Frage Gründe, Personen nicht in den Serverraum zu lassen


Ich habe bei einigen Hosting-Unternehmen gearbeitet und zwei Denkschulen gesehen

  1. Lassen Sie Kunden nicht in den Serverraum. Das Argument ist im Grunde, es erhöht die Sicherheit (diese Nachrichtengeschichte wird normalerweise als ein Grund angegeben, dass Sicherheit nur gut ist, wenn Sie die Leute kennen und Privatsphäre und dass, wenn Sie ein lokales Terminal für sie zur Verfügung stellen, es gut genug ist.
  2. Erlauben Sie Kunden in den Serverraum, weil Leute Zugang zu ihren Maschinen benötigen und es ein gutes Erscheinenstück bildet.

Gibt es irgendwelche Gründe (wie legal, Compliance usw.), dass Sie keine Leute in den Serverraum lassen dürfen?


18
2018-05-06 09:16


Ursprung




Antworten:


Unter der Annahme, dass die Hardware für jeden Client in separaten Käfigen usw. getrennt ist, sehe ich keinen Grund, die Leute nicht in den Serverraum zu lassen. Für hochempfindliche kritische Daten, z.B. Banken, Polizei usw Ich würde nur eine extrem kleine Anzahl von qualifizierten Personen in diesem Raum haben. Wenn es um Kunden geht, wissen Sie, dass sie qualifiziert und nicht böswillig sind. Das Risiko nicht wert.

In Situationen, in denen geringfügige Ausfallzeiten oder Datenverluste zu großen Problemen führen, ist es immer sicher, sich auf die Seite der Vorsicht zu begeben.


13
2018-05-06 09:26





enter image description here

sagt alles, wirklich :)


23
2018-05-06 10:04



Äh, könnte es sein, wenn ich es lesen könnte. Könnten Sie bitte ins Englische übersetzen, ich bin nicht in der Lage mehrere Sprachen zu beherrschen :-( - Adam Gibbins
das ist Teil des Witzes - es ist nicht in echt Deutsch! Lies einfach die Wörter, als ob sie auf Englisch wären und es wird Sinn ergeben ;-) - Alnitak
Und ich bin mir ziemlich sicher, dass das Schwedisch ist ... Bork. Bork. - Even Mien
Ich melde mich in meinem kleinen Serverraum an. Es hält sie sicher abgelenkt, während ich mit den Dingen fortfahre. - John Gardeniers
Ich habe das schon oft gesehen, und nur zu wissen, was es sagt, erlaubt es mir, es zu interpretieren. Besonders ausgeprägt sind die Großbuchstaben A und K. Ja, mir ist klar, dass dies in richtiger deutscher Schrift geschrieben ist (Hochdeutsch, vielleicht?), Was das Problem ist. - Ernie


Meiner Erfahrung nach sind 75% des Service- / Systemausfalls auf ein "Layer 8" / Wetware-Problem zurückzuführen - Leute verschütten Getränke, drücken Knöpfe, die sie nicht sollten, stolpern über Kabel, "testen" RAID-Failover aus keinem Grund!

Behalten Sie die Leute aus dem Weg, indem Sie ein manuelles Eintragsprotokoll mit einem "Grund für den Eintritt" -Feld erstellen, das sie selbst schreiben müssen - das wird Leute ohne guten Grund stoppen.


12
2018-05-06 10:18



Wenn Ihr System ausgefallen ist, weil jemand das RAID-Failover "getestet" hat, bedeutet das nicht, dass das RAID überhaupt nicht redundant war und somit ein guter und gültiger Test war? - Mark Henderson♦
Ziemlich wahr. In der Tat sollten wir alle genau diesen Test durchgeführt haben, vorzugsweise bevor die Maschine in Betrieb ging. +1 - John Gardeniers
Hängt davon ab, ob diese Person technisch ist und RAID-Level versteht. Ich habe viele städtische Legenden über das mittlere Management gehört, das mehr Laufwerke zieht als logisch erlaubt. - Dan Carley
Natürlich sollten Sie Ihr RAID durch Ziehen von Laufwerken testen. Sie sollten jedoch ein Wartungsfenster für das Ausführen auf Live-Systemen planen. Nur für den Fall ... - sleske
Ein Lieferant wurde in einen Maschinenraum allein gelassen, um das (sekundäre) feuchte Feuerunterdrückungssystem zu warten, das das Spülen von Rohren und andere verschiedene Installationsaufgaben beinhaltet. Erster Schritt: Bypass sollte aktiviert sein, aber unter keinen Umständen sollten Sie den Ladeschaltkreis auslösen, um die Spülung zu bewirken, weil es die ungöttliche riesige Sicherung durchbrennt, die Strom in den Serverraum unterbricht, bevor alles nass wird. Raten Sie, was der Verkäufer getan hat? Alle Verkäufer müssen jetzt eine Begleitung haben. Das ist buchstäblich ein Wetware-Problem ... - Karl Katzke


Persönlich, wenn ich meine Ausrüstung woanders hosten würde und sie mich nicht daran arbeiten lassen würden, wäre ich ziemlich genervt. Ich verstehe, dass du deine Einrichtung sicher halten musst und jemanden von der Straße herein lassen musst, ist eine schlechte Idee, aber wenn ich dich bezahle, um meine Ausrüstung zu hosten, dann habe ich ein Interesse an der Sicherheit meines Systems, ich nicht werde alles tun, um das zu kompromittieren.

Es sollte Sicherheit geben, ich sollte eine ID oder ein Passwort oder einen Iris-Scan brauchen, um in den DC zu kommen, aber mich alle zusammen zu stoppen, würde mich dazu bringen, mein Geschäft woanders hin zu bringen.


7
2018-05-06 09:21





Physischer Zugriff auf eine Maschine == Möglichkeit, die Maschine zu rooten.

Lassen Sie niemanden in den Serverraum zu, dem Sie keinen Zugriff auf das Gerät auf dem Gerät gewähren möchten. Oder haben physischen Zugriff (zusammen mit KVM oder andere lokale / Konsole bedeutet) auf die Steuerelemente der Maschine eingeschränkt, wenn Sie anderen physischen Zugriff auf den Maschinenraum ermöglichen.

Die beste Vorgehensweise in meinem Kopf ist es, entweder den Zugriff auf Nicht-Administratoren zu verhindern, eine Sicherheits-Eskorte bereitzustellen, während jemand im Serverraum nicht für den globalen Zugriff autorisiert ist (z. B. Anbieter), oder Schlüssel-gesperrte Hardware an Ort und Stelle zu halten Beschränken Sie die Schlüssel auf Untergruppen autorisierter Benutzer / Administratoren. Der letzte Teil ist die Best-Practice für die meisten Colocation-Räume, in denen Sie als Kunde Räume mieten.

Außerdem: Wenn Sie die Möglichkeit haben, stellen Sie sicher, dass Sie ein "Luftschleusen" -System haben, das zwei Arten des Zugangs erfordert, was "Tailgating" verhindert. In unserem Fall sind das Punch- und Card-Scan-Locks. Der Eintritt in das Foyer erfordert, dass Sie einen Code in ein Schloss stecken. Sobald Sie im Foyer sind, müssen Sie eine ID-Karte scannen, um den eigentlichen Serverraum zu betreten.

Jenseits von "Es ist wirklich eine gute Idee", gibt es bestimmte branchenspezifische SAPs, Gesetze oder Vorschriften, die involviert sein könnten. In einer Bildungs- oder Regierungsinstitution habe ich bestimmte Gesetze, die in Bezug auf den Zugang zu Schülerinformationen durchgesetzt werden müssen. Ähnliche Anforderungen gelten für Unternehmen, die öffentlich gehandelt werden; Sie müssen SOX einhalten. Die medizinische Industrie oder jede Branche, die mit der Anamnese zusammenhängende Identitätsinformationen verarbeitet, muss HIPPA folgen. Jedes Unternehmen, das Kreditkartentransaktionen speichert, muss seinen Händlervereinbarungen entsprechen, die normalerweise SEHR explizit sind, was die Maschinen speichern dürfen und wer Zugriff auf die Maschinen hat. Die Laufleistung Ihrer Branche kann in der Tat variieren.


6
2017-08-06 04:37



+1: Sicherheitsbegleiter sind die offensichtliche Lösung, wenn Sie Zugang gewähren müssen, aber nicht sehr häufig. - sleske
Es ist wahrscheinlich besser, den Personalausweis zu verlangen, um in das Foyer zu gelangen, und nur die Eingabe der PIN auf der Innenseite, wo das Surfen schwieriger ist - Fahad Sadah


Sicherheit wurde bereits als Grund genannt, dies nicht zu tun. Ein anderer ist Gesundheit und Sicherheit. DC's können für Untrainierte gefährliche Umgebungen sein. Diese können natürlich durch Richtlinien wie "Sie müssen von einem geschulten Mitarbeiter begleitet werden, zum Beispiel, gemildert werden. Unser Rechenzentrum verlangt, dass Mitarbeiter keinen Zugang erhalten, wenn sie nicht den richtigen Kurs gemacht haben. Und Kunden ist der Zugang nicht gestattet sofern nicht begleitet.


5
2018-05-06 11:09



Wenn ein Rechenzentrum eine gefährliche Umgebung darstellt, muss das Rechenzentrum ernsthaft umgestaltet werden. Es sollte ein sicherer Ort als das Wohnzimmer sein. - John Gardeniers
Das Brandschutzsystem ist so ausgelegt, dass es den gesamten Sauerstoff aus dem Raum entfernt, so dass es für beide Feuer nicht lebensfähig ist und atmen. Das ist eine große Gefahr für sich allein, also müssen Sie in vielen solchen Räumen wissen, wie man am Leben geht, wenn der Feueralarm ausgelöst wird. Das ist mehr als genug. - Andrew McGregor


Ich hatte einen Server mit einem lokalen Rechenzentrum, das eine Eskorte für den Zugriff benötigte. Nichts wie eine Box zu haben, herumzustehen und darauf zu warten, dass jemand verfügbar wird, damit du es reparieren kannst. Dann steht diese Person gelangweilt da und schaut zu. In diesem Fall waren es mehrere Stunden. Wir machen unsere Server jetzt im Haus ...


5
2018-05-06 11:30



+1 Ich war dort, habe das getan. Nie wieder! - KPWINC
Nun, wenn Kunden häufig benötigen physischen Zugang, dann macht die Installation von Käfigen wahrscheinlich Sinn. Aber auf jeden Fall sollten die Bedingungen für den physischen Zugriff Teil des Hosting-Vertrags sein, so dass Sie jetzt die Zugriffsebene haben. - sleske