數據是一種商品,需要積極的數據中央安全謀略才能對其進行正確控制。系統中的單一漏洞將對公司造成嚴重毀壞并產生長期陰礙。您的關鍵工作負載是否與外部 網絡安全恐嚇隔離?這是您想知道您的公司是否採用(或策劃採用)托管服務的第一個保證。對可靠數據中央的入侵往往更頻繁地發作。當有關APT 進攻 (Advanced Persistent Threat) 勝利的新聞爆出時,公共會注意到。為了阻止這種趨勢,服務提供商需要采用零信任模子。從物理結構到聯網機架,每個組件的設計都考慮到了這一點。
零信任架構
零信任模子將數據的每筆買賣、挪動或迭代都視為可疑。它是最新的入侵檢測想法之一。角子老虎機777在線該系統跟蹤網絡行為,并即時從指揮中央流出數據。它會查抄任何從系統中提取數據的人,并在檢測到反常時叮囑員工或撤銷帳戶的權限。
數據中央的安全層和冗余
確保數據安全需要安全管理,并且系統查抄逐層構建到數據中央的結構中。從物理建筑本身、軟件系統和日常任務中涉及的人員。您可以將圖層分為物理層或數字層。
數據中央物理安全尺度
地點
評估數據中央是否安全從位置開始。
可靠數據中央的設計將考慮:
- 該地域的地質活動
- 區域內高風險行業
- 任何洪水風險
- 其他不可抗力風險
您可以通過在物理設計中建置障礙或額外冗余來防範上面列出的一些風險。由于有害陰礙,這些事件將對數據中央的運吃角子老虎機投注技巧營產生陰礙;最好完全避免它們。
建筑物、結構和數據中央支援系統
構成數據中央的結構設計需要減低任何拜訪管理風險。周邊的圍欄,建筑物墻壁的厚度和材料,以及它的進口數目。這些都會陰礙數據中央的安全。
一些關鍵因素還包含有:
- 配有鎖的服務器機柜。
- 建筑物需要不止一個供給商來提供電信服務和電力。
- UPS 和發電機等額外的備用 電源系統 是關鍵根基設備。
- 陷阱的採用。這涉及在兩個獨自的門之間安裝一個氣閘,兩扇門都需要驗證
- 考慮未來在同一界線內的擴展
- 與空缺分辨開的支援系統許可授權的工作人員執行他們的任務。它還阻止維護和服務專業人員在無人老虎機教學監視的場合下進角子老虎機 規則入。
物理拜訪管理
管理數據中央周邊的訪客和工作人員的挪動至關主要。假如您在所有門上都安裝了生物辨別掃描儀——并紀實誰可以拜訪什麼以及何時拜訪——這將有助于查訪未來任何潛在的違規行為。火警逃生通道和驅散路線應該只許可人們離開建筑物。不應有任何室外把手,以防範重新進入。打開任何安全門都應該發出警報。所有車輛進口點都應採用加固護柱以防範車輛襲擊。
保衛所有端點
任何設施,無論是連結到數據中央網絡的服務器、平板電腦、智能手機還是筆記本電腦,都是端點。數據中央為安全尺度可能存疑的客戶提供機架和籠子空間。假如客戶沒有正確保衛服務器,整個數據中央都可能處于危險之中。進攻者將嘗試利用連結到互聯網的不安全設施。例如,大多數客戶但願遠程拜訪配電單元 (PDU),以便他們可以遠程重新啟動服務器。在此類用例中,安全性是一個主要疑問。設備提供商應了解并保衛所有連結到互聯網的設施。
維護視頻和條目日志
所有日志,包含有視頻監控錄像和進入日志,都應存檔至少三個月。發明一些違規行為已經為時已晚,但紀實有助于辨別易受進攻的系統和進口點。
文件安全程序
擁有嚴格、定義明確和紀實在案的程序至關主要。像定期交付這樣簡樸的事情需要對其要點細節進行精心策劃。不要留下任何辯白。
運行定期安全審計
審計范圍從每天安全查抄、物理排查到季度 PCI 和 SOC 審計。物理審計是必須的,以驗證實際前提是否符合教導的數據。
數據中央的數字安全層
以及所有物理管理、軟件和網絡構成了可靠數據中央的其余安全和拜訪模子。有多層數字保衛旨在防範安全恐嚇獲得拜訪權限。
入侵檢測和防御系統
該系統查抄高等連續恐嚇 (APT)。它側重于尋找那些勝利拜訪數據中央的人。APT 通常是贊助進攻,黑客將針對他們蒐集的數據有一個特定的目標。檢測這種進攻需要即時監控網絡和系統活動以發明任何反常事件。
反常事件可能包含有:
- 具有提拔權限的用戶在奇數時間拜訪系統的增加
- 服務請求的增加可能導致分布式謝絕服務進攻 (DDoS)
- 出現或在系統中挪動的大型數據集。
- 從系統中提取大型數據集
- 對關鍵人員的網絡釣魚嘗試增加
為了應對這種進攻,入侵檢測和預防系統 (PS) 採用正常系統狀態的基線。任何反常活動都會得到響應。P 目前採用人工神經網絡或機械吸取專業來發明這些活動。
建筑控制系統的安全最佳實踐
樓宇控制系統 (BMS) 與其他數據中央專業同步發展。他們目前可以控制建筑物系統的各個方面。這包含有拜訪管理、氣流、火警報警系統和環境溫度。當代 BMS 配備了很多連結的設施。它們從散開的管理系統發送數據或收到指令。設施本身以及它們採用的網絡都可能存在風險。任何具有 IP 地址的東西都是可破解的。
安全的建筑控制系統
安全專家知道,讓數據中央脫離地圖的最簡樸想法是進攻其建筑控制系統。制造商在設計這些設施時可能沒有考慮到安全性,因此補丁是必須的。假如遭受網絡進攻,像自動噴水滅火系統這樣微賤的東西就可以毀滅數百臺服務器。
劃分系統
將樓宇控制系統與主網絡分手不再是可選的。更主要的是,縱然有這樣的預防措施,進攻者也可以找到毀壞重要數據網絡的想法。在臭名昭著的 Target 數據泄露事件中,樓宇控制系統位于物理上獨立的網絡上。然而,這只會減緩進攻者的速度,由於他們終極會從一個網絡跳轉到另一個網絡。這將我們引向另一個關鍵點——監控橫向運動。
橫向運動
橫向挪動是進攻者用來在設施和網絡中挪動并獲得更高權限的一組專業。一旦進攻者滲入到系統中,他們就會映射所有設施和應用程序,以嘗試辨別易受進攻的組件。假如未及早檢測到恐嚇,進攻者可能會獲得特權拜訪,并終極造成嚴重毀壞。橫向挪動監控限制了數據中央安全恐嚇在系統內活潑的時間。縱然有了這些額外的管理,BMS 中仍有可能存在未知接入點。
網絡等級的安全
越來越多地採用基于虛擬化的根基架構帶來了新等級的安全挑戰。為此,數據中央正在采用網絡級安全想法。網絡級加密在網絡數據傳輸層採用暗碼學,擔當端點之間的連結和路由。加密在數據傳輸時期處于活動狀態,并且這種類型的加密獨立于任何其他加密工作,使其成為一個獨立的辦理方案。
網絡分段
在軟件等級對網絡流量進行分段是一種很好的做法。這意味著依據端點地位將所有流量分類到差異的段中。每個段都與所有其他段隔離,因此充當獨立的子網。網絡分段 簡化了謀略執行。此外,它涵蓋單個子網中的任何潛在恐嚇,防範它進攻其他設施和網絡。
虛擬防火墻
盡管數據中央將有一個物理防火墻作為其安全系統的一部門,但它也可能為其客戶配備一個虛擬防火墻。虛擬防火墻監督數據中央物理網絡之外的上游網絡活動。這有助于在不採用必須的防火墻資本的場合下及早發明數據包注入。虛擬防火墻可以是控制程序的一部門,也可以 以 橋接模式存在于它們自己的虛擬機上。
傳統恐嚇防護辦理方案
知名的恐嚇防護辦理方案包含有:
- 虛擬化專用網絡和加密通訊
- 內容、數據包、網絡、垃圾郵件和病毒過濾
- 流量或 NetFlow 解析器和隔離器
結合這些專業將有助于確保數據安全,同時維持所有者可以拜訪。老虎機最佳賠率
數據中央安全尺度
使數據服務更安全和數據中央安全尺度化的趨勢。為了支援這一點, Uptime Institute 發表了數據中央的級別分類系統。分類系統為確保可用性的數據中央管理建置了尺度。由于安全性會陰礙系統的正常運行時間,因此它構成了其 級別分類 尺度的一部門。系統定義了四個 4 層。每一層都映射到業務需求,這取決于存儲和控制的數據類型。
第 1 層和第 2 層
被視為戰術服務,第 1 層和第 2 層將僅具有本文中列出的一些安全性能。它們成本低,可供不但願即時拜訪其數據并且不會因暫時系統故障而受到財務損失的公司採用。它們重要用于異地數據存儲。
第 3 層和第 4 層
這些層具有更高等其它安全性。它們具有內置冗余性能,可確保正常運行時間和拜訪。為了解服務中斷造成的信譽妨害成本的公司提供關鍵任務服務。這些即時數據處理設備提供最高尺度的安全性。