提供受过服务器维护和强化、数据合规性和工作场所恢复培训的员工。这意味着您可以暂时在他们的场所外运营,以防灾难袭击您的办公地点。
虚拟数据中心
虚拟数据中心具有常规数据中心的所有功能,但它使用基于云的资源而不是物理资源。它允许组织根据需要使用额外的基础架构资源,而无需购买、部署、配置或管理物理设备。
数据中心的常见威胁和漏洞
网络罪犯使用不同的工具来访问数据中心。社会工程攻击以人为食,引诱他们泄露密码或允许不需要的人以各种方式访问。像“勒索软件”这样的恶意软件会禁止真正的用户登录并劫持计算机,直到肇事者得到报酬,毫无戒心的用户可以下载这些恶意软件。网络罪犯雇佣不关心安全的个人访问数据中心的另一种方法是通过弱密码。IT 管理员必须告知用户各种威胁类型并实施最佳用户安全实践以确保数据中心的安全。
