来自 7 位 IT 和网络安全专家的这些数据中心安全最佳实践保护您的服务器和数据

注意：本文最初发布于 2020年，现已更新，以包括相关的新闻和媒体资源。

想象一下，您有一堆金条，您有责任保护它。您是否将其保留在任何小偷都可以得到它的地方，还是将其保持在锁和钥匙之下？

同样的类比适用于您的数据中心-信息的虚拟金矿-但是，许多公司选择在数据中心安全性方面做到最低。您的数据中心-处理，分发和存储您的宝贵数据的联网计算机服务器和设备-是组织数字基础架构的关键组成部分。数据中心安全是策略，流程，过程和技术的组合，可保护其免受网络攻击和其他虚拟威胁。

那么，您应该了解哪些数据安全标准才能达到并保持合规性？我们已经征询了几位 IT 和网络安全专家的意见，并分享了他们的数据中心安全最佳实践。

让我们将其散列出来。

数据中心安全性的重要性持续增长

数据的安全性对任何企业都至关重要，这不足为奇。这是宝贵的信息，可以决定您的业务成败。专有信息（例如，知识产权和商业秘密）以及客户的个人和财务信息都是在数据中心内可能发现的数据类型的所有示例。

有意或无意的数据泄露可能导致：

• 名誉受损和客户信任的丧失—如果有消息说您没有采取必要的步骤来保护客户的数据（甚至您自己的知识产权），那么他们为什么要信任您？
• 行业法规中的违规罚款—有几项与数据中心安全性相关的关键法规，包括 PCI DSS，HIPAA，GDPR，SAE 18（以前称为 SAE 16）和 ISO 27001：2013。
• 财务损失和损失收益-停机是企业的主要问题，可能导致大量的收益损失。

TechLoris 的首席执行官 Shayne Sherman 表示，数据中心安全的重要性不可低估，对于每个企业来说，它都应是头等大事。  

“花时间确保建筑物的安全，您的员工精通网络安全防护，并且您满足合规性要求在保护资产免受恶意行为者方面大有帮助。”

— TechLoris 首席执行官 Shayne Sherman

因此，不用说，如果其中任何一条信息落入错误的人手中，您都会陷入困境。这就是为什么您需要了解一些可以实施的数据中心安全最佳实践的原因。

提示 1：实施数据中心物理安全措施

当人们想到为保护组织数据而采取的安全措施类型时，他们不一定会考虑物理安全方面。为什么？他们通常过于关注与网络攻击和数据泄露相关的数据丢失风险。

但是，公司可能没有意识到，物理安全威胁可能是一些最具影响力的威胁。一个这样的例子就是前谷歌工程师安东尼·莱万多夫斯基（Anthony Levandowski）的案例，他承认窃取公司的商业机密并将其提供给优步（Uber）。

根据《纽约客》上的一篇文章，莱万多夫斯基直接访问 Google 的服务器以进行盗窃：

“根据 Google 的说法，在 Levandowski 辞职前一个月，他已将工作发行的笔记本电脑插入 Google 服务器，并下载了约一万四千个文件，包括硬件原理图。他将文件传输到外部驱动器，然后将笔记本电脑擦干净。”

组织可以根据其需求和可用资源而拥有几种主要类型的数据中心：

• 公共云数据中心-这种数据中心不在现场，由 IBM Cloud，Amazon Web Services（AWS）等公共云提供商和其他技术巨头托管。尽管越来越多地采用这些平台，但行业内仍存在许多争论，但其中许多问题是在客户级别（例如服务器配置错误），而不是在提供商级别。
• 私人托管的托管数据中心-在这种数据中心中，您可以与其他公司和组织共享服务器。这对于技术专业知识有限或无法承担大量资本支出成本的公司来说非常有用。但是，它不一定是最安全的选择。
• 托管数据中心-这种数据中心是公司与其他公司共享空间，但拥有自己的服务器和其他设备的数据中心。与托管的托管数据中心相比，这为您的数据提供了更多保护，因为您拥有自己的设备，并且不会与其他组织共享该设备。
• 现场数据中心-这种类型的数据中心是您在自己的设施中提供的。拥有本地数据中心可提供最高级别的安全性，但与其他数据存储选项相比，其运营成本也要高得多。

每种类型都有很大的不同，这意味着每种类型的安全需求都不同。那么，首先应该考虑的数据中心安全性是什么？

位置，位置，位置

如果您要创建自己的数据中心并且不依赖云或托管数据中心，那么有计划地计划数据中心的物理空间至关重要。这包括确定您是否希望数据中心位于僻静的地方或人口稠密的区域。

但是，在安全性方面规划数据中心位置时，还应牢记什么呢？谨慎对待与天气有关的危险和低洼地区。（我们发现洪水和技术并不是很好的结合。）另外，请务必当心容易发生地震的高温地质区。

如果要在人口更稠密的区域中进行构建，可以通过将数据中心与周围环境融为一体来隐藏数据中心。

如果您使用的是服务提供商的设施，请检查其建筑物的结构和位置。您还可以请求合规性报告以查看其度量标准。

关键数据中心物理安全措施

但是除了位置之外，还有许多其他物理安全考虑因素。数据中心强化可以包括：

• 可以保护设施免受外部攻击的钢筋混凝土墙和结构
• 服务器机柜和机架固定在地上并用锁固定
• 监控和调节温度和湿度变化的环境控制

网络安全和 IT 服务公司 Cybericus 的所有者 Mark Soto 很快指出，尽管物理攻击不像网络攻击那么普遍，但它们仍然是对您数据安全的真正威胁。

“您需要在数据中心周围设置安全措施，以确保其安全性。这可以通过徽章系统或密码键盘来实现，仅允许某些人访问这些位置。  

要充分了解经过设施的人员。如上所述，30％的数据泄露是由于内部用户造成的。作为一家公司，您应该非常小心谁有权访问数据中心以及他们有权访问哪些部分。这可能涉及对员工和有权访问您的数据中心设施的第三方承包商进行背景调查。” 

-Cybericus 的所有者 Mark Soto

InfoTracer 的 Web 运营主管 Ben Hartwig 说，您需要考虑设施的物理设计，才能真正衡量数据中心的安全性。

“在物理安全方面，主要关注的是建筑物或设施设计本身。物理安全的关键点包括 24/7 视频监控，金属探测器和现场安全警卫，以及分层的安全措施，安全检查点（针对反映受保护数据的敏感性而定制），有限或单个入口和出口点，以及更多的。”

— InfoTracer 的 Web 运营主管 Ben Hartwig

某些类型的数据中心还具有其他物理要求，例如电信行业协会（TIA）在其数据标准 ANSI / TIA-942 / TIA-942A 中概述的要求。

Hartwig 还建议将传统安全措施提高到新的水平。一些方法包括使用多重访问控制并在每个区域和每个房间强制执行专门的安全性方法。

“每个受个人保护的区域都需要不止一种形式的身份验证和通过控制，因为并非所有员工都应有权访问数据中心的每个部分。

使用门禁卡和身份证或其他保护措施，包括在进入和离开场所时会称重访客的秤，对授权人员进行的连续背景检查以及生物特征识别锁。”

— InfoTracer 的 Web 运营主管 Ben Hartwig

提示 2：不仅要监视和限制物理访问，还要监视和限制虚拟访问

但是保护您的数据不仅需要安装门锁和摄像头。实际上，您实际上还需要监视数字访问。为什么？在 IBM 和 Ponemon Institute 的《2019年数据泄露成本报告》中报告的数据泄露中，有 49％被确定为人为错误和系统故障而不是网络攻击。

SSL 商店的 IT 管理员 Ross Thomas 说，最明显的数据中心安全最佳实践之一是查看为有权访问您的服务器的所有用户设置的权限。

“定期权限审核对于确保访问权限仅委派给需要访问权限的人员至关重要。超级用户非常危险，因为他们能够进行任何更改或执行任何代码或进程。但是，root 用户是必需的。将流程，任务等分配给正确的用户是委派流程的绝对最安全的方法。当人员离开组织时，应该对所有系统中的状态进行适当的评估，以确定即使没有通过前门，他们是否也可以访问。”

— SSL 商店的 IT 管理员 Ross Thomas

而且，如果您还不担心网络钓鱼诈骗和密码不安全，那么应该这么做。Verizon 的 2020年数据泄露调查报告（DBIR）显示，五分之四的与黑客相关的违规行为涉及暴力破解或使用丢失或被盗的凭据。

因此，如果您不能自动信任用户就是他们所声称的身份，那么解决方案是什么？

采用零信任方法

独立软件测试和信息系统审核公司 Kualitatem Inc.的售前经理 Sami Ullah 表示，组织应实施零信任架构：

“零信任模型将每笔交易，数据移动或数据迭代视为可疑。它是最新的入侵检测方法之一。该系统跟踪网络行为，并实时从命令中心发送数据。它会检查从系统中提取数据的任何人，并在检测到异常的情况下提醒工作人员或撤消帐户的权限。”

— Kualitatem Inc.的售前经理 Sami Ullah

提示 3：使用正确的工具来保护您的数据和网络

强大的数据中心安全策略是使用基于外围的安全工具来监视和保护您的网络免受内部和外部威胁的策略。此方法的一部分是正确配置和保护您的端点，网络和防火墙（这是安全性的核心）。

国际软件开发公司 Riseapps 的首席执行官 Vladlen Shulepov 重点介绍了安全库中应该使用的几种关键监视和检测工具：

“外部威胁通常是数据中心的最大敌人，因此必须采取防护措施。入侵检测系统，IP 地址监视和防火墙是一些最有用的工具，可以保护您的数据中心免受外界破坏并确保其安全性。”

— Riseapps 首席执行官 Vladlen Shulepov

SSL 商店的 IT 管理员 Ross Thomas 说，使用反向代理也是一个不错的选择。反向代理的作用类似于访问静态和动态内容的一线缓存，而不是让用户针对每个请求直接访问 Web 服务器或数据库服务器。

“将反向代理添加到 Web 服务器的前面是提高安全性的好主意。它使公众无法直接访问包含生产代码或获取有价值信息的方法（例如数据库）的 Web 服务器。它还可以减轻某些处理和功能的负担，以允许主服务器以满（或接近满）的电压运行。反向代理与负载均衡器并没有太大区别，取决于服务器的结构（例如，集群），反向代理通常可以是一个相同的代理。无论如何，保护有价值的生产代码 / 数据是一个安全的选择。”

— SSL 商店的 IT 管理员 Ross Thomas

如果您想进一步加强数据中心的网络防御能力，则可以（并且应该）：

• 对您的资产，安全管理流程和访问协议进行定期审核。
• 使用网络级加密来保护数据在端点之间传播时的安全性，而服务器级加密可在静止时保护数据。  
• 集成自动化和安全信息以及事件管理（SIEM）工具（或使用第三方服务）以持续监视日志并报告安全事件和威胁。

提示 4：保持服务器和系统为最新

没有人喜欢花时间花一些时间来运行无聊的更新并将补丁应用于他们的系统。毕竟，您还有许多重要的事情要做，对吧？

我们非常确定，几年前受到 WannaCry 勒索软件攻击的 23 万台计算机的所有者是不同意的。在这些攻击中，一个黑客组织利用了 NSA 的 EternalBlue 漏洞（微软已对其进行了修补，但 WannaCry 受害者尚未将其应用到他们的计算机上），以利用这些优势来接管包括英国国家卫生系统（National Health System）在内的全球组织和企业的计算机（ NHS）。

制造商发布补丁程序时，这是他们填补产品中发现的安全漏洞的一种方式。这就像在屋顶上打一个洞以防止雨水倾泻或漏出一样。这是他们在坏人利用漏洞并引起问题之前修复漏洞的方法。

简而言之，从长远来看，修补和更新系统可以为您省去很多麻烦：

“确保您的服务器保持修补状态，并保持最新的软件版本。这是保护自己免受已知漏洞影响的最简单方法。不要因为已经解决的问题而受到侵犯。”

— K2 Cyber Security首席技术官兼联合创始人 Jayant Shukla

提示 5：已准备好冗余数据备份和基础架构

无论我们谈论数据备份多少次，这似乎都远远不够。您在标题上读到了勒索软件攻击和其他网络攻击如何使主要城市政府，医院和企业瘫痪。但是，由于某种原因，企业选择不采取适当的预防措施来创建冗余数据备份。

懒惰吗？也许这是“这不会发生在我身上”的心态。不管为什么不这样做，这件事的真相是，就数据和辅助基础结构而言，冗余备份就位可以为您节省大量时间，金钱和麻烦。当胡言乱语（不可避免）时，您会希望自己花时间做准备。

我认为 Hartwig 最好地总结了下一点：

数据安全与数据中心安全密不可分。为了有效地存储和保护数据，必须在传输过程中对所有数据进行严格编码，并始终对其进行监视和定期备份。”

— InfoTracer 的 Web 运营主管 Ben Hartwig

当然，在保护和保持基础架构正常运行（以及维持正常运行时间）方面，他说还有其他一些必要的事项：

• 保持设备凉爽。您的数据中心运行在各种硬件上，所有这些硬件都会产生大量热量。不受控制的高温实际上会导致机器故障，融化或引起火灾，因此，对于每个数据中心而言，都必须使用强大的气候控制措施。其中的一部分包括安装辅助冷却系统，如果主系统出现故障，则可以启动。
• 保护您的电源。停机的原因可能多种多样，从人为错误到与天气有关的各种问题。它们也可能是功率损耗或短时电涌造成的。无论原因如何，这都意味着您需要适当的备用电源系统，以便在出现问题时可以投入使用，以保持设备和服务器的正常运行。

值得一提的最后一个重要点是使供水管线与其他关键系统分开。几乎没有什么事情像水管破裂一样会破坏您的一天。因此，请确保有两条线路进入您位于不同位置的设备，但要使其远离电源和其他关键基础设施。

提示 6：使用数据中心网络分段

网络分段是一个可以从根本上帮助您根据终结点身份将数据网络划分为单独组件的过程。通过划分网络并独立隔离每个网段，这为黑客必须通过的网络设置了额外的障碍，并阻止了黑客在您的网络中自由漫游。

马克·索托（Mark Soto）的网络安全和 IT 服务公司为数据中心遭到黑客入侵的企业提供帮助，他提供了一些关键的见解，说明了在攻击成功后您可以采取哪些措施来防止受到攻击并限制损失：

“通过网络分段，如果黑客能够访问您的网络之一，它可以帮助防止整个系统受到损害。它还使您有时间在最坏的情况下做出反应，在其他情况下其他网络也有被黑客入侵的危险。

使用网络分段，您还可以指定用户有权访问的网络资源。在恶意内部用户至少构成数据泄露事件 30％的世界中，这可能是网络分段的最大好处。”

-Cybericus 的所有者 Mark Soto

关于数据中心安全性的最终想法

企业依靠数据运行，而您确保数据安全的能力可能会破坏您的组织。

数据中心是存储网络计算机，服务器和其他基本组件的地方。在灾难中，这是您数据的避风港。

通过实施以下数据中心安全最佳实践，使您的服务器，网络和其他相关设备尽可能人为安全：

• 采取物理安全措施，以防止恶意分子从物理上访问您的网络和数据存储设备。
• 实施并强制执行访问限制，以确保仅那些需要访问的用户（物理访问和虚拟访问）都具有访问限制。
• 使用正确的安全工具报告并防御许多数字安全威胁。
• 使所有内容保持最新状态并进行修补，以消除已知漏洞。
• 事半功倍时，可以使用辅助系统和数据备份。

如果您正在探索使用云或托管托管服务提供商的想法，则与内部数据中心相比，您对现有物理安全措施的控制较少。但是，您可以要求服务提供商向您提供合规性报告，这可以使您对他们的安全功能更有信心。