数据中心安全服务包括用于保护数据中心资产和资源的技术和物理措施。这包括保护它免受内部和外部威胁。数据中心的所有方面,包括网络、服务器、电力系统以及它们支持的数据和流程,都包含在全面的安全计划中。此外,必须解决特定的数据中心安全威胁,因为数据中心是寻找漏洞的威胁参与者的诱人目标。
为什么数据中心安全很重要?
为什么首先需要数据中心安全性?无论数据中心主要用于存储、灾难恢复还是支持应用程序,其计算工作负载都是其所服务业务的支柱。此外,公司的敏感信息和关键业务应用程序是黑客和其他威胁的宝库。
数据中心是组织基础设施中值得信赖的组成部分。许多公司依靠其数据中心资产在其他一切都出错时提供安全网。通过这种方式,安全的数据中心可确保业务连续性,并让用户相信他们可以专注于发展业务,而不必担心数字资产的安全。
如何保护数据中心
数据中心由一组网络和计算设备组成,这些设备在中央位置处理和存储企业信息。为了确保数据中心的安全,企业必须同时采用旨在保护数据中心的虚拟和物理系统。除了保护组织的计算资产外,还必须实施特定的网络安全措施,以防止恶意软件攻击和其他威胁渗透到数据中心。
物理安全
选择正确的位置应该是构建数据中心时的首要重点。必须避免某些区域,因为它们存在可能导致服务中断或完全故障的安全风险。这些包括:
- 发电厂
- 地震断层线内的区域
- 飞机降落时经过的区域
- 靠近化学设施的地方
- 飓风常见的地点
- 可能发生龙卷风的地方
- 容易发生季节性野火的地区
- 易受洪水影响的地区
除了在洪水平面上方建造建筑外,使用厚混凝土墙还可以提供额外的物理安全层。一英尺厚或更厚的混凝土墙有助于防止自然灾害甚至爆炸影响数据中心的物理安全。
虚拟或软件安全
虚拟化技术在数据中心技术中很常见。通过虚拟化,企业可以获得支持或模仿其主要系统的数字基础设施。这使管理员能够从远程位置管理数据中心的服务。它还允许更大的灵活性,因为软件可用于管理数据中心的安全性和工作流。
一些数据中心利用虚拟化来设置对公共云服务的访问,而其他数据中心则将其纳入其内部数据中心。虽然使用 SoftLayer 和 Amazon Web Services (AWS) 等软件和云解决方案为管理员提供了更大的灵活性,但它也使数据中心的资产和系统面临网络威胁。
在一些数据中心,安全是提供给它们所服务的企业的服务的一部分。一些常见措施包括入侵防御和检测系统、防火墙和下一代防火墙 (NGFW)。组织的 IT 管理员可以使用这些措施来决定谁可以访问数据中心的一般资源,或者谁可以访问网络的某些部分。
双因素身份验证 (2FA)还可以帮助组织保护其数据中心资源。这涉及用户通过使用他们知道的东西(如密码)结合他们实际拥有的东西(如电话或闪存驱动器)来证明他们的访问权限。
数据中心安全技术
只有最新的技术才足以维护数据中心的安全。由于其中的许多(如果不是全部)资产可能对企业运营至关重要,因此您需要最新的安全措施来保护它们免受不断变化的威胁形势的影响。
多重身份验证
使用多因素身份验证 (MFA),您会自动获得额外的安全层,特别是因为至少有两个元素用于验证访问权限。如果攻击者要获得一种身份验证措施,他们仍然需要找到一种方法来获得第二种身份验证措施,以免时间过长导致登录会话超时或生成安全警报。
虽然这在各种情况下保护数字资产时很常见,但它也是一种强大的安全解决方案,可确保只有授权的个人才能访问数据中心的物理区域。访问数据中心设备的一些要求包括:
- 需要政府签发的身份证明的全面登记流程
- 访客专用徽章
- 指纹识别
- 可以访问设备运行或存储区域的物理钥匙
- 徽章钥匙卡,可以在通过敏感区域之间的门之前进行验证
- 视网膜或面部扫描
监控监控系统
出于几个不同的原因,监视监视可确保高度安全。首先,您可以记录谁进入了哪些区域,以及他们进入后做了什么。如果存在漏洞以追踪攻击者,可以查看此信息。其次,安全监控系统的存在可以对攻击者产生强大的威慑作用。知道他们必须找到绕过摄像头系统的方法就足以鼓励他们转向更柔和的目标。
当监控系统由人员操作时,它是一项更强大的资产。虽然始终在线的数字系统在某些情况下可能是有效的,但运行监视系统的人可能是更强大的障碍。此外,安全专业人员可以就如何最大限度地提高监控系统的有效性提供建议。此外,系统有时可能需要改进,而个人确定改进领域的能力可能是无价的。
冗余
冗余是数据中心弹性的关键组成部分。有了冗余元素,如果主要组件发生故障或完全损坏,可以自动或手动激活次要组件,并且关键系统可以保持其功能。
例如,电力系统需要有冗余备份,其他关键部件也是如此。这些可能包括:
- 冷却系统,防止服务器在处理数据时过热
- 用于为数据中心的特定区域供电的电力,例如那些容纳服务器或关键网络组件的区域
- 为关键业务系统提供信息吞吐量的网络连接
冗余还可以在确保减少服务器故障时的停机时间甚至维持虚拟系统的正常运行时间方面发挥关键作用。例如,一个数据中心,对于某些进程,可能会并行运行两台服务器,它们都使用相同的操作系统、安全措施和软件。如果一个要关闭,另一个可以自动打开,最大限度地延长用户的正常运行时间。
冗余也可用于加强数据中心的数字安全。在许多情况下,当有两个组件协同工作以实现数字安全时,它们既是冗余又是互补的。例如,可以在网络内的不同点设置多个防火墙,一个在外边缘,另一个在边缘和服务器之间。这两个防火墙是冗余的,因为它们可能会捕获许多或所有相同的威胁。但是,您可以使用边缘防火墙来检查通过内部服务器前面的防火墙的传出流量。通过这些数据,您可以深入了解内部漏洞的存在,以及利用这些漏洞的威胁的行为方式。
当涉及到数据中心的网络基础设施时,冗余也是一种有价值的策略。数据中心可以利用两个互联网服务提供商 (ISP),例如,只有在另一个出现故障时才使用一个。来自两个 ISP 的流量可以通过高吞吐量防火墙运行,以确保在主要提供商的信号出现故障或由于安全漏洞而不得不关闭时的连续性。
数据中心漏洞
攻击者采用各种技术和工具来渗透数据中心及其安全系统。他们可能会针对特定的用户群体进行社会工程攻击,以欺骗他们泄露密码或为入侵者提供一个访问点以绕过数据中心的安全系统。如果用户下载恶意软件,它可用于获取密码和其他登录凭据。此外,如果使用勒索软件,攻击者可以捕获并控制关键计算机,迫使管理员支付赎金以再次获得访问权限。
攻击者还倾向于以弱密码为目标。这些通常是用户重复使用他们在其他帐户上使用的密码的结果,因为它们很容易记住。即使密码比较难猜,但如果在多个账户上使用,也是很弱的。攻击者可以在不同的应用程序中破解用户的密码,并且因为它用于访问数据中心资源,所以攻击者现在也拥有了进入那里所需的东西。这进一步强调了 MFA 的必要性,它至少涉及用户可以持有的一件事和他们知道的一件事。
因此,对于 IT 经理来说,重要的是为用户提供有关良好密码和凭证管理的培训,以及即使是很小的失误也可能导致的危险。教育还应包括威胁的外观、行为方式以及最有可能引起恶意行为者注意的攻击面。教育是减少人为脆弱性的最有效方法之一。
除了用户之外,数据中心还可能存在由未正确配置、过时或使用不充分的安全工具的网络引起的漏洞。由于网络犯罪分子不断寻找新的攻击方法,因此只能使用最新的安全协议和工具。自动更新软件,包括使用威胁情报的软件,可以使数据中心领先于最新的威胁一步。