想象一下,您有一堆金條,您有責任保護它。您是否將其保留在任何小偷都可以接觸到的地方,還是將其鎖定在鑰匙下?
同樣的類比適用于您的數據中心-信息虛擬的金礦-但許多公司選擇在數據中心安全方面做到最低。數據中心-處理,分發和存儲您的寶貴數據的聯網計算機服務器和設備-是組織數字基礎架構的關鍵組成部分。數據中心安全性是保護其免受網絡攻擊和其他虛擬威脅的策略,流程,過程和技術的組合。
那么,您應該了解哪些數據安全標準才能達到并保持合規性?我們已經征詢了幾位IT和網絡安全專家的意見,并分享了他們的數據中心安全最佳實踐。
讓我們對其進行哈希處理。
數據中心安全性的重要性持續增長
數據的安全性對任何企業都至關重要,這不足為奇。這是決定您業務成敗的寶貴信息。專有信息(例如,知識產權和商業秘密)以及客戶的個人和財務信息都是在數據中心內可能發現的數據類型的所有示例。
有意或無意的數據泄露可能導致:
名譽受損和客戶信任的喪失—如果有消息說您沒有采取必要的步驟來保護客戶的數據(甚至您自己的知識產權),那么他們為什么要信任您?行業法規中的違規罰款—有幾項與數據中心安全性相關的關鍵法規,包括PCIDSS,HIPAA,GDPR,SAE18(以前稱為SAE16)和ISO27001:2013。財務損失和損失收入—停機是企業的主要問題,可能導致大量收入損失。TechLoris的首席執行官ShayneSherman表示,數據中心安全的重要性不可低估,對于每個企業來說,它都應是頭等大事。
“花時間確保建筑物的安全,您的員工精通網絡安全防護,并且您滿足合規性要求在保護資產免受惡意行為者方面大有幫助。”—TechLoris首席執行官ShayneSherman
因此,不用說,如果其中任何一條信息落入不正確的人手中,您都會陷入困境。這就是為什么您需要了解一些可以實施的數據中心安全最佳實踐的原因。
提示1:實施數據中心物理安全措施
當人們想到為保護組織數據而采取的安全措施類型時,他們不一定會考慮物理安全方面。為什么?他們通常過于關注與網絡攻擊和數據泄露引起的數據丟失風險有關的問題。
但是,公司可能沒有意識到物理安全威脅可能是最具影響力的威脅。一個這樣的例子就是前谷歌工程師安東尼·萊萬多夫斯基(AnthonyLevandowski)的案例,他對竊取公司的商業機密并將其提供給優步表示認罪。
根據《紐約客》上的一篇文章,萊萬多夫斯基直接訪問Google的服務器進行盜竊:
“根據Google的說法,在Levandowski辭職前一個月,他已將工作發行的筆記本電腦插入Google服務器,并下載了約一萬四千個文件,包括硬件原理圖。他將文件傳輸到外部驅動器,然后將筆記本電腦擦干凈。”
組織可以根據需要和可用資源而擁有幾種主要類型的數據中心:
公共云數據中心-這種數據中心不在現場,由IBMCloud,AmazonWebServices(AWS)和其他技術巨頭等公共云提供商托管。盡管越來越多地采用這些平臺,但行業內仍存在許多爭論,但其中許多問題是在客戶級別(例如服務器配置錯誤),而不是在提供商級別。私人托管主機數據中心-這種數據中心是您與其他公司和組織共享服務器的一種。這對于技術專業知識有限或無法承擔大量資本支出成本的公司來說非常有用。但是,它不一定是最安全的選擇。托管數據中心-這種數據中心是公司與其他公司共享空間,但擁有自己的服務器和其他設備的數據中心。與托管的托管數據中心相比,這為您的數據提供了更多保護,因為您擁有自己的設備,并且不會與其他組織共享。現場數據中心-這種類型的數據中心是您在自己的設施中提供的。擁有本地數據中心可提供最高級別的安全性,但與其他數據存儲選項相比,其運營成本也要高得多。每種類型都有很大的不同,這意味著每種類型的安全需求都不同。那么,首先應該考慮的數據中心安全性是什么?
位置,位置,位置
如果您要創建自己的數據中心而又不依賴云或托管數據中心,那么有計劃地規劃數據中心的物理空間至關重要。這包括確定您是希望數據中心位于僻靜的地方還是人口稠密的區域。
但是,在安全性方面規劃數據中心位置時,還應牢記什么呢?認真對待與天氣有關的危險和低洼地區。(我們發現洪水和技術并不是很好的組合。)另外,請務必當心容易發生地震的高溫地質區。
如果要在人口更稠密的區域中進行構建,可以通過將數據中心與周圍環境融為一體來隱藏數據中心。
如果您使用的是服務提供商的設施,請檢查其建筑和位置。您還可以請求合規性報告以查看其度量標準。
關鍵數據中心物理安全措施
但是,除了位置之外,還有許多其他物理安全考慮因素。數據中心強化可以包括:
可以保護設施免受外部攻擊的鋼筋混凝土墻和結構服務器機柜和機架固定在地下并用鎖固定監控和調節溫度和濕度變化的環境控制網絡安全和IT服務公司Cybericus的所有者MarkSoto很快指出,盡管物理攻擊并不像網絡攻擊那么普遍,但它們仍然是對您數據安全的真正威脅。
“您需要在數據中心周圍設置安全措施,以確保其安全性。這可以通過徽章系統或密碼鍵盤來實現,僅允許某些人訪問這些位置。要充分了解經過設施的人員。如上所述,數據泄露的30%是內部用戶造成的。作為一家公司,您應該非常小心誰有權訪問數據中心以及他們有權訪問哪些部分。這可能涉及對員工和有權訪問您的數據中心設施的第三方承包商進行背景調查。”-Cybericus的老板MarkSoto
InfoTracer的網絡運營主管BenHartwig說,您需要考慮設施的物理設計,才能真正評估數據中心的安全性。
“在物理安全方面,主要關注的是建筑物或設施設計本身。物理安全的關鍵點包括24/7全天候視頻監視,金屬探測器和現場安全警衛,以及分層的安全措施,安全檢查點(為反映受保護數據的敏感性而定制),有限或單個入口和出口點,以及更多。”—InfoTracer的Web運營主管BenHartwig
某些類型的數據中心還具有其他物理要求,例如電信行業協會(TIA)在其數據標準ANSI/TIA-942/TIA-942A中概述的要求。
Hartwig還建議將傳統安全措施提高到新的水平。一些方法包括使用多重訪問控制并在每個區域和每個房間強制執行專門的安全性方法。
“每個受個人保護的區域都需要不止一種形式的身份驗證和通過控制,因為并非所有員工都應有權訪問數據中心的每個部分。使用門禁卡和識別徽章,或其他保護措施,包括在進入和離開場所時會稱重訪客的秤,對授權人員進行的連續背景檢查以及生物識別鎖。”—InfoTracer的Web運營主管BenHartwig
提示2:不僅要監視和限制物理訪問,還要監視和限制虛擬訪問
但是保護數據不僅需要安裝門鎖和攝像頭。您實際上還需要監視數字訪問。為什么?在IBM和PonemonInstitute的《2019年數據泄露成本報告》中報告的數據泄露中,有49%被確定為人為錯誤和系統故障而不是網絡攻擊。
SSL商店的IT管理員RossThomas說,最明顯的數據中心安全最佳實踐之一是查看為有權訪問您的服務器的所有用戶設置的權限。
“定期權限審核對于確保訪問權限僅委派給需要訪問權限的人員至關重要。超級用戶非常危險,因為他們能夠進行任何更改或執行任何代碼或進程。但是,root用戶是必需的。向正確的用戶分配流程,任務等是委托流程的絕對最安全的方法。當人員離開組織時,應該對所有系統中的狀態進行適當的評估,以確定即使沒有通過前門,他們是否也可以訪問。”—SSL商店的IT管理員RossThomas
而且,如果您還不擔心網絡釣魚詐騙和密碼不安全,那么應該這么做。Verizon的2020年數據違規調查報告(DBIR)顯示,五分之四的與黑客相關的違規行為涉及暴力破解或使用丟失或被盜的憑證。
因此,如果您不能自動信任用戶就是他們所聲稱的身份,那么解決方案是什么?
采用零信任方法
獨立軟件測試和信息系統審核公司KualitatemInc.的售前經理SamiUllah表示,組織應實施零信任架構:
“零信任模型將每筆交易,數據移動或數據迭代視為可疑。它是最新的入侵檢測方法之一。該系統跟蹤網絡行為,并實時從命令中心發送數據。它會檢查從系統中提取數據的任何人,并在檢測到異常的情況下提醒工作人員或撤消帳戶的權限。”—KualitatemInc.的售前經理SamiUllah
提示3:使用正確的工具保護您的數據和網絡
強大的數據中心安全策略是使用基于外圍的安全工具來監視和保護您的網絡免受內部和外部威脅的策略。此方法的一部分是正確配置和保護您的端點,網絡和防火墻(這是安全性的核心)。
國際軟件開發公司Riseapps的首席執行官VladlenShulepov重點介紹了安全庫中應包含的幾種關鍵監視和檢測工具:
“外部威脅通常是數據中心的最大敵人,因此必須采取防護措施。入侵檢測系統,IP地址監視和防火墻是一些最有用的工具,可以保護您的數據中心免受外界破壞并確保其安全性。”—Riseapps首席執行官VladlenShulepov
SSL商店的IT管理員RossThomas說,使用反向代理也是一個不錯的選擇。反向代理的作用類似于訪問靜態和動態內容的一線緩存,而不是讓用戶針對每個請求直接訪問Web服務器或數據庫服務器。
“將反向代理添加到Web服務器的前面是提高安全性的好方法。它使公眾無法直接訪問包含生產代碼或獲取有價值信息的手段的網絡服務器,例如數據庫。它還可以減輕某些處理和功能的負擔,以允許主服務器以滿(或接近滿)的電壓運行。反向代理與負載均衡器并沒有太大區別,取決于服務器的結構(例如,集群),反向代理通常可以是一個相同的代理。無論如何,保護有價值的生產代碼/數據是安全的選擇。”—SSL商店的IT管理員RossThomas
如果您想進一步加強數據中心的網絡防御能力,則可以(并且應該):
對您的資產,安全管理流程和訪問協議進行定期審核。使用網絡級加密來保護您的數據在端點之間傳輸時的安全,并使用服務器級加密來保護處于靜止狀態的數據。集成自動化和安全信息以及事件管理(SIEM)工具(或使用第三方服務)以持續監視日志并報告安全事件和威脅。提示4:保持服務器和系統為最新
沒有人喜歡抽出時間花一些時間來運行無聊的更新并將修補程序應用于其系統。畢竟,您還有許多重要的事情要做,對吧?
我們非常確定,幾年前受到WannaCry勒索軟件攻擊的23萬臺計算機的所有者是不同意的。在這些攻擊中,一個黑客組織利用了NSA的EternalBlue漏洞(微軟已對其進行了修補,但WannaCry受害者并未將其應用到他們的計算機上),以利用其在全球組織和企業(包括英國的國家衛生系統,NHS)。
當制造商發布補丁程序時,這是他們填補產品中發現的任何安全漏洞的方式。這就像在屋頂上打一個洞以防止雨水傾瀉或漏出一樣。這是他們在壞人利用漏洞并引起問題之前修復漏洞的方法。
簡而言之,從長遠來看,修補和更新系統可以為您省去很多麻煩:
“確保您的服務器保持修補狀態,并保持最新的軟件版本。這是保護自己免受已知漏洞影響的最簡單方法。不要因為已經解決的問題而受到侵犯。”—K2CyberSecurity首席技術官兼聯合創始人JayantShukla
提示5:已準備好冗余數據備份和基礎架構
無論我們談論數據備份多少次,這似乎都遠遠不夠。您在頭條新聞中了解到勒索軟件攻擊和其他網絡攻擊如何使主要城市政府,醫院和企業癱瘓。但是,由于某種原因,企業選擇不采取適當的預防措施來創建冗余數據備份。
懶惰嗎?也許這是“這不會發生在我身上”的心態。不管為什么不應該找借口,事實的真相是,就數據和輔助基礎結構而言,冗余備份就位可以為您節省大量時間,金錢和麻煩。當胡言亂語(不可避免)時,您會希望花時間做準備。
我認為Hartwig最好地總結了下一點:
數據安全與數據中心安全密不可分。為了有效地存儲和保護數據,必須在傳輸過程中對所有數據進行嚴格編碼,并始終對其進行監視和定期備份。”—InfoTracer的Web運營主管BenHartwig
當然,在保護和保持基礎架構正常運行(以及維持正常運行時間)方面,他說還有其他重要的事情:
保持設備涼爽。您的數據中心運行在各種硬件上-所有這些都會產生大量的熱量。不受控制的高溫實際上會導致機器故障,融化或引起火災,因此,對于每個數據中心而言,使用強大的氣候控制至關重要。其中的一部分包括安裝輔助冷卻系統,如果主系統出現故障,則可以啟動。保護您的電源。停機的原因可能多種多樣,從人為錯誤到與天氣有關的各種問題。它們也可能是功率損耗或短時電涌造成的。無論原因為何,這都意味著您需要安裝備用電源系統,以便在出現問題時能夠啟動設備和服務器的正常運行。值得一提的最后一個重要點是使供水管線與其他關鍵系統分開。幾乎沒有什么事情像水管破裂一樣會破壞您的一天。因此,請確保有兩條線路進入您位于不同位置的設施,但要使其遠離電源和其他關鍵基礎設施。
提示6:使用數據中心網絡分段
網絡分段是一個基本上可以幫助您根據終結點身份將數據網絡劃分為單獨組件的過程。通過劃分網絡并獨立隔離每個網段,這為黑客必須通過的網絡增加了障礙,并阻止了黑客在您的網絡中自由漫游。
馬克·索托(MarkSoto)的網絡安全和IT服務公司幫助數據中心遭到黑客入侵的企業,提供一些關鍵見解,說明可以采取哪些措施來防止遭受攻擊并在攻擊成功后限制損失的發生:
“通過網絡分段,如果黑客能夠訪問您的網絡之一,它可以幫助防止整個系統受到損害。它還使您有時間在最壞的情況下做出反應,在其他情況下其他網絡也有被黑客入侵的危險。使用網絡分段,您還可以指定用戶可以訪問哪些網絡資源。在惡意內部用戶至少構成數據泄露事件30%的世界中,這可能是網絡分段的最大好處。”-Cybericus的老板MarkSoto
關于數據中心安全性的最終想法
企業依靠數據運行,而確保數據安全的能力會破壞或破壞您的組織。
數據中心是存儲網絡計算機,服務器和其他基本組件的地方。在災難中,這是您數據的避風港。
通過實施以下數據中心安全最佳實踐,使服務器,網絡和其他相關設備盡可能人性化:
采取物理安全措施,以防止壞人從物理上訪問您的網絡和數據存儲設備。實施并強制執行訪問限制,以確保只有那些需要訪問(物理和虛擬)的人才能擁有它。使用正確的安全工具報告并防御許多數字安全威脅。使所有內容保持最新狀態并進行修補,以消除已知漏洞。事半功倍時,可以使用輔助系統和數據備份。如果您正在探索使用云或托管托管服務提供商的想法,那么與內部數據中心相比,您對現有物理安全措施的控制權就更少。但是,您可以要求服務提供商向您提供合規性報告,這可以使您對他們的安全功能更有信心。
