然而,現實情況是,物理數據中心的安全性可能比最初看起來更具挑戰性。它涉及的不僅僅是使用柵欄和大門等屏障建立安全的物理邊界,以阻止惡意行為者訪問數據中心設備。
為了證明這一點,以下介紹了五種很容易被忽視的物理數據中心安全威脅,如果企業想讓惡意行為者遠離其數據中心設施,則對它們進行管理至關重要。
(1)基于軟件的物理安全系統的黑客攻擊
物理安全保護(例如門鎖)是減少對數據中心設施進行未經授權的物理訪問的一種好方法,但前提是對其進行了適當配置,以定義誰應該訪問,誰不應該訪問。
如果攻擊者設法破壞了管理物理訪問規則的軟件系統,那么物理訪問控制將不再非常有效。
這是將軟件安全性與物理安全性分開的邊界如何融合在一起的一個例子,要求企業從整體上考慮如何管理物理訪問。
(2)在硬件進入數據中心之前對其進行物理篡改
控制對數據中心的物理訪問有助于防止惡意行為者在服務器、網絡設備或駐留在數據中心設施內的其他物理設備上植入惡意軟件。
然而,數據中心的訪問控制并不能保證在硬件設備到達之前沒有人對其進行篡改。如果威脅行為者在安裝服務器或其他設備之前設法攔截它們,則可能發生物理安全漏洞。
管理這種風險需要在企業用于獲取數據中心基礎設施的供應鏈中建立強大的安全控制。
(3)數據中心設施內未經授權的移動
有時,僅僅保護物理數據中心的邊界是不夠的。有些人可能有正當的理由進入數據中心的某些部分(例如清理數據中心),但不能進入其他部分。
這就是外圍級別的物理安全保護是不夠的原因。物理訪問控制應該足夠精細,以定義哪些個人可以訪問哪些特定的服務器機架或其他設備。
(4)惡意內部人員與物理數據中心安全風險
同樣,企業授予其數據中心訪問權限的個人也存在惡意行為的風險,即使他們應該是值得信賴的。
惡意的內部人員也是軟件級安全漏洞的一個問題。但在物理安全的背景下,它們可能沒有得到應有的重視。
(5)破壞數據中心業務的遠程物理攻擊
有時,惡意行為者不想獲得對數據中心設備的物理訪問權限來安裝惡意軟件或竊取數據。他們只是想破壞業務的運營。
在這種情況下,他們可能能夠在不違反任何物理安全控制的情況下實現他們的目標。他們可以遠程發動物理攻擊,例如,策劃炸毀數據中心——一些極端分子威脅要這樣做,以回應對人工智能的擔憂。
幸運的是,像這樣的攻擊還沒有成為數據中心運營商的問題。但這是一個值得考慮的風險,尤其是在一個圍繞數據中心和其中的工作負載的地緣政治變得如此令人擔憂的時代。
結論
物理數據中心的安全始于創建一個安全的邊界,但它不應該止步于此。在數據中心部署工作負載的數據中心運營商和企業還應該考慮無法在外圍級別包含的物理安全威脅,例如在供應鏈中篡改硬件以及被授予訪問數據中心設施的惡意內部人員。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號