Como gerenciar chaves de rack?

Como resultado de uma auditoria de segurança, é necessário bloquear os racks e gerenciar as chaves:

1. Mantenha as chaves seguras
2. Gravar uso de chave

A conformidade com esses dois requisitos apresenta muitos desafios, pois existem muitos administradores de sistema e netadmins possíveis (cerca de 10) que precisam de acesso à sala do servidor.

Estamos considerando várias soluções possíveis, mas todos têm algumas desvantagens, principalmente relacionadas a quem é o principal mestre e como manter a disponibilidade no caso de ausência dessa pessoa.

Você trava suas prateleiras? Como você gerencia as chaves para garantir disponibilidade e responsabilidade?

Compre um cofre de chaves, coloque-o na sala do servidor, entregue a (s) chave (s) à sua casa (s) confiável (s) e a um ou dois funcionários de backup úteis (proprietários amigáveis ​​e úteis ou as pessoas de contabilidade que já são confiáveis) com dinheiro e tal).

As pessoas de confiança são as únicas que travam e trancam os racks, e elas se registram em um log.

Como o cofre está na sala do servidor, ele deve estar coberto por qualquer segurança que você já tenha lá.

Coloque-os em uma caixa de bloqueio protegida por uma senha digital para cada usuário, que registrará a entrada na caixa.

Nós não trancamos os racks do servidor, trancamos a sala e fica do outro lado do corredor e visível a partir dos escritórios de 3 ou 4 pessoas de TI, para que ninguém pudesse entrar lá sem nos notar.

O cofre com códigos de acesso para cada ideia de pessoa mencionada acima é bom. Relendo as perguntas, vejo a parte sobre a auditoria do uso de chaves. Eu sei que os corretores de imóveis que usam os cofres aqui podem fazer isso: cada corretor de imóveis possui uma chave eletrônica registrada, o cofre registra qual chave é aberta e o proprietário do cofre pode fazer o download de um relatório. Eu não imagino que isso seja barato, no entanto ...

Eu recomendaria trancar a sala do servidor, não os racks. Além disso, para rastrear o acesso individual, eu usaria um sistema de cartão-chave para permitir o acesso a esta sala.

Os cartões-chave são exclusivos para cada pessoa e podem ser programados para permitir o acesso durante um horário específico do dia e dias da semana. Isso permite que você controle mais para que algumas pessoas possam ter acesso 24/7, enquanto outras podem ter apenas 9-5.

Além disso, sistemas como esse permitem criar relatórios mostrando exatamente quem entrou na sala quando, para que você tenha um log de auditoria completo.

Definitivamente, consideraria instalar uma fechadura com código de acesso na porta da sala do servidor - é muito mais fácil do que gerenciar as chaves e as fechaduras têm preços razoáveis ​​agora. Ou você pode gastar um pouco mais e obter um que ofereça códigos separados por usuário para que ele faça o login na sala.

Deixo as prateleiras abertas, pois acho mais fácil trabalhar e ajudar no fluxo de ar.

As chaves são perdidas, copiadas e não são bem rastreadas.

Eu usaria bloqueios de combinação para os racks que controlam o uso à medida que cada pessoa obtém seu próprio código.

Trabalharam em um local com estes:

Auditcon 252

http://www.kaba.co.uk/products/auditcon-2-series-model-252.asp

Coloque também uma câmera para ver quem abriu o quê e quando.

Se eles são racks da APC como o nosso, você pode comprar bloqueios de rack de substituição que os alteram de bloqueios de chave para bloqueios de combinação.

http://www.apc.com/resource/include/techspec_index.cfm?base_sku=ar8132a

Caro, mas vale a pena para nós.

Existem muitas soluções para esse tipo de coisa. Eu tinha um amigo que trabalhava em um local onde eles tinham que gerenciar mais de 500 chaves de veículos - não era necessária tecnologia pesada. Tente um lugar como este .

Não bloqueamos nossos racks, mas também não compartilhamos uma sala de servidores. Para chaves controladas e compartilhadas em comum, elas estão em uma caixa de chaves bloqueada em uma sala segura. Registramos as chaves dentro e fora da caixa de chaves. Essas são principalmente as chaves para outros armários de fiação e similares, mas sabemos quem teve qual chave quando e a caixa é protegida por sua própria trava (é fácil derrotar fisicamente) e o acesso do cartão-chave ao data center (que é registrado )

Também usamos um keysafe. Ele vive dentro de uma armadilha entre um pequeno centro de operações de negócios e o CD atual. Para obter uma chave, você deve crachá na armadilha humana, crachá no cofre e concluir uma verificação manual. Então, você insere o CD. Tudo isso é monitorado por vídeo.

Nos livramos das fechaduras de chave em nossos racks e colocamos fechaduras eletrônicas que, em vez disso, eram ligadas ao nosso sistema de segurança do edifício.

Se alguém perdesse o cartão de acesso ou fosse demitido, levaria menos de um minuto para revogar o acesso. Também nos deu registros de quem estava abrindo racks e quando. Além de limitar o acesso de pessoal e clientes apenas aos racks aos quais eles deveriam ter acesso.

Edit: Outro truque que fizemos foi dar aos nossos contratantes regulares cartões de acesso que foram desativados por padrão, quando os chamamos para entrar e trabalhar, o NOC ativaria seus cartões naquele período. Os salvou tendo que entrar no NOC, que ficava no subúrbio seguinte para pegar as chaves primeiro.

Padronize os bloqueios (faça com que sejam codificados da mesma forma) para que sejam todos iguais, para que você tenha menos problemas com a falta de chaves e tal. A maioria dos serralheiros deve ser capaz de fazer isso se usar o mesmo tipo de fechadura.

Os racks não são seguros. Você pode tirar as portas da maioria dos racks em alguns segundos, mesmo quando estiverem trancados.

Você pode precisar de bloqueios para obter alguma certificação, mas lembre-se disso se realmente quiser depender dela.

Você já pensou em usar os racks de desbloqueio remoto da Rittal CMC? Dessa forma, você pode ter uma auditoria do que estava aberto quando, nenhuma chave é necessária.

Eu sabia que esse link seria útil um dia para as CyberKeys

É MUITO MAIS do que eu preciso, mas parece que é exatamente o que você está procurando.

Você não adora quando os auditores dizem que precisa de algo, mas não tem sugestões?