数据中心安全：为什么运营商必须同时重视物理威胁和网络威胁？

数据中心通过围墙将设备与外界隔绝，从而确保墙内的珍贵数据是被安全保护的。

为此，数据中心的建筑采取防爆设计的情况并不少见，同时它还配备有防弹玻璃和巨大的围墙。

如果有人设法绕过这些防御，他将被数据大厅的生物识别安全系统、人工装置和其他安全协议所阻止，这意味着通过物理方式访问服务器是绝不可能的。

物理安全显然是数据中心运营商最关心的问题，但业界观察家担忧：数据中心站点的网络安全是否也受到了应有的同等级别的重视和关注。

网络安全性是特别值得注意的。因为数据中心是黑客眼中具有巨大价值的目标，他们最想要获取这些数字资产的控制权。

根据Cyren 2015网络威胁年度报告，以商业为对象的网络攻击——包括攻击数据中心——在过去4年里增长了144%。同时，美国国家安全局(NSA)声称网络攻击可以造成每小时40000美元的损失，因此，显然有必要部署适当的安全机制。

2016年5月，主机托管服务商Aegis Data的首席执行官(CEO)Greg McCulloch就为什么运维人员在其站点的物理安全上总是显得很被动这一问题，发表了一些看法。

他说：“虽然对数据中心来说，网络安全是至关重要的，但防护的主体并不是显而易见的，它隐藏在每行代码和防火墙里。它可以为用户提供多种层次的安全保障，但所有这一切都是无形的。”

“然而，物理安全特性更容易打动和安抚潜在的和已有的客户，让他们相信数据是安全的。”

McCulloch还补充：“一个数据中心在其应用对象和数据入口间部署越多的安全防护层，物理破坏的风险概率就降得越低。”

他声称，理想情况下部署8层的物理安全防护能够确保运维人员尽其所能地阻止坏人的进入。

“通常，八层及更多层的物理防护才是完美的，这些层次包括人力屏障(如警卫)，物理屏障(如生物认证的门禁系统)和安全屏障(如对入侵者的陷阱)，”McCulloch继续说道。

“这些都应该被部署在数据入口周围。对于主机托管服务商存储的多个用户数据，每个服务器都应该被锁定，只供认证用户访问使用。”

平衡的投入

然而，随着企业向云方向迅速发展和连接互联网的设备数量显著攀升，数据中心的网络安全威胁级别也随之上升，网络和国家安全行会TechUK的负责人Talal Rajab如此说道。

“数据中心存有至关重要的数据、重要的数字资产和信息，包括用户数据和知识产权，”他说。

随着新兴的大数据趋势和物联网革命，针对数据中心的各种各样的威胁只会增加，意味着安全将是客户们越来越优先考虑的问题。

出于这个原因，Rajab表示数据中心运维应给予网络和物理安全同等级别的关注。他说：“数据中心中的网络安全机制必须给予与物理安全机制相同的优先级，一个站点的物理访问应被局限于拥有特定权限的用户，网络访问也应有同样的限制。”

“一个数据中心有永久的安保人员进行二十四小时的监控，一个真正安全的数据中心必须也部署相似的策略来抵御网络威胁。”

“有实效性的举措包括：为特定用户配置特定的网络接入权限，持续不断的网络监控等，”Rajab补充道。

安全和服务的不间断性

网络中心供应商Pulsant的首席技术官(CTO)Matt Lovell表示，容量耗尽攻击——包括域名系统(DNS)和分布式拒绝服务(DDos)攻击——对数据中心是非常大的网络安全威胁，会造成巨大的破坏，使得运营商没有能力再履行其服务协议中的条款。

“维持服务的不间断性是对所有用户最至关重要的，任何可能影响这一条的事都需要仔细慎重的考虑，”他说。

“这不单单是为了保持开机而维护能源和冷却系统正常，还包括抵御网络攻击直接或间接导致的任何破坏。”

“这些网络攻击可以为容量耗尽攻击(如DNS或DDoS攻击)，网络钓鱼，客户数据窃取或应用程序相关的攻击”Lovell补充道。

随着物联网和云的发展，数据中心安全面临新的威胁，黑客的攻击服务行为在其他方面也在增长。

Lovell声称：“越来越多的客户系统正在实现互联互通，不管是分析、决策引擎、安全支付流程，还是共享市场数据。因此，现在的安全防护聚焦到了核心节点和网络安全上。”

信任是最重要的

云托管公司Iomart经营8家英国的数据中心，其首席技术官(CTO)Bill Strain表示，他们公司使用威胁检测技术抵御DDoS攻击，该技术已经通过了ISO认证，符合支付卡行业数据安全标准(PCI DSS)，这向用户证明了该公司对网络安全问题的重视程度。

然而，Strain补充道，另一个重要的因素是，运营商不应忽视工作人员在维持网络防护系统的完整性中承担的重要角色。

“成功管理你的工作人员，安全管理业务运行所在的物理基础设施，即是确保一切都在你的掌控之中，因此你的客户才能信任你。”他说道。

数据中心网络安全中人的因素，在先前Aegis Data的媒体报道中也被提及，McCulloch谈到了一个随时待命的安全队伍的存在对有安全忧患意识的客户是多么的让人安心。

“闭路电视监控、安全屏障、生物扫描，对一个安全的数据中心而言都显然是重要的要素，但是没有任何东西可以替代247365每时每刻都在大楼内的监控保障人员。”

“拥有一个队伍能够被信任从事站点安全和其存储数据保护工作，通常可为客户和数据中心供应商带来更高层次的对信息安全的信任。”

====================================分割线================================

本文转自d1net（转载）