Como resultado de uma auditoria de segurança, há a necessidade de bloquear os racks e gerenciar as chaves:
O cumprimento desses dois requisitos tem muitos desafios, pois há muitos sysadmins e netadmins possíveis (cerca de 10) que precisam de acesso à sala do servidor.
Estamos considerando várias soluções possíveis, mas todo mundo tem algumas desvantagens, principalmente relacionadas a quem é o principal mestre e como manter a disponibilidade no caso de ausência de tal pessoa.
Você bloqueia seus racks? Como você gerencia as chaves para garantir disponibilidade e responsabilidade?
Compre um cofre para chaves, coloque-o na sala do servidor, forneça a (s) chave (s) ao cofre da chave para seu (s) lacaio (s) confiável (s) e um ou dois auxiliares de apoio (proprietários amigáveis e prestativos ou pessoas responsáveis pela contabilidade). já são confiáveis com dinheiro e tal).
Os funcionários confiáveis são os únicos que bloqueiam e reabastecem os racks, e eles se registram em um log.
Como o cofre está na sala do servidor, ele deve ser coberto pela segurança que você já tem.
Coloque-os em uma caixa de bloqueio protegida por uma senha digital para cada usuário, que registra a entrada na caixa.
Não travamos os racks dos servidores, bloqueamos a sala e ela fica do outro lado do corredor e visível a partir dos escritórios de 3 ou 4 pessoas de TI, para que ninguém possa entrar lá sem nos notar.
O cofre com códigos de acesso para cada ideia mencionada acima é bom. Relendo as perguntas, vejo a parte sobre como auditar o uso da chave. Eu sei que os corretores de imóveis de lockboxes aqui usados podem fazer isso: cada corretor de imóveis tem uma chave eletrônica que está registrada neles, os registros de lockbox que abrem a chave e o dono do cofre pode baixar um relatório. Eu não imagino que isso seja barato, no entanto ...
Eu recomendo bloquear a sala do servidor, não os racks. Além disso, para rastrear o acesso individual, eu usaria um sistema de cartão-chave para permitir o acesso a essa sala.
Os cartões-chave são exclusivos para cada pessoa e podem ser programados para permitir acesso durante a hora específica do dia e dias da semana. Isso permite que você controle mais para que algumas pessoas tenham acesso 24 horas por dia, 7 dias por semana, enquanto outras podem ter apenas 9 a 5 acessos.
Além disso, sistemas como esse permitem criar relatórios mostrando exatamente quem entrou na sala quando você tem um registro de auditoria completo.
Eu definitivamente consideraria a instalação de um cadeado de código de passagem na porta da sala de servidores - é muito mais fácil do que gerenciar as chaves e os bloqueios têm um preço bastante razoável agora. Ou você pode gastar um pouco mais e obter um que ofereça códigos separados por usuário para registrar o acesso à sala.
Eu deixo as prateleiras abertas, pois acho mais fácil trabalhar e ajudar com o fluxo de ar.
As chaves são perdidas, copiadas e não são bem controladas.
Eu usaria bloqueios de combinação para os racks que rastreiam o uso conforme cada pessoa recebe seu próprio código.
Trabalhou em um lugar com estes:
Auditcon 252
Coloque também uma câmera para ver quem abriu o quê e quando.
Se eles são racks APC como o nosso, você pode comprar bloqueios de rack de substituição que os mudam de bloqueios de chave para fechaduras de combinação.
Caro, mas vale a pena para nós.
Existem muitas soluções para esse tipo de coisa. Eu tinha um amigo que trabalhava em um local onde eles tinham que gerenciar mais de 500 chaves de veículos - nenhuma tecnologia pesada era necessária. Tente um lugar como este .
Não bloqueamos nossos racks, mas também não compartilhamos uma sala de servidores. Para chaves que são controladas e compartilhadas em comum, elas estão em uma caixa de chaves bloqueada em uma sala segura. Nós registramos as chaves dentro e fora da caixa de chaves. Estas são principalmente chaves para outros armários de fiação e similares, mas então sabemos quem tinha qual chave quando, e a caixa é protegida através de sua própria trava (albiet fácil de derrotar fisicamente) e o acesso ao cartão de acesso ao data center (que está logado) ).
Nós usamos também um keysafe. Ele vive dentro de um mantrap entre um centro de operações de pequenas empresas e o DC atual. Para obter uma chave, você tem que passar para a armadilha do homem, insígnia para o cofre e completar uma varredura manual. Então, você insere no DC. Tudo isso é monitorado por vídeo.
Nós nos livramos das fechaduras das nossas prateleiras e colocamos fechaduras eletrônicas que eram conectadas ao sistema de segurança do edifício.
Se alguém perdeu o cartão de acesso ou foi demitido, demorou menos de um minuto para revogar o acesso. Também nos deu registros de quem estava abrindo prateleiras e quando. Além de limitar o acesso de funcionários e clientes apenas aos racks que deveriam ter acesso.
Edit: Outro truque que fizemos com ele foi dar aos nossos contratantes regulares cartões de acesso que foram desativados por padrão, quando os chamamos para entrar e trabalhar, o NOC habilitaria seus cartões para esse período. Salvou-os ter que entrar no NOC que estava no próximo subúrbio para as chaves primeiro.
Padronize as fechaduras (faça com que elas sejam chaveadas da mesma forma) para que elas fiquem todas iguais, assim você terá menos problemas com as chaves que estão faltando e tal. A maioria dos serralheiros deve ser capaz de fazer isso se usar o mesmo tipo de bloqueio.
Racks não são seguros. Você pode tirar as portas da maioria das prateleiras em alguns segundos, mesmo quando estão trancadas.
Você pode precisar de bloqueios para alguma certificação, mas lembre-se disso, se realmente quiser depender disso.
Você já pensou em usar racks de desbloqueio remoto Rittal CMC? Dessa forma, você pode ter uma auditoria do que estava aberto quando não precisava de chaves.
CONHECEU que este link seria útil algum dia CyberKeys
É muito mais do que eu preciso, mas parece que é exatamente o que você está procurando.
Você não adora quando os auditores dizem que você precisa de algo, mas não tem sugestões?