Seguridad física del servidor

Se dedica mucho tiempo y columnas a discutir cómo proteger un servidor de ataques externos. Esto es perfectamente válido porque es más fácil para un atacante usar Internet para romper su servidor que obtener acceso físico.

Sin embargo, algunos profesionales de TI ignoran la importancia de la seguridad física del servidor. Muchas, si no la mayoría, de las violaciones de seguridad más graves se realizan desde el interior de la organización.

• ¿Cómo protege sus servidores de los usuarios con acceso en el sitio que no tienen necesidad de acceder al servidor o la sala de servidores?

¿Está justo al lado del escritorio del gerente de TI en un cubículo, o bloqueado detrás de varias puertas con tarjeta electrónica y acceso biométrico?

Una vez que alguien tiene acceso físico a los servidores, ¿qué protecciones existen para evitar, o al menos registrar, el acceso a datos confidenciales que no tienen una necesidad razonable de ver?

Por supuesto, esto variará de una organización a otra, y las necesidades empresariales a las necesidades empresariales, pero incluso los servidores de impresión tienen acceso a los datos confidenciales (contratos e información de los empleados) que se imprimen, por lo que hay más de lo que podría parecer a primera vista.

Todos nuestros servidores de producción se almacenan en el otro lado del mundo en un centro de datos sólido. Trampas de hombre, escáneres biométricos, toda la caja y dados.

Para las máquinas que están en nuestra oficina, viven en la sala de servidores, a las que solo se puede acceder mediante una tarjeta magnética. Solo los administradores del sistema tienen tarjetas magnéticas que pueden acceder a esa área.

En resumen, si alguien tiene físicamente sus manos en su kit, entonces sus datos son de ellos. Si esto es una preocupación suficiente, entonces pgp' algo valioso y descifrarlo sobre la marcha es un requisito pesado pero necesario.

editar: podría extender esto a cuestiones de seguridad física de sus medios de copia de seguridad. ¿De qué sirve una seguridad física sólida si sus sitios externos no son tan seguros?

La cantidad de seguridad física que necesita depende de la naturaleza y el tamaño de su negocio, el personal de TI, etc. Para la mayoría de las empresas más pequeñas, una puerta cerrada y una cámara de seguridad económica harán el truco.

Asegurar el acceso al armario eléctrico también es importante. Lanzar un interruptor hace mucho para apagar los sistemas informáticos.

Todas las formas de seguridad física se pueden tomar con acceso a tarjetas inteligentes, sensores prox, puertas pesadas, placas de protección, cámaras, contraseñas seguras, datos biométricos ...

El problema es cuando los electricistas necesitan hacer el cableado, abrir la puerta con un ladrillo y salir a almorzar sin avisar a nadie. Había sucedido una vez. Por suerte llegué momentos después. Es curioso cómo un ladrillo puede sortear $ 10k + de seguridad.

Otra cosa. Cuidado con los usuarios no técnicos y su estupidez.

Nuestros servidores de producción estaban seguros en el centro de colocación, pero los de desarrollo en la oficina. Una vez que la señora de la limpieza no pudo encontrar una toma de corriente gratuita y conectó la aspiradora al UPS de los servidores. Afortunadamente, tenía una alarma de sobrecarga bastante fuerte, por lo que pudimos reaccionar rápidamente.

Otro caso (no sé cuánta leyenda real o urbana es), allí donde misteriosos tiempos de inactividad de uno de los servidores todos los días temprano en la mañana. Nadie pudo identificar el problema. Como resultado, el guardia de seguridad al comienzo de su turno desconectaría uno de los servidores y enchufaría la cafetera. Pensó que "nadie se daría cuenta, solo fueron 3 minutos".

Nuestro edificio solía ser un banco, por lo que mantenemos nuestros servidores en la bóveda. El enfriamiento no es excelente, pero solo tenemos media docena, y ninguno de ellos es muy poderoso, por lo que no es realmente un problema.

Esta es parte de la leyenda urbana, parte de la verdad.

UL: Una empresa estaba construyendo una nueva sala de computadoras y el administrador de TI estaba mostrando las medidas de seguridad (trampa de hombre, tarjetas magnéticas, etc.) a uno de sus amigos. El amigo asintió con la cabeza pareciendo muy impresionado. Unos minutos más tarde, los dos están hablando justo afuera de la puerta cuando el amigo tiene una idea. Da la espalda a la pared y le da una buena patada, rompiendo un agujero de buen tamaño en la pared. No hace falta decir que el administrador reforzó las paredes antes de mudarse.

Verdad: espacio de arrendamiento de una pequeña empresa en un edificio multiinquilino. Llaves de tarjetas, etc. Durante un fin de semana, alguien hizo un agujero en el panel de yeso al lado de la puerta y robó 20 computadoras (incluido el servidor con todas las llaves de licencia)

Tenemos una capa de metal debajo del panel de yeso de nuestra sala de computadoras.

Nuestra sala de servidores está protegida mediante tarjeta de acceso. Solo el personal de TI tiene tarjetas que abrirán la puerta, y solo el departamento de seguridad tiene control sobre los permisos de acceso de su tarjeta.

Una vez dentro de la sala de servidores, todos los servidores se mantienen en bastidores cerrados. Las puertas delantera y trasera de cada bastidor están cerradas, y solo el personal de TI recibe las llaves del bastidor.

También mantenemos cerrados los armarios de redes en todos los pisos, y solo los miembros del equipo de Instalaciones tienen llaves para estas puertas.

Si es una empresa pequeña a mediana, probablemente tendrá sus servidores en el centro de colocación, si es una gran corporación, tendrá la suya propia.

Esto generalmente proporciona seguridad física significa que has mencionado. Lo que no mencionó es el blindaje electromagnético, que previene las escuchas (hay productos disponibles en el mercado capaces de escuchar escuchas de Ethernet de par trenzado a una distancia de aproximadamente cien pies). En el caso de los bancos, estas son estructuras tipo búnker, que incluso resistirían los ataques EMP .

También es típico para el centro de datos, tener al menos dos ubicaciones físicas, tener respaldo en caso de algún tipo de desastre natural (inundación, incendio, lo que sea). Por supuesto, es su propia fuente de alimentación, no solo UPS, sino también generadores.

Haga que algún día su personal de TI (y si es posible, un oficial de policía / amigo reservista o alguien en el campo de seguridad) se siente en una habitación. Mira zapatillas de deporte, Misión imposible y océanos 11.

Luego, piense en cada escenario en el que alguien irrumpiría en la habitación. Debajo del piso, a través de las paredes, derrotando la cerradura de la puerta, a través del techo, a través de las rejillas de ventilación.

Luego, superpone tu seguridad.

Use puertas, cerraduras, barras / rejas de concreto y metal para hacer que la habitación sea lo más impermeable posible.

Luego, suponga que su primera línea de seguridad está violada.

Los sensores de movimiento, las alarmas silenciosas, las alarmas sonoras son buenas.

Las cerraduras en todos los bastidores mantienen a las personas alejadas (o las ralentizan).

Unas pocas cámaras (fuera de la puerta y en la sala de servidores) que inician sesión en una sala / sitio separado son un excelente elemento de disuasión.

Como nota al margen, no se olvide de asegurar las copias de seguridad.

Mi trabajo gira en torno a algo que, ah, no es tan crítico ... por lo que la seguridad no es tan estricta como " Iron Mountain " o algo así. Sin embargo...

La sala de servidores está en el segundo piso de un edificio que usa muros de losa de concreto de 6 ". El punto de entrada inicial afuera requiere una llave (y pasar a los empleados del mostrador). El segundo punto de entrada requiere una llave diferente . El tercer punto de entrada requiere una tercera llave, y la puerta emplea vidrio de malla de alambre para evitar ataques casuales, aunque supongo que alguien con una motosierra, soplete u otro medio de ataque ruidoso / molesto / obvio pasaría. Toda la instalación está cubierta con cámaras funcionando en DVR que registran movimiento 24/7, y los DVR mismos están asegurados de manera similar.

Las copias de seguridad se almacenan en la sala del servidor en un inserto seguro contra incendios con clasificación de medios, que luego se coloca dentro de una caja fuerte adicional contra incendios. Las copias de seguridad externas son tomadas directamente por el Gerente de TI, que vive en una casa alarmada (y estoy seguro de que también tiene una caja fuerte en el sitio).

No, no diseñé la seguridad física, ni determino la política de seguridad física. El lugar vende cajas de repollo y naranjas y demás, así que no es como si estuviéramos en el negocio de manejar secretos militares o de estado ...

Dependiendo de sus datos, es posible que desee considerar la supervisión.

Conozco un centro de datos: no tuve acceso a él, pero mis compañeros sí. Necesitabas una identificación con foto y autorización para acceder. Entonces, en el caso de nuestro equipo que solo lo visitó raramente, tuvimos que recibir una carta de nuestro director para acceder a nuestros servidores.

Una vez que decidieran dejarlo entrar, tomarían una huella digital y colgarían la tarjeta de acceso / tarjeta de identificación estándar. Luego fuiste escoltado por dos personas, una escolta técnica y un guardia de seguridad. Entiendo que la idea era que si la persona técnica lo viera hacer algo que no le gustaba, le puso el guardia de seguridad para evitar que hiciera lo que fuera.

Este era un centro de datos que albergaba servidores para los principales bancos internacionales de la ciudad de Londres.

Ja, ja, sabía que la gente se tomaba en serio la seguridad, ¿pero la biometría? mental. Supongo que realmente depende de la naturaleza de los datos que haya almacenado. Tuve que investigar una configuración de tamaño pequeño para nuestra empresa de diseño y encontramos algunas cosas buenas en GuruOnline, muchos videos sobre seguridad de red y otras cosas. Es bastante básico pero podría ser un buen comienzo ...

La señora de la limpieza con una aspiradora y guardia de seguridad con una máquina de café. jaja. al menos no se les paga por conocer todas las cosas de TI. Aquí está la verdadera historia de Halloween.

nuestro gerente de TI decidió seguir adelante y renunciar. el director gerente de la compañía contrató a algunos hábiles que no tenían idea sobre TI, pero fueron a la misma escuela elegante, así que supongo que en la entrevista estaban hablando de viejos tiempos, desafíos de remo, alcohol y chicas.

En su segunda semana, el nuevo gerente de TI fue a la sala de servidores y se quedó después de horas durante un tiempo para familiarizarse con la configuración (todavía no tengo idea de lo que estaba haciendo allí). porque los aires son bastante fuertes allí, los apagó. Después de algunas horas de bromas, se fue a su casa (tal vez muy satisfecho, tal vez incluso literalmente, no excluyo la posibilidad de que lo vea allí). seguramente estaba muy cansado (largas horas, mucho ruido, etc.) así que naturalmente se olvidó de volver a encender el aire acondicionado.

por la mañana, el servidor de la base de datos se detuvo por completo y otros 2 servidores fallaron en los próximos 2 días.

y dices señora de la limpieza. ella seguramente haría un mejor trabajo (especialmente por la cantidad que le pagaron). Lo único bueno de esa historia es que todo el departamento de TI, cada uno de nosotros fuimos al MD uno por uno y nos dijeron que sería un desastre si se quedaba. afortunadamente, MD se dio cuenta de que algo estaba realmente mal si todos decían eso y lo despedían.