サーバールームに人を入れない理由

Question

私はいくつかのホスティング会社で働いており、これについて2つの考え方を見てきました。

お客様をサーバールームに入れないでください。議論は基本的にそれはセキュリティ（このニュース記事は通常あなたが人々を知っている場合にのみセキュリティが良い理由として提供されます）とプライバシーを高め、あなたが彼らにローカル端末を提供するならそれは良いということです足りる。
人々が自分のマシンにアクセスする必要があり、それが優れたショーピースになるため、顧客がサーバールームに入ることを許可します。

サーバールームへの人の立ち入りを禁止する理由（法的、コンプライアンスなど）はありますか？

Toby Mills · Accepted Answer

各クライアントのハードウェアが別々のケージなどに分離されていると仮定すると、サーバールームに人を入れない理由はわかりません。ただし、機密性の高い重要なデータ（例：銀行、警察など私は、その部屋にいる非常に少数の有資格者だけであろう。顧客に関して言えば、彼らが資格があり、同様に悪意がないことをどのように知っていますか。リスクを冒す価値はありません。

わずかなダウンタイムやデータの損失によって大きな問題が発生するような状況では、注意を怠っても常に安全です。

Alnitak · Answer

enter image description here

それはすべて言う、本当に:)

Chopper3 · Answer

私の経験では、サービス/システムの停止の75％は、「レイヤー8」/ウェットウェアの問題によるものです。飲み物をこぼしたり、ボタンを押したり、ケーブルをつまずいたり、RAIDフェイルオーバーを「テスト」したりする人もいます。

人々を締め出す、これを行う1つの方法は、彼らが自分で書かなければならない「エントリーの理由」フィールドを備えた手動エントリーログを持つことです-それは正当な理由なしに人々を止めます。

Sam Cogan · Answer

個人的には、他の場所で自分の機器をホストしていて、彼らが私にその仕事をさせてくれなかったら、私はかなりイライラするでしょう。施設を安全に保つ必要があることを理解し、通りの外に誰かを入れることは悪い考えですが、私が私の機器をホストするためにあなたにお金を払っているなら、私は私のシステムのセキュリティに既得権を持っていますそれを妥協するために何でもするつもりです。

セキュリティが必要です。DCに入るにはID、パスワード、または虹彩スキャンが必要ですが、一緒に停止すると、ビジネスを別の場所に移すだけです。

Karl Katzke · Answer

マシンへの物理アクセス==マシンをルート化する機会。

マシン上の機器へのアクセスを許可したくない人をサーバールームに入れないでください。または、他の人にマシンルームへの物理的アクセスを許可する場合は、マシンのコントロールへの物理的アクセスを（KVMまたは他のローカル/コンソール手段とともに）制限します。

私の頭の中でのベストプラクティスは、管理者以外のユーザーへのアクセスを完全に防止するか、グローバルアクセスが許可されていないサーバールームにいる間にセキュリティエスコートを提供するか（ベンダーなど）、キーロックされたハードウェアを所定の位置に保持してキーを許可されたユーザー/管理者のサブセットに制限します。最後の部分は、顧客としてスペースを借りるほとんどのコロケーションスペースのベストプラクティスです。

また、機会があれば、「テールゲーティング」を防ぐ2つのアクセス形式を必要とする「エアロック」システムがあることを確認してください。私たちの場合、これらはパンチロックとカードスキャンロックです。ホワイエに入るには、コードをロックに打ち込む必要があります。ロビーに入ると、IDカードをスキャンして実際のサーバールームに入る必要があります。

「それは本当に良い考えです」だけでなく、関係する可能性のある特定の業界固有のSAP、法律、または規制があります。教育機関や政府機関では、学生情報へのアクセスに関して確実に施行する必要のある特定の法律があります。上場企業にも同様の要件があります。彼らはSOXに準拠する必要があります。医療業界、または関連するID情報と病歴を扱う業界は、HIPPAに準拠する必要があります。クレジットカード取引を保存する会社は、通常、マシンに保存できるものとマシンにアクセスできるユーザーについて非常に明確なマーチャント契約に準拠する必要があります。あなたの業界のマイレージは確かに異なるかもしれません。

Teddy · Answer

これについて考えてみてください：銀行はits顧客が金庫に行き、口座にお金を預けたり引き出したりすることを許可していますか？答えは次のとおりです。アカウントボックスが個別に保護されている場合のみ、それでも彼らはあなたに警備員を同行させるかもしれません。しかし、高セキュリティシナリオの最善の方法は、必要なときにボックスをあなたに持ち出すことです。これは、高セキュリティ銀行が行います。

Vagnerr · Answer

セキュリティは、そうしない理由としてすでに言及されています。もう1つは健康と安全です。 DCは、訓練を受けていない人にとって危険な環境になる可能性があります。もちろん、これらは両方とも、「たとえば、訓練を受けたスタッフの同伴が必要です。当社のデータセンターでは、適切なコースを受講しない限り、スタッフにアクセスを許可しないように要求しています。また、顧客は確実にアクセスを許可されていません。伴わない限り。

Brian Knoblauch · Answer

アクセスのために護衛を必要とするローカルデータセンターと同じ場所にサーバーがありました。あなたがそれを修正できるように誰かが利用可能になるのを待つために箱を下ろすこと、立って立つことのようなものは何もありません。それから、その人はただ見ているだけで、退屈してそこに立つようになります。その場合、それは数時間でした。現在、サーバーは社内で行っています...

Rob Bergin · Answer

SAS70に準拠している場合、またはサーベンスオクスリーは、金融システムに関するIT統制を提供しています。

Stu Thompson · Answer

顧客が自分のキットにアクセスできるようにすることは、基本的な「権利」のように思えます。コロのセキュリティは、顧客によるラックごとのアクセスが安全であるように、注意深く構造化されている必要があります。

より多くのセキュリティが必要だと他の顧客が感じた場合は、外に出て自分のケージまたは部屋を取得できます。

user640 · Answer

お客様に正規のスタッフが同行している場合、それは私には問題ないようです。私は確かにサーバールームの顧客を無人にさせたくありません。スタッフに関しては、stictコントロールを実施する必要があります。

サーバールームを展示品として使用したい場合は、窓やガラスの壁が、敏感な場所を無数の人が通り抜けることなくそれを行うのに最適な方法です。

John Gardeniers · Answer

非常に大部分は、提供しているホスティングの種類によって異なります。一部のデータセンターでは、訪問者を許可する必要はありませんが、顧客がハードウェアを見ることができるウィンドウがあると便利です。

顧客が絶対に物理的なアクセスを許可されなければならない他のデータセンターがあります。例えばローカルドライブを使用してテープから復元します。この種類のアクセスは、たとえば、施設が災害復旧/事業継続施設を提供している場合に必要になります。顧客自身の敷地が破壊された可能性があるため、すべての機能が一時的にデータセンターで実行されます。

Waldo · Answer

マシンへの物理的アクセスは常にセキュリティの最も重要な部分であり、見落とされがちなものです。特にエリアへのアクセスをログに記録している場合は、エスコート付きアクセスで問題ありません。仮想化環境では、物理的なアクセスは問題になりません。