web-dev-qa-db-ja.com

ホーム「データセンター」セキュリティ、どこで何を探すべきか?

これは、セキュリティ管理と物理的セキュリティについてさらに学ぶための質問です。

私は自宅の地下室で小さなサーバールームを運営しています。主に、ライブホストや開発のために試したくない攻撃のテストベッドとして使用しています。私は人をやって学ぶというよりも、地下室のセキュリティを最大限に高めたいと思っています。可能であれば証明

すでにそこにあるもの:

  • キーパッド/セキュリティドア
  • CCTV
  • 強力なファイアウォール

これを文書化して、定期的なチェックを実装したいと思います。この状況に適用するのに十分な柔軟性を備えたセキュリティポリシーと物理的セキュリティについて読むためのドキュメント/ヘルパーはどこにありますか?

[〜#〜] edit [〜#〜]:少し明確にするために、これは[〜#〜] how [〜#〜]whatセキュリティポリシーに関する文書化。そして、2番目のステップでは、ドキュメントを何らかの標準に準拠させたいので、誰かにそれを証明してもらうことができます(理論的には)。私はすでにドアをロックする方法を知っています;-)

4
Peter Meyer

私の場合は、2列のスプレッドシートを作成し、最初の列でセキュリティの一部を定義します。 •キーパッド/セキュリティドア•CCTV•強力なファイアウォールと2番目の列は、最初の列にリストされているアイテムが安全であると見なされる理由をバックアップします。たとえばCCTV | CCTVシステムは、映像をローカルに記録し、X個の電子メールアドレスにリアルタイムのアラートを送信します。そのうちの1つは個人のスマートフォンにあるため、すぐに通知されます。次に、デバイスの電源が切断された場合、バッテリーのみの電源で最大XX:XXの記録時間をサポートするバッテリーバックアップデバイスから電力が供給されます。 3番目に、システムは2つの別々のネットワークを介してインターネットに2つの異なる接続を持ち、1つは有線で、もう1つは別々の4GまたはネイバーズWiFi(許可を得て)を介します。

可能性は無限大ですが、クライアントにソリューションを販売しようとすると、メリットの概要を示す2列のスプレッドシートを整理するのは非常に簡単です。(原因と結果を考えてください)アイテムAがこのソリューションを提供し、アイテムBがそのメリットを提供します。認定、どこを指すかわかりませんが、これには抜け穴があります。認定とは、ある種のサードパーティが、お客様の構成がお客様の主張どおりであると述べていることを意味します。これを行うエンティティを見つけたり作成したりして、友達やクライアントに見せびらかすためのある種の証明書を作成することができます。これがあなたがたどりたい道であるならば、あなたは弁護士に相談することを検討したいかもしれません。前払いのリーガル/リーガルシールドをお持ちの場合は、特典のタイトル1に基づいて無料で相談することができ、「認証」プロセスの合法性を伝えることができます。

2
Brad

あなたの場合、最初に文書化する必要があるのは脅威モデルだと思います。
つまり、どのような脅威に対して防御しているのか、どのようなリスクを心配しているのか、セキュリティプロファイルは何かなどです。

大きな企業文書は必要ないので、この方法ははるかに簡単で、脅威/リスクと実装する緩和策の間のマッピングを文書化できます。
(脅威とリスクにマッピングされた)対策を文書化したら、のみ関連する詳細の量、つまり軽減に重要な詳細に入る必要があります。期待されるセキュリティのレベル。

@Jeffがコメントで述べたように、何かが足りない場合を除いて、外部の認証を取得する必要はありません。
悪いことを書いて、それをどのように防いでいるか。

2
AviD