Como gerenciar chaves de rack?

9

Como resultado de uma auditoria de segurança, há a necessidade de bloquear os racks e gerenciar as chaves:

  1. Mantenha as chaves seguras
  2. Registrar uso de chave

O cumprimento desses dois requisitos tem muitos desafios, pois há muitos sysadmins e netadmins possíveis (cerca de 10) que precisam de acesso à sala do servidor.

Estamos considerando várias soluções possíveis, mas todo mundo tem algumas desvantagens, principalmente relacionadas a quem é o principal mestre e como manter a disponibilidade no caso de ausência de tal pessoa.

Você bloqueia seus racks? Como você gerencia as chaves para garantir disponibilidade e responsabilidade?

    
por chmeee 18.06.2009 / 18:59

15 respostas

12

Compre um cofre para chaves, coloque-o na sala do servidor, forneça a (s) chave (s) ao cofre da chave para seu (s) lacaio (s) confiável (s) e um ou dois auxiliares de apoio (proprietários amigáveis e prestativos ou pessoas responsáveis pela contabilidade). já são confiáveis com dinheiro e tal).

Os funcionários confiáveis são os únicos que bloqueiam e reabastecem os racks, e eles se registram em um log.

Como o cofre está na sala do servidor, ele deve ser coberto pela segurança que você já tem.

    
por 18.06.2009 / 19:07
8

Coloque-os em uma caixa de bloqueio protegida por uma senha digital para cada usuário, que registra a entrada na caixa.

    
por 18.06.2009 / 19:06
3

Não travamos os racks dos servidores, bloqueamos a sala e ela fica do outro lado do corredor e visível a partir dos escritórios de 3 ou 4 pessoas de TI, para que ninguém possa entrar lá sem nos notar.

O cofre com códigos de acesso para cada ideia mencionada acima é bom. Relendo as perguntas, vejo a parte sobre como auditar o uso da chave. Eu sei que os corretores de imóveis de lockboxes aqui usados podem fazer isso: cada corretor de imóveis tem uma chave eletrônica que está registrada neles, os registros de lockbox que abrem a chave e o dono do cofre pode baixar um relatório. Eu não imagino que isso seja barato, no entanto ...

    
por 18.06.2009 / 19:17
3

Eu recomendo bloquear a sala do servidor, não os racks. Além disso, para rastrear o acesso individual, eu usaria um sistema de cartão-chave para permitir o acesso a essa sala.

Os cartões-chave são exclusivos para cada pessoa e podem ser programados para permitir acesso durante a hora específica do dia e dias da semana. Isso permite que você controle mais para que algumas pessoas tenham acesso 24 horas por dia, 7 dias por semana, enquanto outras podem ter apenas 9 a 5 acessos.

Além disso, sistemas como esse permitem criar relatórios mostrando exatamente quem entrou na sala quando você tem um registro de auditoria completo.

    
por 18.06.2009 / 19:34
1

Eu definitivamente consideraria a instalação de um cadeado de código de passagem na porta da sala de servidores - é muito mais fácil do que gerenciar as chaves e os bloqueios têm um preço bastante razoável agora. Ou você pode gastar um pouco mais e obter um que ofereça códigos separados por usuário para registrar o acesso à sala.

Eu deixo as prateleiras abertas, pois acho mais fácil trabalhar e ajudar com o fluxo de ar.

    
por 18.06.2009 / 19:28
0

As chaves são perdidas, copiadas e não são bem controladas.

Eu usaria bloqueios de combinação para os racks que rastreiam o uso conforme cada pessoa recebe seu próprio código.

Trabalhou em um lugar com estes:

Auditcon 252

link

Coloque também uma câmera para ver quem abriu o quê e quando.

    
por 18.06.2009 / 19:42
0

Se eles são racks APC como o nosso, você pode comprar bloqueios de rack de substituição que os mudam de bloqueios de chave para fechaduras de combinação.

link

Caro, mas vale a pena para nós.

    
por 18.06.2009 / 22:39
0

Existem muitas soluções para esse tipo de coisa. Eu tinha um amigo que trabalhava em um local onde eles tinham que gerenciar mais de 500 chaves de veículos - nenhuma tecnologia pesada era necessária. Tente um lugar como este .

    
por 18.06.2009 / 22:59
0

Não bloqueamos nossos racks, mas também não compartilhamos uma sala de servidores. Para chaves que são controladas e compartilhadas em comum, elas estão em uma caixa de chaves bloqueada em uma sala segura. Nós registramos as chaves dentro e fora da caixa de chaves. Estas são principalmente chaves para outros armários de fiação e similares, mas então sabemos quem tinha qual chave quando, e a caixa é protegida através de sua própria trava (albiet fácil de derrotar fisicamente) e o acesso ao cartão de acesso ao data center (que está logado) ).

    
por 18.06.2009 / 23:34
0

Nós usamos também um keysafe. Ele vive dentro de um mantrap entre um centro de operações de pequenas empresas e o DC atual. Para obter uma chave, você tem que passar para a armadilha do homem, insígnia para o cofre e completar uma varredura manual. Então, você insere no DC. Tudo isso é monitorado por vídeo.

    
por 19.06.2009 / 00:47
0

Nós nos livramos das fechaduras das nossas prateleiras e colocamos fechaduras eletrônicas que eram conectadas ao sistema de segurança do edifício.

Se alguém perdeu o cartão de acesso ou foi demitido, demorou menos de um minuto para revogar o acesso. Também nos deu registros de quem estava abrindo prateleiras e quando. Além de limitar o acesso de funcionários e clientes apenas aos racks que deveriam ter acesso.

Edit: Outro truque que fizemos com ele foi dar aos nossos contratantes regulares cartões de acesso que foram desativados por padrão, quando os chamamos para entrar e trabalhar, o NOC habilitaria seus cartões para esse período. Salvou-os ter que entrar no NOC que estava no próximo subúrbio para as chaves primeiro.

    
por 19.06.2009 / 01:25
0

Padronize as fechaduras (faça com que elas sejam chaveadas da mesma forma) para que elas fiquem todas iguais, assim você terá menos problemas com as chaves que estão faltando e tal. A maioria dos serralheiros deve ser capaz de fazer isso se usar o mesmo tipo de bloqueio.

    
por 20.06.2009 / 13:40
0

Racks não são seguros. Você pode tirar as portas da maioria das prateleiras em alguns segundos, mesmo quando estão trancadas.

Você pode precisar de bloqueios para alguma certificação, mas lembre-se disso, se realmente quiser depender disso.

    
por 20.06.2009 / 15:05
0

Você já pensou em usar racks de desbloqueio remoto Rittal CMC? Dessa forma, você pode ter uma auditoria do que estava aberto quando não precisava de chaves.

    
por 20.06.2009 / 16:59
0

CONHECEU que este link seria útil algum dia CyberKeys

É muito mais do que eu preciso, mas parece que é exatamente o que você está procurando.

Você não adora quando os auditores dizem que você precisa de algo, mas não tem sugestões?

    
por 18.06.2009 / 21:27