Depois de ler uma pergunta semelhante no Reddit , eu queria ouvir da comunidade serverfault sobre a prática de deixar a equipe de manutenção em salas de servidores sem supervisão.
Existem perigos óbvios, como:
A equipe de manutenção geralmente tem acesso a salas de servidores?
Eu nunca encontrei um cenário em que o hardware de servidor de missão crítica não estivesse sob bloqueio e chave. O acesso deve estar sempre restrito a pessoal de TI qualificado. Se você está no gancho para o que quer que aconteça naquela sala, então você fica muito mesquinho com acesso muito rapidamente.
Não deixe seu pessoal de manutenção na sala do servidor. Varra (não aspire) e mantenha-se limpo.
Não ser um contrarian, e eu não estou defendendo que a equipe não-TI deve ter acesso à sua sala de servidores, mas eu gostaria de postular as seguintes questões e pontos como uma ilustração do que eu acredito ser um pensamento errado. relacionado à infraestrutura de TI, salas de servidores e datacenters:
Você está preocupado que alguém possa roubar equipamentos ou dados. Não é possível roubar equipamentos ou dados de qualquer outro local que não seja a sala do servidor? Você tem as mesmas preocupações em relação ao pessoal de manutenção em relação ao seu acesso a outras áreas do edifício? Eles não poderiam roubar dados simplesmente sentando-se na estação de trabalho, laptop ou terminal de alguém? Certamente, se eles são experientes o suficiente e qualificados o suficiente para roubar dados devido a terem acesso físico à sala de servidores, eles são experientes e qualificados o suficiente para fazê-lo em qualquer estação de trabalho, laptop ou terminal em qualquer parte do prédio, não? / p>
A sala de servidores é o único local onde a equipe de manutenção pode inadvertidamente ou intencionalmente / propositalmente desarmar a energia, ou ativar o sistema de supressão de incêndios, ou inundar o prédio ou causar qualquer um de vários outros "desastres"? ?
É o fato de que eles são funcionários de manutenção que estimulam sua preocupação sobre eles estarem na sala do servidor? Isso parece um pouco de preconceito intelectual para mim. Eles são inteligentes o suficiente para empurrar uma vassoura ou consertar o sistema HVAC, mas não são espertos o suficiente para não quebrar algo na sala do servidor? Eles são confiáveis o suficiente para esvaziar a lixeira do CEO, mas não são confiáveis o suficiente para ter acesso à sala do servidor?
O que falta nos seus controles que lhes daria a capacidade de roubar equipamentos ou dados? O que falta que lhes permitiria desarmar o poder ou introduzir água?
Trabalho regularmente em um data center compatível com PCI-DSS e certificado SAS 70 Tipo II, que permite que a equipe de manutenção acesse o "piso" do data center para executar tarefas relacionadas a seus trabalhos como pessoal de manutenção. A equipe de manutenção é avaliada da mesma forma que qualquer outro funcionário, visitante, cliente ou fornecedor.
Eles devem ter acesso à sala do servidor? Talvez não, mas não pelas razões que você postulou na sua pergunta.
Eu acho que você entende os riscos. A resposta é absolutamente não. Em primeiro lugar, apenas o pessoal de confiança deve estar nas suas salas de servidores com acesso específico. Também garantimos que todas as entradas na sala sejam registradas.
Apenas mantendo a simplicidade limpando a si mesmo, e garantindo que todos sejam educados com isso, a sala estará limpa e arrumada.
Com as melhores práticas postas em prática, você não precisa ter a equipe de zeladores passando pela sua sala de servidores. Semelhante ao gerenciamento de cabos, se você fizer as coisas corretamente na primeira vez, não terá que se preocupar em revisitar o que fez.
O que conta como pessoal de manutenção? As respostas acima parecem implicar que apenas os zeladores cairiam nessa categoria, mas eletricistas, engenheiros de AVAC, etc. geralmente fazem parte da equipe de manutenção em muitas lojas.
Muitos DCs de grande porte com os quais tive contato especificamente excluíram a maioria da equipe de TI - para incluir sistemas sênior e engenheiros de rede, etc. A ideia é que um conjunto muito específico de instalações / operações de DC deve ser suficiente para operar fisicamente a infra-estrutura sem que especialistas em domínios não pertencentes a instalações sejam autorizados a entrar em um espaço que eles não estão qualificados para estar de qualquer maneira.
Na verdade, é apenas nas instalações menores que eu vi os administradores de sistema normalmente envolvidos em cabeamento / rack padrão. Algumas organizações de rede mantêm suas mãos por mais tempo, mas até mesmo acabam dividindo o cabeamento diário (e até mesmo o layout / design) para pessoas dedicadas a instalações. Em geral, acabei de registrar isso na maior necessidade de especialização.
BTW - As instalações de instalações de CD dedicadas geralmente têm sua própria equipe de limpeza especialmente treinada. Há necessidade de manter essas áreas limpas ao longo do tempo, embora por meios diferentes do espaço de escritório padrão.