Sécurité du serveur physique

Beaucoup de temps et de colonnes sont consacrés à la sécurisation d'un serveur contre les attaques extérieures. Ceci est parfaitement valable car il est plus facile pour un attaquant d'utiliser Internet pour casser votre serveur que pour lui d'accéder physiquement.

Cependant, certains professionnels de l'informatique ignorent l'importance de la sécurité physique des serveurs. Beaucoup, sinon la plupart, des violations de sécurité les plus flagrantes sont commises à l'intérieur de l'organisation.

• Comment protégez-vous vos serveurs des utilisateurs ayant un accès sur site qui n'ont pas besoin d'accéder au serveur ou à la salle des serveurs lui-même?

Est-il juste à côté du bureau du responsable informatique dans une armoire, ou verrouillé derrière plusieurs portes avec carte électronique et accès biométrique?

Une fois que quelqu'un a physiquement accès aux serveurs, quelles protections sont en place qui empêchent, ou du moins enregistrent, l'accès aux données sensibles qu'il n'a pas raisonnablement besoin de voir?

Bien sûr, cela variera d'une organisation à l'autre, et des besoins des entreprises aux besoins des entreprises, mais même les serveurs d'impression ont accès à des données sensibles (contrats et informations sur les employés) en cours d'impression, il y a donc plus que cela n'apparaît à première vue.

Tous nos serveurs de production sont stockés à l'autre bout du monde dans un centre de données solide. Pièges à homme, scanners biométriques, toute la boîte et les dés.

Pour les machines qui se trouvent dans notre bureau, elles vivent dans la salle des serveurs, accessible uniquement via une carte magnétique. Seuls les administrateurs système disposent de cartes magnétiques pouvant accéder à cette zone.

En bref, si quelqu'un a physiquement les mains sur votre kit, alors vos données sont les leurs. Si c'est une préoccupation suffisante, pgp'ing tout ce qui a de la valeur et le décrypter à la volée est une exigence lourde mais nécessaire.

modifier: vous pouvez étendre cela aux questions de sécurité physique de votre support de sauvegarde. À quoi sert une sécurité physique solide si vos sites externes ne sont pas aussi ou plus sécurisés?

Le niveau de sécurité physique dont vous avez besoin dépend de la nature et de la taille de votre entreprise, du personnel informatique, etc. Pour la plupart des petites entreprises, une porte verrouillée et une caméra de sécurité peu coûteuse feront l'affaire.

Il est également important de sécuriser l'accès au placard électrique. Jeter un disjoncteur contribue grandement à arrêter les systèmes informatiques.

Toutes les manières de sécurité physique peuvent être prises avec un accès par carte à puce, des capteurs prox, des portes lourdes, des plaques de protection, des caméras, des mots de passe forts, la biométrie.

Le problème est que lorsque les électriciens doivent faire le câblage, ouvrir la porte avec une brique et aller déjeuner sans en informer personne. C'était arrivé une fois. Heureusement, je suis arrivé quelques instants plus tard. C'est drôle comme une brique peut contourner 10 000 $ + de sécurité.

Autre chose. Méfiez-vous des utilisateurs non techniques et de leur stupidité.

Nos serveurs de production étaient en sécurité au centre de colocation, mais ceux de développement au bureau. Une fois que la femme de ménage n'a pas trouvé de prise de courant gratuite, elle a branché l'aspirateur sur l'onduleur des serveurs. Heureusement, l'alarme de surcharge était assez forte, nous avons donc pu réagir rapidement.

Autre cas (je ne sais pas à quel point c'est une légende réelle ou urbaine), il y avait des temps d'arrêt mystérieux d'un des serveurs tous les jours tôt le matin. Personne n'a pu identifier le problème. Il en résulte que le gardien de sécurité au début de son quart de travail débrancherait l'un des serveurs et rebrancherait la cafetière. Il pensait que "personne ne le remarquerait, ce n'était que 3 minutes".

Notre bâtiment était une banque, nous gardons donc nos serveurs dans le coffre-fort. Le refroidissement n'est pas génial, mais nous n'en avons qu'une demi-douzaine, et aucun d'entre eux n'est extrêmement puissant, donc ce n'est pas vraiment un problème.

Celui-ci est en partie une légende urbaine, en partie une vérité.

UL: Une entreprise faisait construire une nouvelle salle informatique et l'administrateur informatique montrait les mesures de sécurité (piège à homme, cartes magnétiques, etc.) à l'un de ses amis. L'ami hocha la tête, semblant très impressionné. Quelques minutes plus tard, les deux discutent juste devant la porte quand l'ami a une idée. Il tourne le dos au mur et lui donne un bon coup de pied, brisant un trou de bonne taille dans le mur. Inutile de dire que l'administrateur a renforcé les murs avant d'emménager.

Vérité: Petite entreprise louant un espace dans un immeuble à locataires multiples. Clés de carte, etc. Pendant un week-end, quelqu'un a percé un trou dans la cloison sèche à côté de la porte et a volé 20 ordinateurs (y compris le serveur avec toutes les clés de licence)

Nous avons une couche de métal sous la cloison sèche de notre salle informatique.

Notre salle de serveurs est protégée par carte-clé. Seul le personnel informatique possède des cartes-clés qui ouvriront la porte, et seul le service de sécurité a le contrôle des autorisations d'accès de votre carte-clé.

Une fois à l'intérieur de la salle des serveurs, tous les serveurs sont conservés dans des racks fermés. Les portes avant et arrière de chaque rack sont verrouillées et seul le personnel informatique reçoit les clés du rack.

Nous gardons également les placards de réseautage fermés à tous les étages, et seuls les membres de l'équipe des installations ont les clés de ces portes.

S'il s'agit d'une petite ou moyenne entreprise, il aura probablement ses serveurs dans un centre de colocation, s'il s'agit d'une grande entreprise, il aura le sien.

Cela fournit généralement la sécurité physique que vous avez mentionnée. Ce que vous n'avez pas mentionné, c'est le blindage électromagnétique, empêchant l'écoute (il existe des produits disponibles dans le commerce capables d'écouter l'Ethernet à paire torsadée à une distance de cent pieds environ). Dans le cas des banques, ce sont des structures de type bunker, qui résisteraient même aux attaques EMP .

Il est également typique pour un centre de données, d'avoir au moins deux emplacements physiques, d'avoir une sauvegarde en cas de catastrophe naturelle (inondation, incendie, etc.). Bien sûr, c'est sa propre alimentation, non seulement UPS, mais aussi des générateurs.

Demandez à votre personnel informatique (et si possible, un officier de police / ami réserviste ou quelqu'un dans le domaine de la sécurité) de s'asseoir dans une pièce un jour. Regardez Sneakers, Mission Impossible et Oceans 11.

Puis imaginez chaque scénario où quelqu'un s'introduirait dans la pièce. Sous le plancher, à travers les murs, défaisant la serrure de la porte, à travers le plafond, à travers les évents.

Ensuite, superposez votre sécurité.

Utilisez des portes, des serrures, des barres / grilles en béton et en métal pour rendre la pièce aussi imperméable que possible.

Supposez ensuite que votre première ligne de sécurité est violée.

Les détecteurs de mouvement, les alarmes silencieuses, les alarmes sonores sont tous bons.

Des verrous sur tous les racks empêchent les gens d'entrer (ou les ralentissent).

Quelques caméras (devant la porte et dans la salle des serveurs) qui se connectent à une pièce / un site séparé sont un excellent moyen de dissuasion.

En remarque, n'oubliez pas de sécuriser les sauvegardes.

Mon travail tourne autour de quelque chose qui, ah, n'est pas aussi critique ... donc la sécurité n'est pas aussi stricte que " Iron Mountain " ou quelque chose comme ça. Pourtant...

La salle des serveurs est au deuxième étage d'un bâtiment qui utilise des murs en dalle de béton de 6 ". Le point d'entrée initial à l'extérieur nécessite une clé (et passe devant les employés du comptoir). Le deuxième point d'entrée nécessite une clé différente . Le troisième point d'entrée nécessite une troisième clé, et la porte utilise du verre grillagé pour prévenir les attaques occasionnelles, bien que je suppose que quelqu'un avec une tronçonneuse, un chalumeau ou d'autres moyens d'attaque bruyants / envahissants / évidents passerait. L'ensemble de l'installation est recouvert de caméras en marche sur les DVR qui enregistrent les mouvements 24/7, et les DVR eux-mêmes sont sécurisés de manière similaire.

Les sauvegardes sont stockées dans la salle des serveurs dans un insert résistant au feu classé par les médias, qui est ensuite placé à l'intérieur d'un coffre-fort supplémentaire. Les sauvegardes hors site sont effectuées directement par le responsable informatique, qui vit dans une maison alarmée (et je suis sûr qu'il dispose également d'un coffre-fort sur place).

Non, je n'ai pas conçu la sécurité physique, ni déterminé la politique de sécurité physique. L'endroit vend des boîtes de chou et d'oranges et ainsi de suite, donc ce n'est pas comme si nous étions dans le domaine de la manipulation de secrets militaires ou d'État ...

En fonction de vos données, vous souhaiterez peut-être envisager une supervision.

Un centre de données que je connais - je n'y ai pas accédé mais mes coéquipiers l'ont fait. Vous aviez besoin d'une photo d'identité et d'une autorisation pour y accéder. Donc, dans le cas de notre équipe qui ne l'a visité que rarement, nous avons dû obtenir une lettre de notre directeur pour accéder à nos serveurs.

Une fois qu'ils ont décidé de vous laisser entrer, ils prendraient une empreinte de pouce et accrocheraient le badge / la carte d'accès standard sur vous. Ensuite, vous avez été escorté par deux personnes, une escorte technique et un gardien de sécurité. Je comprends que l'idée était que si le technicien vous voyait faire quelque chose qu'il n'aimait pas, il mettait le gardien de sécurité sur vous pour vous empêcher de faire quoi que ce soit.

Il s'agissait d'un centre de données qui détenait des serveurs pour les principales banques internationales de la ville de Londres.

Ha ha, je savais que les gens prenaient la sécurité au sérieux, mais la biométrie? mental. Je suppose que cela dépend vraiment de la nature des données que vous avez stockées. J'ai dû rechercher une configuration de petite taille pour notre société de conception et nous avons trouvé de bonnes choses sur GuruOnline, beaucoup de vidéos sur la sécurité du réseau et d'autres choses. C'est assez basique mais ça pourrait être un bon début ...

La femme de ménage avec un aspirateur et un gardien de sécurité avec une machine à café. ha-ha. au moins, ils ne sont pas payés pour connaître tout le matériel informatique. voici la vraie histoire d'halloween.

notre responsable informatique a décidé de continuer et de quitter. le directeur général de l'entreprise a embauché une personne qui n'avait aucune idée de l'informatique, mais ils sont allés dans la même école chic, donc je suppose que lors de l'entretien, ils parlaient de b0llox sur les vieux temps, les défis de l'aviron, l'alcool et les filles.

lors de sa deuxième semaine, le nouveau responsable informatique s'est rendu dans la salle des serveurs et y est resté un certain temps après les heures pour se familiariser avec la configuration (je n'ai toujours aucune idée de ce qu'il y faisait). parce que les aircons sont assez forts là-dedans, il les a éteints. après quelques heures de plaisanterie, il est rentré chez lui (peut-être très satisfait, peut-être même littéralement - je n'exclue pas la possibilité qu'il regarde p0rn là-bas). il était sûrement très fatigué (beaucoup de bruit pendant de longues heures, etc.) alors il a naturellement oublié de remettre la climatisation en marche.

le matin, le serveur de base de données a été complètement arrêté et 2 autres serveurs sont tombés en panne au cours des 2 jours suivants.

et vous dites femme de ménage. elle ferait sûrement un meilleur travail (surtout pour le montant qu'il a été payé). la seule bonne chose dans cette histoire est que tout le département informatique, chacun de nous, est allé un à un au MD et a dit que ce serait un désastre s'il restait. Heureusement, MD a réalisé que quelque chose ne tournait vraiment pas rond si tout le monde disait cela et renvoyait l'idiot.