摘要:他說,“託管數據中心服務商的團隊需要密切注意在設施中工作的工作人員,以確保他們只能使用自己的工具箱,並且如果不是租戶公司的員工打開了其機架,就會立即採取行動。託管數據中心服務商應該具有防篡改機制,以便能夠檢測到客戶的機架何時被打開,並將其與監控系統集成,其監控系統可以立即告訴租戶的員工是否在場,以及可能發生撬鎖和強行打開圍籠的情況。

數據對於組織和個人來說是私有的,但數據中心通常是共享的。而這是託管數據中心服務商必須面對的安全問題。

很多企業希望將業務遷移到雲端,但其內部部署數據中心仍然擁有大量的IT資源。爲了使業務更容易處理,企業通常將它們遷移到託管數據中心。業界廠商Vertiv公司在2017年開展的一項調查發現,57%的企業計劃增加數據中心外包服務。而Technavio公司的研究預測,到2022年,託管數據中心市場將以9%左右的速度增長。

同時,大部分雲平臺實際上運行在託管數據中心空間中,像AWS這樣的雲計算巨頭使用大量的共享設施來填補覆蓋範圍的空白。

對於客戶而言,託管數據中心行業降低投資成本、擴大規模,並實現有效的地理分佈。但也有一個缺點:租戶必須信任負責託管硬件和數據的託管服務提供商,必須知道託管數據中心也有可能遭受潛在攻擊。

Equinix公司英國和北歐地區總經理Russell Poole說:“數據中心用戶需要重視安全性,這是我們所有客戶希望在一起部署時最主要的要求。”

託管數據中心供應商的高度優先權

在託管數據中心發生的安全事件對於客戶的影響和危害就像發生在自己擁有和運營的數據中心一樣。但對於受到影響的託管數據中心服務商來說,發生安全性故障可能會更令人尷尬,因爲這代表着其核心業務的失敗。

託管數據中心服務商C I Host公司位於芝加哥託管的託管數據中心在2005年至2007年期間發生四起盜竊事件,盜竊者盜竊了該數據中心價值數萬美元的服務器。2018年12月,澳大利亞電信提供商Vocus公司遭到客戶投訴,指出該公司一個數據中心設施的大門幾個月都對外開放。除了盜竊物理基礎設施外,未經授權的服務器訪問還讓入侵者竊取數據或更改在該硬件上運行的數據和進程。

雖然這兩家公司仍在運營託管數據中心業務,但如果不能確保數據中心設施和設備的安全,將會造成毀滅性的後果。即使其服務條款在安全事故責任方面是無懈可擊的,但失去信任很容易導致客戶流失,特別是在市場競爭激烈並且服務提供商衆多的情況下。

Poole說,“在數據泄露能夠讓在全球開展業務的企業一夜之間陷入困境的情況下,數據中心在防止發生這種情況方面扮演着至關重要的角色。安全漏洞的隱患不僅對託管數據中心服務商的聲譽造成災難性的影響,而且對於租戶的聲譽也造成災難性的影響。”

獨特的挑戰

託管數據中心同樣面臨着由企業內部部署數據設施的所有安全問題。但是,他們面臨另一大挑戰,因爲爲多個租戶提供服務,而且可能隨時都有租戶訪問數據中心。

數據中心建築最好不要設置標識和宣傳廣告,這樣可以減少意外或不受歡迎的訪客進入的機會。外圍圍欄、通用警告標誌、最少的出入口將有助於阻止居心不良人員的進入。警衛、屏障、監控系統(例如閉路電視)以及潛在的訪問控制(例如鑰匙卡)將控制和減少進入數據中心設施的人數。

然而,在確保數據中心外圍安全的同時,內部安全才是重點所在。與企業擁有和運營的數據中心相比,外來人員進入意味着數據中心員工應該對此保持高度警惕,並採取更嚴格的控制措施。他們可能會習慣於在數據中心設施內部看到陌生人員開展看似無害的工作,但實際上可能是針對租戶或設施的攻擊者。

當被問及租用託管數據中心客戶可能面臨攻擊方法的示例時,滲透測試廠商Secarma公司的技術主管Holly Grace Williams說,其中一個有效的方法就是租用同一數據中心設施的空間。

他說,“如果某人希望對一個託管數據中心的設施或租戶進行攻擊,那麼他可以租用數據中心的空間,並獲得訪問權限。然後可以嘗試使用和攻擊數據中心其他租戶的設備;如果發現某個機架圍籠沒有上鎖,並且正好具有時間窗口,則可以將U盤插入服務器的端口竊取數據。正因爲如此,關鍵在於託管數據中心服務商需要對客戶進行適當的細分,以及監控和培訓員工。託管數據中心服務商應該構建一條只能允許一個人通過的狹窄通道,在託管數據中心中應該採用可以隔開機架和房間的堅固網狀圍籠。”

託管數據中心服務商應該具有防篡改機制,以便能夠檢測到客戶的機架何時被打開,並將其與監控系統集成,其監控系統可以立即告訴租戶的員工是否在場,以及可能發生撬鎖和強行打開圍籠的情況。

他說,“託管數據中心服務商的團隊需要密切注意在設施中工作的工作人員,以確保他們只能使用自己的工具箱,並且如果不是租戶公司的員工打開了其機架,就會立即採取行動。”

外部人員進入數據中時,應使用生物特徵識別和密鑰卡等訪問控制設備,並記錄某人何時去了哪裏。內部監控設施(如閉路電視和攝像頭)也應遍佈在整個設施中,並配備全天候值班人員。

Equinix公司的Poole建議說,““當潛在的租戶訪問數據中心以評估其適用性時,他們應該問自己,‘如果我忘記了通行證,進入這裏將會有多困難?’其答案應該是‘禁止進入’。”

他解釋說,如果有人需要進入Equinix公司的數據中心,只能通過預約訪問,並且需要通過一系列安全措施(例如生物特徵識別、指紋讀取器等)控制人員出入,這些讀取器可以從加密的數據庫中識別出指紋和權限。

他說,“一旦有人員進入,訓練有素的安保人員將讓他們簽字,並進行視覺確認,確保只有經過授權的訪問者才能進入。數據中心採用數以百計的攝像頭和手持讀取器進行監控,爲關鍵基礎設施領域和所有客戶提供詳細的監控和存檔。”

數據中心的安保人員和工作人員都應該受過良好的培訓,並意識到社交工程潛在的風險。如果現場工作人員藐視常規流程讓沒有許可的人員進入,那麼其所有的控制和防禦措施都將失敗。因此需要確保員工有足夠的信心,即使在壓力面前也能遵守規定,敢於提出問題或仔細覈查他們不確定的事情,並對不良行爲保持警惕。

由託管數據中心服務商和租戶進行的定期滲透測試,不僅可以確保安全控制措施得到正確實施,有效發揮作用,並發現潛在的漏洞或不足之處進行改進。同樣,還應鼓勵租戶自行檢查,並確保數據中心的安全達到他們期望或要求的標準。

Secarma公司的Williams解釋說:“安全的託管數據中心和非常安全的託管數據中心之間是有區別的,但是大多數人不會根據直覺進行區分,而是根據某些合規性或監管法規要求來區分。”

相關文章