Segurança do servidor físico

Muito tempo e colunas são gastos discutindo a proteção de um servidor contra ataques externos. Isso é perfeitamente válido porque é mais fácil para um invasor usar a Internet para interromper seu servidor do que para obter acesso físico.

No entanto, alguns profissionais de TI encobrem a importância da segurança do servidor físico. Muitas, se não a maioria, das violações mais flagrantes de segurança são realizadas de dentro da organização.

• Como você protege seus servidores contra usuários com acesso no local que não precisam acessar o servidor ou a própria sala de servidores?

Fica ao lado da mesa do gerente de TI em um cubículo ou trancado atrás de várias portas com cartão eletrônico e acesso biométrico?

Depois que alguém tem acesso físico aos servidores, que proteções existem que impedem, ou pelo menos registram, o acesso a dados confidenciais que eles não precisam ver?

É claro que isso varia de organização para organização, e a empresa precisa da empresa, mas até os servidores de impressão têm acesso a dados confidenciais (contratos e informações dos funcionários) sendo impressos, portanto, há mais do que parece à primeira vista.

Todos os nossos servidores de produção estão armazenados no outro lado do mundo em um sólido data center. Armadilhas de homem, scanners biométricos, toda a caixa e dados.

Para as máquinas que estão em nosso escritório, elas moram na sala do servidor, acessível apenas por cartão de furto. Somente os administradores de sistemas têm cartões de furto que podem acessar essa área.

Em resumo, se alguém fisicamente coloca as mãos no seu kit, seus dados são deles. Se isso for uma preocupação suficiente, então criar algo de valor e descriptografá-lo rapidamente é um requisito pesado, mas necessário.

editar: você pode estender isso para questões de segurança física da sua mídia de backup. Qual a vantagem de uma segurança física sólida se seus sites externos não são tão ou mais seguros?

A quantidade de segurança física necessária depende da natureza e tamanho da sua empresa, equipe de TI, etc. Para a maioria das empresas menores, uma porta trancada e uma câmera de segurança de baixo custo farão o truque.

Também é importante garantir o acesso ao armário elétrico. Jogar um disjuntor ajuda bastante para desligar os sistemas de computador.

Todas as maneiras de segurança física podem ser adotadas com acesso por cartão inteligente, sensores prox, portas pesadas, placas de chute, câmeras, senhas fortes, biometria.

O problema é quando os eletricistas precisavam fazer a fiação, abrir a porta com um tijolo e sair para almoçar sem notificar ninguém. Isso já aconteceu uma vez. Felizmente, cheguei momentos depois. Engraçado como um tijolo pode contornar mais de US $ 10.000 em segurança.

Outra coisa. Cuidado com usuários não técnicos e sua estupidez.

Nossos servidores de produção estavam seguros no centro de colocation, mas os de desenvolvimento no escritório. Uma vez que a faxineira não conseguiu encontrar uma tomada elétrica gratuita, e conectou o aspirador ao no-break dos servidores. Felizmente, havia um alarme de sobrecarga bastante alto, para que pudéssemos reagir prontamente.

Outro caso (não sei quanta lenda real ou urbana é), há períodos de inatividade misteriosos de um dos servidores todos os dias, de manhã cedo. Ninguém conseguiu identificar o problema. Como resultado, o segurança no início de seu turno desconectaria um dos servidores e ligaria a cafeteira. Ele pensou que "ninguém notaria, eram apenas 3 minutos".

Nosso prédio costumava ser um banco, por isso mantemos nossos servidores no cofre. O resfriamento não é bom, mas temos apenas meia dúzia e nenhum deles é extremamente poderoso, então não é realmente um problema.

Essa é parte da lenda urbana, parte da verdade.

UL: Uma empresa estava montando uma nova sala de computadores e o administrador de TI estava exibindo as medidas de segurança (armadilha para homens, cartões de furto etc.) para um de seus amigos. O amigo acenou com a cabeça parecendo muito impressionado. Alguns minutos depois, os dois estão conversando do lado de fora da porta quando o amigo tem uma idéia. Ele vira as costas para a parede e dá um bom chute, quebrando um buraco de bom tamanho na parede. Escusado será dizer que o administrador teve as paredes reforçadas antes de se mudar.

Verdade: espaço para locação de pequenas empresas em um edifício com vários inquilinos. Chaves de cartão, etc. Durante um final de semana, alguém perfurou um buraco no drywall próximo à porta e roubou 20 computadores (incluindo o servidor com todas as chaves de licença)

Temos uma camada de metal sob o drywall da nossa sala de computadores.

Nossa sala de servidores é protegida por cartão-chave. Somente a equipe de TI possui cartões-chave que abrirão a porta e apenas o departamento de Segurança tem controle sobre as permissões de acesso do seu cartão-chave.

Uma vez dentro da sala do servidor, todos os servidores são mantidos em racks fechados. As portas frontal e traseira de cada rack estão trancadas e apenas o pessoal de TI recebe as chaves do rack.

Também mantemos os armários de rede em todos os andares trancados, e apenas membros da equipe de Instalações têm chaves para essas portas.

Se for uma empresa de pequeno a médio porte, provavelmente terá seus servidores no centro de colocation, se for uma grande corporação, terá seus próprios.

Isso geralmente fornece segurança física significa que você mencionou. O que você não mencionou é a blindagem eletromagnética, impedindo a espionagem (existem produtos disponíveis comercialmente capazes de espionar a Ethernet de par trançado a uma distância de cerca de trezentos pés). No caso dos bancos, são estruturas semelhantes a bunkers, que suportariam até ataques de EMP .

Também é típico para o data center, ter pelo menos dois locais físicos, ter backup em caso de algum tipo de desastre natural (inundação, incêndio, qualquer que seja). É claro que é uma fonte de alimentação própria, não apenas UPS, mas também geradores.

Faça com que sua equipe de TI (e, se possível, um policial / amigo reservista ou alguém da área de segurança) se sente em uma sala algum dia. Assista Tênis, Missão Impossível e Oceanos 11.

Depois, invente todos os cenários em que alguém invadiria a sala. Sob o chão, através das paredes, derrotando a fechadura da porta, através do teto, através das aberturas.

Em seguida, coloque sua segurança em camadas.

Use portas, fechaduras, grades / grades de concreto e metal para tornar a sala o mais impermeável possível.

Em seguida, suponha que sua primeira linha de segurança seja violada.

Sensores de movimento, alarmes silenciosos, alarmes sonoros são bons.

As travas em todas as prateleiras mantêm as pessoas afastadas (ou diminuem a velocidade).

Algumas câmeras (do lado de fora da porta e na sala do servidor) que se registram em uma sala / local separado são um excelente impedimento.

Como uma observação lateral, não se esqueça de proteger os backups.

Meu trabalho gira em torno de algo que não é tão crítico ... então a segurança não é tão rígida quanto a " Montanha de Ferro " ou algo assim. Contudo...

A sala do servidor fica no segundo andar de um prédio que usa paredes de concreto de 6 ". O ponto de entrada inicial requer uma chave (e a passagem dos funcionários do balcão). O segundo ponto de entrada exige uma chave diferente . O terceiro ponto de entrada requer uma terceira chave, e a porta emprega vidro de malha de arame para evitar ataques casuais, embora eu ache que alguém com uma serra elétrica, maçarico ou outro meio de ataque barulhento / intrusivo / óbvio possa passar. nos DVRs que registram movimento 24/7, e os próprios DVRs são protegidos de maneira semelhante.

Os backups são armazenados na sala do servidor em uma inserção à prova de fogo com classificação de mídia, que é colocada dentro de um cofre adicional contra incêndio. Os backups externos são feitos diretamente pelo gerente de TI, que mora em uma casa alarmada (e tenho certeza que também tem um cofre no local).

Não, não projetei a segurança física, nem determino a política de segurança física. O local vende caixas de repolho e laranja e outros enfeites, por isso não é como se estivéssemos no negócio de lidar com segredos militares ou de estado ...

Dependendo dos seus dados, você pode considerar a supervisão.

Um data center que eu conheço - eu não o acessei, mas meus colegas de equipe o fizeram. Você precisava de identificação com foto e autorização para acessar. Portanto, no caso de nossa equipe que apenas o visitava raramente, recebíamos uma carta do nosso diretor para acessar nossos servidores.

Depois que eles decidissem deixar você entrar, eles tirariam uma impressão digital e pendurariam o cartão de crachá / acesso padrão em você. Então você foi escoltado por duas pessoas, uma escolta técnica e um segurança. Entendo que a ideia era que, se o técnico o visse fazer algo que ele não gostava, ele colocaria a guarda de segurança em você para impedir que você fizesse o que fosse.

Este era um data center que mantinha servidores para os principais bancos internacionais da cidade de Londres.

Ha ha, eu sabia que as pessoas levavam a segurança a sério, mas biometria? mental. Suponho que realmente depende da natureza dos dados que você armazenou. Eu tive que pesquisar uma configuração de tamanho pequeno para nossa empresa de design e encontramos algumas coisas boas no GuruOnline, muitos vídeos sobre segurança de rede e outras coisas. É bem básico, mas pode ser um bom começo ...

A faxineira com um aspirador e um guarda de segurança com uma máquina de café. ha-ha. pelo menos eles não são pagos para conhecer todas as coisas de TI. aqui está a verdadeira história de halloween.

nosso gerente de TI decidiu seguir em frente e sair. o diretor-gerente da empresa contratou alguém esperto que não tinha idéia sobre TI, mas frequentou a mesma escola elegante, então suponho que, na entrevista, eles falavam sobre velhos tempos, desafios de remo, bebidas e garotas.

em sua segunda semana, o novo gerente de TI foi para a sala do servidor e ficou horas depois de se familiarizar com a instalação (ainda não tenho ideia do que ele estava fazendo lá). porque os aircon são muito fortes lá dentro, ele os desligou. depois de algumas horas brincando, ele foi para casa (talvez muito satisfeito, talvez até literalmente - não excluo a possibilidade dele assistir p0rn lá). certamente ele estava muito cansado (muitas horas de muito barulho, etc.), então naturalmente se esqueceu de trocar o ar condicionado.

de manhã, o servidor do banco de dados foi completamente preparado para parar e outros 2 servidores falharam nos próximos 2 dias.

e você diz faxineira. ela certamente faria um trabalho melhor (especialmente pelo valor que ele recebeu). a única coisa boa nessa história é que todo o departamento de TI, cada um de nós foi ao MD um a um e disse que seria um desastre se ele permanecer. Por sorte, o MD percebeu que havia algo realmente errado se todos dissessem isso e demitissem a identidade.