想象一下,您有一堆金条,您有责任保护它。您是否将其保留在任何小偷都可以接触到的地方,还是将其锁定在钥匙下?
同样的类比适用于您的数据中心-信息虚拟的金矿-但许多公司选择在数据中心安全方面做到最低。数据中心-处理,分发和存储您的宝贵数据的联网计算机服务器和设备-是组织数字基础架构的关键组成部分。数据中心安全性是保护其免受网络攻击和其他虚拟威胁的策略,流程,过程和技术的组合。
那么,您应该了解哪些数据安全标准才能达到并保持合规性?我们已经征询了几位IT和网络安全专家的意见,并分享了他们的数据中心安全最佳实践。
让我们对其进行哈希处理。
数据中心安全性的重要性持续增长
数据的安全性对任何企业都至关重要,这不足为奇。这是决定您业务成败的宝贵信息。专有信息(例如,知识产权和商业秘密)以及客户的个人和财务信息都是在数据中心内可能发现的数据类型的所有示例。
有意或无意的数据泄露可能导致:
名誉受损和客户信任的丧失—如果有消息说您没有采取必要的步骤来保护客户的数据(甚至您自己的知识产权),那么他们为什么要信任您?行业法规中的违规罚款—有几项与数据中心安全性相关的关键法规,包括PCIDSS,HIPAA,GDPR,SAE18(以前称为SAE16)和ISO27001:2013。财务损失和损失收入—停机是企业的主要问题,可能导致大量收入损失。TechLoris的首席执行官ShayneSherman表示,数据中心安全的重要性不可低估,对于每个企业来说,它都应是头等大事。
“花时间确保建筑物的安全,您的员工精通网络安全防护,并且您满足合规性要求在保护资产免受恶意行为者方面大有帮助。”—TechLoris首席执行官ShayneSherman
因此,不用说,如果其中任何一条信息落入不正确的人手中,您都会陷入困境。这就是为什么您需要了解一些可以实施的数据中心安全最佳实践的原因。
提示1:实施数据中心物理安全措施
当人们想到为保护组织数据而采取的安全措施类型时,他们不一定会考虑物理安全方面。为什么?他们通常过于关注与网络攻击和数据泄露引起的数据丢失风险有关的问题。
但是,公司可能没有意识到物理安全威胁可能是最具影响力的威胁。一个这样的例子就是前谷歌工程师安东尼·莱万多夫斯基(AnthonyLevandowski)的案例,他对窃取公司的商业机密并将其提供给优步表示认罪。
根据《纽约客》上的一篇文章,莱万多夫斯基直接访问Google的服务器进行盗窃:
“根据Google的说法,在Levandowski辞职前一个月,他已将工作发行的笔记本电脑插入Google服务器,并下载了约一万四千个文件,包括硬件原理图。他将文件传输到外部驱动器,然后将笔记本电脑擦干净。”
组织可以根据需要和可用资源而拥有几种主要类型的数据中心:
公共云数据中心-这种数据中心不在现场,由IBMCloud,AmazonWebServices(AWS)和其他技术巨头等公共云提供商托管。尽管越来越多地采用这些平台,但行业内仍存在许多争论,但其中许多问题是在客户级别(例如服务器配置错误),而不是在提供商级别。私人托管主机数据中心-这种数据中心是您与其他公司和组织共享服务器的一种。这对于技术专业知识有限或无法承担大量资本支出成本的公司来说非常有用。但是,它不一定是最安全的选择。托管数据中心-这种数据中心是公司与其他公司共享空间,但拥有自己的服务器和其他设备的数据中心。与托管的托管数据中心相比,这为您的数据提供了更多保护,因为您拥有自己的设备,并且不会与其他组织共享。现场数据中心-这种类型的数据中心是您在自己的设施中提供的。拥有本地数据中心可提供最高级别的安全性,但与其他数据存储选项相比,其运营成本也要高得多。每种类型都有很大的不同,这意味着每种类型的安全需求都不同。那么,首先应该考虑的数据中心安全性是什么?
位置,位置,位置
如果您要创建自己的数据中心而又不依赖云或托管数据中心,那么有计划地规划数据中心的物理空间至关重要。这包括确定您是希望数据中心位于僻静的地方还是人口稠密的区域。
但是,在安全性方面规划数据中心位置时,还应牢记什么呢?认真对待与天气有关的危险和低洼地区。(我们发现洪水和技术并不是很好的组合。)另外,请务必当心容易发生地震的高温地质区。
如果要在人口更稠密的区域中进行构建,可以通过将数据中心与周围环境融为一体来隐藏数据中心。
如果您使用的是服务提供商的设施,请检查其建筑和位置。您还可以请求合规性报告以查看其度量标准。
关键数据中心物理安全措施
但是,除了位置之外,还有许多其他物理安全考虑因素。数据中心强化可以包括:
可以保护设施免受外部攻击的钢筋混凝土墙和结构服务器机柜和机架固定在地下并用锁固定监控和调节温度和湿度变化的环境控制网络安全和IT服务公司Cybericus的所有者MarkSoto很快指出,尽管物理攻击并不像网络攻击那么普遍,但它们仍然是对您数据安全的真正威胁。
“您需要在数据中心周围设置安全措施,以确保其安全性。这可以通过徽章系统或密码键盘来实现,仅允许某些人访问这些位置。要充分了解经过设施的人员。如上所述,数据泄露的30%是内部用户造成的。作为一家公司,您应该非常小心谁有权访问数据中心以及他们有权访问哪些部分。这可能涉及对员工和有权访问您的数据中心设施的第三方承包商进行背景调查。”-Cybericus的老板MarkSoto
InfoTracer的网络运营主管BenHartwig说,您需要考虑设施的物理设计,才能真正评估数据中心的安全性。
“在物理安全方面,主要关注的是建筑物或设施设计本身。物理安全的关键点包括24/7全天候视频监视,金属探测器和现场安全警卫,以及分层的安全措施,安全检查点(为反映受保护数据的敏感性而定制),有限或单个入口和出口点,以及更多。”—InfoTracer的Web运营主管BenHartwig
某些类型的数据中心还具有其他物理要求,例如电信行业协会(TIA)在其数据标准ANSI/TIA-942/TIA-942A中概述的要求。
Hartwig还建议将传统安全措施提高到新的水平。一些方法包括使用多重访问控制并在每个区域和每个房间强制执行专门的安全性方法。
“每个受个人保护的区域都需要不止一种形式的身份验证和通过控制,因为并非所有员工都应有权访问数据中心的每个部分。使用门禁卡和识别徽章,或其他保护措施,包括在进入和离开场所时会称重访客的秤,对授权人员进行的连续背景检查以及生物识别锁。”—InfoTracer的Web运营主管BenHartwig
提示2:不仅要监视和限制物理访问,还要监视和限制虚拟访问
但是保护数据不仅需要安装门锁和摄像头。您实际上还需要监视数字访问。为什么?在IBM和PonemonInstitute的《2019年数据泄露成本报告》中报告的数据泄露中,有49%被确定为人为错误和系统故障而不是网络攻击。
SSL商店的IT管理员RossThomas说,最明显的数据中心安全最佳实践之一是查看为有权访问您的服务器的所有用户设置的权限。
“定期权限审核对于确保访问权限仅委派给需要访问权限的人员至关重要。超级用户非常危险,因为他们能够进行任何更改或执行任何代码或进程。但是,root用户是必需的。向正确的用户分配流程,任务等是委托流程的绝对最安全的方法。当人员离开组织时,应该对所有系统中的状态进行适当的评估,以确定即使没有通过前门,他们是否也可以访问。”—SSL商店的IT管理员RossThomas
而且,如果您还不担心网络钓鱼诈骗和密码不安全,那么应该这么做。Verizon的2020年数据违规调查报告(DBIR)显示,五分之四的与黑客相关的违规行为涉及暴力破解或使用丢失或被盗的凭证。
因此,如果您不能自动信任用户就是他们所声称的身份,那么解决方案是什么?
采用零信任方法
独立软件测试和信息系统审核公司KualitatemInc.的售前经理SamiUllah表示,组织应实施零信任架构:
“零信任模型将每笔交易,数据移动或数据迭代视为可疑。它是最新的入侵检测方法之一。该系统跟踪网络行为,并实时从命令中心发送数据。它会检查从系统中提取数据的任何人,并在检测到异常的情况下提醒工作人员或撤消帐户的权限。”—KualitatemInc.的售前经理SamiUllah
提示3:使用正确的工具保护您的数据和网络
强大的数据中心安全策略是使用基于外围的安全工具来监视和保护您的网络免受内部和外部威胁的策略。此方法的一部分是正确配置和保护您的端点,网络和防火墙(这是安全性的核心)。
国际软件开发公司Riseapps的首席执行官VladlenShulepov重点介绍了安全库中应包含的几种关键监视和检测工具:
“外部威胁通常是数据中心的最大敌人,因此必须采取防护措施。入侵检测系统,IP地址监视和防火墙是一些最有用的工具,可以保护您的数据中心免受外界破坏并确保其安全性。”—Riseapps首席执行官VladlenShulepov
SSL商店的IT管理员RossThomas说,使用反向代理也是一个不错的选择。反向代理的作用类似于访问静态和动态内容的一线缓存,而不是让用户针对每个请求直接访问Web服务器或数据库服务器。
“将反向代理添加到Web服务器的前面是提高安全性的好方法。它使公众无法直接访问包含生产代码或获取有价值信息的手段的网络服务器,例如数据库。它还可以减轻某些处理和功能的负担,以允许主服务器以满(或接近满)的电压运行。反向代理与负载均衡器并没有太大区别,取决于服务器的结构(例如,集群),反向代理通常可以是一个相同的代理。无论如何,保护有价值的生产代码/数据是安全的选择。”—SSL商店的IT管理员RossThomas
如果您想进一步加强数据中心的网络防御能力,则可以(并且应该):
对您的资产,安全管理流程和访问协议进行定期审核。使用网络级加密来保护您的数据在端点之间传输时的安全,并使用服务器级加密来保护处于静止状态的数据。集成自动化和安全信息以及事件管理(SIEM)工具(或使用第三方服务)以持续监视日志并报告安全事件和威胁。提示4:保持服务器和系统为最新
没有人喜欢抽出时间花一些时间来运行无聊的更新并将修补程序应用于其系统。毕竟,您还有许多重要的事情要做,对吧?
我们非常确定,几年前受到WannaCry勒索软件攻击的23万台计算机的所有者是不同意的。在这些攻击中,一个黑客组织利用了NSA的EternalBlue漏洞(微软已对其进行了修补,但WannaCry受害者并未将其应用到他们的计算机上),以利用其在全球组织和企业(包括英国的国家卫生系统,NHS)。
当制造商发布补丁程序时,这是他们填补产品中发现的任何安全漏洞的方式。这就像在屋顶上打一个洞以防止雨水倾泻或漏出一样。这是他们在坏人利用漏洞并引起问题之前修复漏洞的方法。
简而言之,从长远来看,修补和更新系统可以为您省去很多麻烦:
“确保您的服务器保持修补状态,并保持最新的软件版本。这是保护自己免受已知漏洞影响的最简单方法。不要因为已经解决的问题而受到侵犯。”—K2CyberSecurity首席技术官兼联合创始人JayantShukla
提示5:已准备好冗余数据备份和基础架构
无论我们谈论数据备份多少次,这似乎都远远不够。您在头条新闻中了解到勒索软件攻击和其他网络攻击如何使主要城市政府,医院和企业瘫痪。但是,由于某种原因,企业选择不采取适当的预防措施来创建冗余数据备份。
懒惰吗?也许这是“这不会发生在我身上”的心态。不管为什么不应该找借口,事实的真相是,就数据和辅助基础结构而言,冗余备份就位可以为您节省大量时间,金钱和麻烦。当胡言乱语(不可避免)时,您会希望花时间做准备。
我认为Hartwig最好地总结了下一点:
数据安全与数据中心安全密不可分。为了有效地存储和保护数据,必须在传输过程中对所有数据进行严格编码,并始终对其进行监视和定期备份。”—InfoTracer的Web运营主管BenHartwig
当然,在保护和保持基础架构正常运行(以及维持正常运行时间)方面,他说还有其他重要的事情:
保持设备凉爽。您的数据中心运行在各种硬件上-所有这些都会产生大量的热量。不受控制的高温实际上会导致机器故障,融化或引起火灾,因此,对于每个数据中心而言,使用强大的气候控制至关重要。其中的一部分包括安装辅助冷却系统,如果主系统出现故障,则可以启动。保护您的电源。停机的原因可能多种多样,从人为错误到与天气有关的各种问题。它们也可能是功率损耗或短时电涌造成的。无论原因为何,这都意味着您需要安装备用电源系统,以便在出现问题时能够启动设备和服务器的正常运行。值得一提的最后一个重要点是使供水管线与其他关键系统分开。几乎没有什么事情像水管破裂一样会破坏您的一天。因此,请确保有两条线路进入您位于不同位置的设施,但要使其远离电源和其他关键基础设施。
提示6:使用数据中心网络分段
网络分段是一个基本上可以帮助您根据终结点身份将数据网络划分为单独组件的过程。通过划分网络并独立隔离每个网段,这为黑客必须通过的网络增加了障碍,并阻止了黑客在您的网络中自由漫游。
马克·索托(MarkSoto)的网络安全和IT服务公司帮助数据中心遭到黑客入侵的企业,提供一些关键见解,说明可以采取哪些措施来防止遭受攻击并在攻击成功后限制损失的发生:
“通过网络分段,如果黑客能够访问您的网络之一,它可以帮助防止整个系统受到损害。它还使您有时间在最坏的情况下做出反应,在其他情况下其他网络也有被黑客入侵的危险。使用网络分段,您还可以指定用户可以访问哪些网络资源。在恶意内部用户至少构成数据泄露事件30%的世界中,这可能是网络分段的最大好处。”-Cybericus的老板MarkSoto
关于数据中心安全性的最终想法
企业依靠数据运行,而确保数据安全的能力会破坏或破坏您的组织。
数据中心是存储网络计算机,服务器和其他基本组件的地方。在灾难中,这是您数据的避风港。
通过实施以下数据中心安全最佳实践,使服务器,网络和其他相关设备尽可能人性化:
采取物理安全措施,以防止坏人从物理上访问您的网络和数据存储设备。实施并强制执行访问限制,以确保只有那些需要访问(物理和虚拟)的人才能拥有它。使用正确的安全工具报告并防御许多数字安全威胁。使所有内容保持最新状态并进行修补,以消除已知漏洞。事半功倍时,可以使用辅助系统和数据备份。如果您正在探索使用云或托管托管服务提供商的想法,那么与内部数据中心相比,您对现有物理安全措施的控制权就更少。但是,您可以要求服务提供商向您提供合规性报告,这可以使您对他们的安全功能更有信心。