Segurança do servidor físico

Navegue suas respostas
19

Muito tempo e colunas são gastos discutindo a proteção de um servidor contra ataques externos. Isso é perfeitamente válido porque é mais fácil para um invasor usar a Internet para quebrar seu servidor do que para obter acesso físico.

No entanto, alguns profissionais de TI ignoram a importância da segurança do servidor físico. Muitas, senão a maioria, das mais flagrantes violações de segurança são realizadas dentro da organização.

  • Como você protege seus servidores contra usuários com acesso no local que não precisam acessar o servidor ou a própria sala de servidores?

É ao lado da mesa do gerente de TI em um cubículo ou trancado atrás de várias portas com cartão eletrônico e acesso biométrico?

Quando alguém tem acesso físico aos servidores, que proteções existem para impedir, ou pelo menos registrar, o acesso a dados confidenciais que eles não precisam ver?

É claro que isso varia de organização para organização e necessidade de negócios para necessidade de negócios, mas até mesmo servidores de impressão têm acesso a dados confidenciais (contratos e informações de funcionários) sendo impressos, portanto, há mais do que pode parecer à primeira vista.

    
por Adam Davis 15.09.2010 / 11:24

13 respostas

22

Todos os nossos servidores de produção são armazenados no outro lado do mundo em um data center sólido. Armadilhas de homem, scanners biométricos, toda a caixa e dados.

Para as máquinas que estão em nosso escritório, elas moram na sala do servidor, acessível apenas via cartão magnético. Apenas os administradores de sistema têm cartões que podem acessar essa área.

Em suma, se alguém fisicamente estiver com as mãos no kit, seus dados serão deles. Se isso é uma preocupação suficiente, colocar qualquer coisa de valor e descriptografá-la em tempo real é um requisito pesado, mas necessário.

edit: você pode estender isso para questões de segurança física de sua mídia de backup. De que adianta uma segurança física sólida se seus locais não são tão ou mais seguros?

    
por 05.05.2009 / 17:56
8

A quantidade de segurança física de que você precisa depende da natureza e do tamanho do seu negócio, da equipe de TI, etc. Para a maioria das empresas menores, uma porta trancada e uma câmera de segurança de baixo custo farão o possível.

Garantir o acesso ao armário elétrico também é importante. Jogar um disjuntor ajuda muito a desligar os sistemas de computadores.

    
por 05.05.2009 / 17:52
6

Todas as formas de segurança física podem ser tomadas com acesso a cartão inteligente, sensores prox, portas pesadas, placas de bumbo, câmeras, senhas strongs, biometria.

O problema é quando os eletricistas precisavam fazer a fiação, sustentar a porta com um tijolo e sair para almoçar sem avisar ninguém. Isso aconteceu uma vez. Felizmente eu cheguei momentos depois. Engraçado como um tijolo pode contornar $ 10k + de segurança.

    
por 05.05.2009 / 17:59
5

Outra coisa. Cuidado com os usuários não técnicos e sua estupidez.

Nossos servidores de produção estavam seguros no centro de colocation, mas os de desenvolvimento no escritório. Uma vez que a faxineira não conseguiu encontrar a tomada de energia livre, e conectou o aspirador de pó ao no-break dos servidores. Felizmente, o alarme de sobrecarga era muito alto, para que pudéssemos reagir prontamente.

Outro caso (não sei quanta lenda real ou urbana é), onde misteriosos tempos de inatividade de um dos servidores todos os dias de manhã cedo. Ninguém conseguiu identificar o problema. Como resultado, o segurança no início de seu turno desligaria um dos servidores e ligaria a cafeteira. Ele pensou que "ninguém notaria, eram apenas 3 minutos".

    
por 06.05.2009 / 09:38
3

Nosso prédio costumava ser um banco, então mantemos nossos servidores no cofre. O resfriamento não é ótimo, mas temos apenas meia dúzia, e nenhum deles é extremamente poderoso, então não é realmente um problema.

    
por 31.05.2009 / 13:41
2

Nossa sala de servidores é protegida via cartão de acesso. Somente o pessoal de TI possui cartões-chave que abrirão a porta e somente o departamento de segurança tem controle sobre as permissões de acesso do seu cartão-chave.

Uma vez dentro da sala do servidor, todos os servidores são mantidos em racks fechados. As portas frontal e traseira de cada rack estão trancadas e somente a equipe de TI recebe chaves de rack.

Também mantemos os armários de rede em todos os andares bloqueados, e apenas membros da equipe de Instalações possuem chaves para essas portas.

    
por 05.05.2009 / 18:01
2

Se for uma empresa pequena a média, provavelmente terá seus servidores no centro de colocation, se for uma corporação grande, terá seus próprios recursos.

Isso geralmente fornece segurança física significa que você mencionou. O que você não mencionou é blindagem eletromagnética, evitando a interceptação (existem produtos comercialmente disponíveis capazes de interceptar Ethernet de par trançado a uma distância de trinta metros ou mais). No caso dos bancos, trata-se de estruturas semelhantes a um bunker, que suportariam até mesmo ataques EMP .

Também é típico que o data center tenha pelo menos dois locais físicos, para ter backup em caso de algum tipo de desastre natural (flood, fire, whatever). É claro que é fonte de alimentação própria, não só UPS, mas também geradores.

    
por 05.05.2009 / 18:11
2

Esta parte é lenda urbana, parte verdade.

UL: Uma empresa estava construindo uma nova sala de informática e o administrador de TI exibia as medidas de segurança (armadilhas de homem, cartões de furto, etc.) para um de seus amigos. O amigo acenou com a cabeça, parecendo muito impressionado. Poucos minutos depois, os dois estão conversando do lado de fora da porta quando o amigo tem uma idéia. Ele vira as costas para a parede e dá um bom chute, quebrando um buraco de bom tamanho na parede. Escusado será dizer que o administrador teve as paredes reforçadas antes de se mudar.

Verdade: Espaço para locação de pequenas empresas em um prédio com vários inquilinos. Chaves de cartão, etc. Durante um final de semana, alguém fez um buraco no drywall ao lado da porta e roubou 20 computadores (incluindo o servidor com todas as chaves de licença)

Temos uma camada de metal sob o drywall de nossa sala de computadores.

    
por 15.09.2010 / 11:40
1

Meu trabalho gira em torno de algo que é, ah, não tão crítico ... então a segurança não é tão rígida quanto " Iron Mountain "ou algo assim. No entanto ...

A sala do servidor está no segundo andar de um prédio que usa 6 "paredes de concreto. O ponto de entrada inicial requer uma chave (e passar pelos funcionários do front-counter). O segundo ponto de entrada requer um diferente O terceiro ponto de entrada requer uma chave de terceiro , e a porta emprega vidro de malha de arame para evitar ataques casuais, embora eu ache que alguém com uma motosserra, maçarico ou outro barulhento / intrusivo Os meios óbvios de ataque seriam atendidos.Toda a instalação é coberta por câmeras rodando em DVRs que gravam o movimento 24 horas por dia, 7 dias por semana, e os próprios DVRs são protegidos de maneira similar.

Os backups são armazenados na sala do servidor em uma inserção segura contra incêndio com classificação de mídia, que é então colocada dentro de um cofre adicional contra incêndio. Os backups externos são feitos diretamente pelo gerente de TI, que mora em uma casa alarmada (e tenho certeza que também tem um cofre no local).

Não, não projetei a segurança física nem determinei a política de segurança física. O lugar vende caixas de repolho e laranjas e tudo mais, então não é como se estivéssemos no negócio de lidar com segredos militares ou de estado ...

    
por 10.05.2009 / 19:34
1

Dependendo de seus dados, você pode querer considerar a supervisão.

Um centro de dados que conheço - não acessei, mas meus colegas de equipe o fizeram. Você precisava de identificação com foto e autorização para acessar. Portanto, no caso de nossa equipe que raramente a visitava, precisávamos receber uma carta de nosso diretor para acessar nossos servidores.

Uma vez que eles decidiram deixá-lo entrar, eles pegaram uma cópia do polegar e penduraram o cartão de acesso / crachá padrão em você. Então você foi escoltado por duas pessoas, uma escolta técnica e um guarda de segurança. Eu entendo que a idéia era se o técnico viu você fazer algo que ele não gostou, ele colocou o segurança em você para evitar que você fizesse o que quer que fosse.

Este era um centro de dados que continha servidores para os principais bancos internacionais da cidade de Londres.

    
por 19.06.2009 / 16:27
1

Faça com que sua equipe de TI (e, se possível, um policial / amigo reservista ou alguém na área de segurança) fique sentado em uma sala algum dia. Veja Sneakers, Mission Impossible e Oceans 11.

Em seguida, crie todos os cenários em que alguém invadisse a sala. Debaixo do chão, através das paredes, derrotando a fechadura da porta, através do teto, através das aberturas.

Em seguida, proteja sua segurança.

Use portas, fechaduras, barras de concreto e metal / grades para deixar a sala o mais impermeável possível.

Então, suponha que sua primeira linha de segurança foi violada.

Sensores de movimento, alarmes silenciosos, alarmes sonoros são bons.

Bloqueios em todas as prateleiras mantêm as pessoas fora (ou diminuem a velocidade).

Algumas câmeras (fora da porta e na sala do servidor) que acessam uma sala / site separada são um excelente impedimento.

Como observação, não se esqueça de proteger os backups.

    
por 15.09.2010 / 11:30
0

Ha ha, eu sabia que as pessoas levavam a segurança a sério, mas a biometria? mental. Suponho que realmente dependa da natureza dos dados que você armazenou. Eu tive que pesquisar uma configuração de tamanho pequeno para a nossa empresa de design e encontramos algumas coisas boas no GuruOnline, muitos vídeos sobre segurança de rede e outras coisas. É bem básico, mas pode ser um bom começo ...

    
por 15.09.2010 / 13:53
0

A faxineira com um aspirador e guarda de segurança com uma máquina de café. ha-ha pelo menos eles não são pagos para conhecer todas as coisas de TI. aqui está a verdadeira história do dia das bruxas.

nosso gerente de TI decidiu seguir em frente e sair. o diretor administrativo da empresa contratou algumas pessoas espertas que não tinham ideia sobre TI, mas elas foram para a mesma escola elegante, então eu suponho que na entrevista eles estavam falando sobre velhos tempos, desafios de remo, bebida e meninas.

em sua segunda semana, o novo gerente de TI foi até a sala de servidores e ficou depois de algum tempo se familiarizando com a configuração (eu ainda não tenho ideia do que ele estava fazendo lá). porque os aircon são bem strongs, ele os desligou. depois de algumas horas de brincadeira ele foi para casa (talvez muito satisfeito, talvez até literalmente - eu não excluo a possibilidade de ele ver p0rn lá). com certeza ele estava muito cansado (longas horas de muito barulho etc) então ele naturalmente esqueceu de trocar o ar condicionado de volta.

pela manhã o servidor de banco de dados foi preparado completamente para parar e 2 outros servidores falharam nos próximos 2 dias.

e você diz faxineira. ela certamente faria um trabalho melhor (especialmente pelo valor que ele recebia). A única coisa boa nessa história é que todo o departamento de TI, cada um de nós foi ao médico um por um e disse que seria um desastre se ele ficasse. felizmente a MD percebeu que algo realmente errado, se todo mundo dissesse isso e atirasse o idiota.

    
por 18.02.2012 / 01:25

Tags

modifica o arquivo unitário do systemd sem alterar o arquivo de unidade do upstream Por que o IPv6 usa o AAAA para representar seus registros DNS?