Keamanan server fisik

Banyak waktu dan kolom dihabiskan untuk membahas pengamanan server dari serangan luar. Ini sangat valid karena lebih mudah bagi penyerang untuk menggunakan Internet untuk memecah server Anda daripada bagi mereka untuk mendapatkan akses fisik.

Namun, beberapa profesional TI mengabaikan pentingnya keamanan server fisik. Banyak, jika tidak sebagian besar, pelanggaran keamanan yang paling mengerikan dilakukan dari dalam organisasi.

• Bagaimana Anda melindungi server Anda dari pengguna dengan akses di tempat yang tidak perlu mengakses server atau ruang server itu sendiri?

Apakah hanya di sebelah meja manajer TI di sebuah bilik, atau dikunci di belakang beberapa pintu dengan kartu elektronik dan akses biometrik?

Setelah seseorang memiliki akses fisik ke server, perlindungan apa yang ada yang mencegah, atau setidaknya mencatat, akses ke data sensitif yang tidak perlu mereka lihat secara wajar?

Tentu saja ini akan bervariasi dari organisasi ke organisasi, dan kebutuhan bisnis dengan kebutuhan bisnis, tetapi bahkan server cetak memiliki akses ke data sensitif (kontrak dan informasi karyawan) yang dicetak, jadi ada lebih dari ini daripada yang mungkin terlihat pada pandangan pertama.

Semua server produksi kami disimpan di sisi lain dunia dalam pusat data yang solid. Perangkap manusia, pemindai biometrik, seluruh kotak dan dadu.

Untuk mesin yang ada di kantor kami, mereka tinggal di ruang server, hanya dapat diakses melalui kartu gesek. Hanya sysadmin yang memiliki kartu gesek yang dapat mengakses area itu.

Singkatnya, jika seseorang secara fisik memegang kit Anda, maka data Anda adalah milik mereka. Jika ini adalah masalah yang cukup maka pgp'ing sesuatu yang bernilai dan mendekripsi dengan cepat adalah persyaratan berat tetapi perlu.

sunting: Anda dapat memperluas ini ke pertanyaan keamanan fisik media cadangan Anda. Apa gunanya keamanan fisik yang solid jika situs Anda tidak atau lebih aman?

Jumlah keamanan fisik yang Anda butuhkan tergantung pada sifat dan ukuran bisnis Anda, staf TI, dll. Untuk sebagian besar perusahaan yang lebih kecil, pintu yang terkunci dan kamera keamanan yang murah akan membantu.

Mengamankan akses ke lemari listrik juga penting. Melempar breaker sangat berarti dalam mematikan sistem komputer.

Semua perilaku keamanan fisik dapat dilakukan dengan akses kartu pintar, sensor prox, pintu berat, pelat tendangan, kamera, kata sandi yang kuat, biometrik ..

Masalahnya adalah ketika listrik diperlukan untuk melakukan perkabelan, menopang pintu terbuka dengan batu bata dan pergi makan siang tanpa memberitahu siapa pun. Itu pernah terjadi sekali. Untungnya saya datang beberapa saat kemudian. Lucu bagaimana batu bata dapat menghindari $ 10k + keamanan.

Hal lain. Waspadalah terhadap pengguna non-teknis dan kebodohan mereka.

Server produksi kami aman di pusat colocation, tetapi server pengembangan di kantor. Sekali petugas kebersihan tidak dapat menemukan stopkontak listrik gratis, dan menghubungkan penyedot debu ke UPS server. Untungnya itu memiliki alarm kelebihan yang cukup keras, sehingga kami dapat bereaksi dengan segera.

Kasus lain (tidak tahu berapa banyak legenda nyata atau urban itu), ada di mana downtime misterius dari salah satu server setiap hari di pagi hari. Tidak ada yang bisa mengidentifikasi masalah. Hasilnya, bahwa penjaga keamanan di awal giliran kerjanya akan mencabut salah satu server, dan memasukkan pembuat kopi. Dia berpikir bahwa "tidak ada yang akan memperhatikan, itu hanya 3 menit".

Gedung kami dulunya adalah bank, jadi kami menyimpan server kami di brankas. Pendinginan tidak bagus, tetapi kami hanya memiliki setengah lusin, dan tidak ada yang sangat kuat, jadi itu tidak benar-benar masalah.

Ini bagian dari legenda urban, sebagian lagi kebenaran.

UL: Sebuah perusahaan memiliki ruang komputer baru yang dibangun dan admin IT memamerkan langkah-langkah keamanan (man-trap, kartu gesek, dll.) Kepada salah satu temannya. Teman itu mengangguk, sepertinya sangat terkesan. Beberapa menit kemudian keduanya berbicara di luar pintu ketika temannya mendapat ide. Dia membalikkan punggungnya ke dinding dan memberikan tendangan yang bagus, mematahkan lubang ukuran yang bagus di dinding. Tak perlu dikatakan, admin telah memperkuat dinding sebelum pindah.

Kebenaran: Perusahaan kecil menyewakan ruang di gedung multi-penyewa. Kunci kartu, dll. Selama akhir pekan seseorang membuat lubang di drywall di sebelah pintu dan mencuri 20 komputer (termasuk server dengan semua kunci lisensi)

Kami memiliki lapisan logam di bawah drywall ruang komputer kami.

Ruang server kami dilindungi melalui kartu kunci. Hanya staf TI yang memiliki kartu kunci yang akan membuka pintu, dan hanya Departemen Keamanan yang memiliki kendali atas izin akses kartu kunci Anda.

Begitu masuk ke ruang server, semua server disimpan di rak tertutup. Pintu depan dan belakang setiap rak dikunci, dan hanya personel IT yang diberikan kunci rak.

Kami juga menjaga lemari jaringan di semua lantai terkunci, dan hanya anggota tim Fasilitas yang memiliki kunci untuk pintu-pintu ini.

Jika ini adalah perusahaan kecil hingga menengah, mungkin akan memiliki server di pusat colocation, jika itu adalah perusahaan besar, akan memiliki itu sendiri.

Ini biasanya memberikan keamanan fisik yang telah Anda sebutkan. Apa yang tidak Anda sebutkan adalah pelindung elektromagnetik, mencegah penyadapan (ada produk yang tersedia secara komersial yang mampu menguping Ethernet twisted-pair dari jarak sekitar seratus kaki). Dalam kasus bank, ini adalah struktur seperti bunker, yang bahkan dapat menahan serangan EMP .

Ini juga khas untuk pusat data, memiliki setidaknya dua lokasi fisik, untuk memiliki cadangan jika terjadi beberapa jenis bencana alam (banjir, kebakaran, apa pun). Tentu saja catu daya sendiri, tidak hanya UPS, tetapi juga generator.

Mintalah staf TI Anda (dan jika mungkin, seorang petugas polisi / teman cadangan atau seseorang di bidang keamanan) duduk di sebuah ruangan suatu hari nanti. Tonton Sepatu Sneaker, Mission Impossible dan Oceans 11.

Kemudian muncul dengan setiap skenario di mana seseorang akan masuk ke ruangan. Di bawah lantai, menembus dinding, mengalahkan kunci pintu, menembus langit-langit, melalui lubang ventilasi.

Lalu, lapisi keamanan Anda.

Gunakan pintu, kunci, beton dan palang logam untuk membuat ruangan menjadi tembus mungkin.

Kemudian, asumsikan bahwa garis keamanan pertama Anda dilanggar.

Sensor gerak, alarm diam, alarm yang dapat didengar semuanya baik.

Mengunci semua rak membuat orang keluar (atau memperlambatnya).

Beberapa kamera (di luar pintu dan di ruang server) yang masuk ke ruang / situs terpisah adalah pencegah yang sangat baik.

Sebagai catatan, jangan lupa tentang mengamankan cadangan.

Pekerjaan saya berkisar pada sesuatu yang, ah, tidak sepenting ... jadi keamanan tidak sekencang " Iron Mountain " atau semacamnya. Namun...

Ruang server berada di lantai dua sebuah bangunan yang menggunakan dinding lempengan beton 6 ". Titik masuk awal di luar membutuhkan kunci (dan melewati karyawan meja depan). Titik masuk kedua membutuhkan kunci yang berbeda . Titik masuk ketiga membutuhkan kunci ketiga , dan pintu menggunakan kaca kawat untuk mencegah serangan biasa, meskipun saya kira seseorang dengan gergaji mesin, blowtorch, atau cara serangan bising / obtrusive / jelas lainnya akan melewati. Seluruh fasilitas ditutupi dengan kamera berjalan pada DVR yang merekam pergerakan 24/7, dan DVR itu sendiri diamankan dengan cara yang sama.

Cadangan disimpan di ruang server dalam insert api-dinilai media, yang kemudian ditempatkan di dalam brankas api tambahan. Pencadangan di luar kantor diambil langsung oleh Manajer TI, yang tinggal di rumah yang khawatir (dan saya yakin juga memiliki brankas di lokasi).

Tidak, saya tidak merancang keamanan fisik, saya juga tidak menentukan kebijakan tentang keamanan fisik. Tempat ini menjual sekotak kubis dan jeruk dan yang lainnya, jadi tidak seperti kita dalam bisnis menangani rahasia militer atau negara ...

Tergantung pada data Anda, Anda mungkin ingin mempertimbangkan pengawasan.

Satu pusat data yang saya tahu - saya tidak mengaksesnya tetapi rekan tim saya melakukannya. Anda membutuhkan id foto dan otorisasi untuk mengakses. Jadi, dalam kasus tim kami yang hanya mengunjunginya jarang kami harus mendapatkan surat dari direktur kami untuk mengakses server kami.

Begitu mereka memutuskan untuk membiarkan Anda masuk, mereka akan mengambil cap jempol dan menggantung kartu lencana / akses standar pada Anda. Kemudian Anda dikawal oleh dua orang, seorang pendamping teknis dan seorang penjaga keamanan. Saya mengerti idenya adalah jika orang teknis melihat Anda melakukan sesuatu yang tidak ia sukai, ia memerintahkan penjaga keamanan untuk mencegah Anda melakukan apa pun itu.

Ini adalah pusat data yang menampung server untuk bank internasional besar di Kota London.

Ha ha, saya tahu orang-orang memperhatikan keamanan dengan serius, tetapi biometrik? mental. Saya kira itu benar-benar tergantung pada sifat data yang telah Anda simpan. Saya harus meneliti pengaturan berukuran kecil untuk perusahaan desain kami dan kami menemukan beberapa hal bagus di GuruOnline, banyak video tentang keamanan jaringan dan hal-hal lainnya. Ini cukup mendasar tetapi mungkin awal yang baik ...

Wanita pembersih dengan hoover dan satpam dengan mesin kopi. ha ha. setidaknya mereka tidak dibayar untuk mengetahui semua hal IT. di sini adalah kisah nyata halloween.

manajer TI kami memutuskan untuk pindah dan berhenti. direktur pelaksana perusahaan mempekerjakan beberapa orang licin yang tidak tahu tentang TI tetapi mereka pergi ke sekolah mewah yang sama jadi saya kira pada wawancara mereka berbicara b0llox tentang masa lalu, tantangan dayung, minuman keras dan perempuan.

pada minggu kedua manajer TI yang baru pergi ke ruang server dan tinggal berjam-jam untuk sementara membuat dirinya terbiasa dengan pengaturan (saya masih tidak tahu apa yang dia lakukan di sana). karena AC-nya cukup kuat di sana dia mematikannya. Setelah beberapa jam bercanda, dia pulang (mungkin sangat puas, bahkan mungkin secara harfiah - saya tidak mengesampingkan kemungkinan dia menonton p0rn di sana). pasti dia sangat lelah (berjam-jam banyak kebisingan dll) jadi dia secara alami lupa untuk mengganti AC.

pada pagi hari server database dimasak sepenuhnya untuk berhenti dan 2 server lainnya gagal dalam 2 hari ke depan.

dan Anda mengatakan wanita pembersih. dia pasti akan melakukan pekerjaan yang lebih baik (terutama untuk jumlah yang dibayarnya). satu-satunya hal baik dalam cerita itu adalah bahwa seluruh departemen TI, masing-masing dari kami pergi ke MD satu per satu dan mengatakan bahwa itu akan menjadi bencana jika ia tetap tinggal. untungnya MD menyadari bahwa ada sesuatu yang salah jika semua orang mengatakan itu dan memecat orang lain.