數據中心經理必須與網絡、安全以及系統管理員協作，制定數據中心安全最佳實踐，并使用合適的工具來完成配置設定。

安全管理員通常都會實施特定、獨立的數據安全策略，以保護企業網絡。其中一些措施是以網絡為中心的概念，如入侵檢測系統(IDS)規則、防火墻或者虛擬局域網配置。其他則基于文件——文件和磁盤加密或策略配置，確定誰可以訪問哪些文件。

為了保證IT基礎設施安全，數據中心經理必須發問：這些候選中是否存在一個比其他都好的選擇?如果是這樣，IT團隊什么時候才可以采用它?

基于網絡的安全控制

最基礎的層面，基于網絡的安全控制決定哪些流量可以與不可以進入或離開網絡。網絡安全通常涉及防火墻、IDC或者兩者結合。防火墻深度包檢測(DPI)針對試圖進入或離開特定網絡的二進制文件數據進行多種有效的檢查。

比較便宜的防火墻沒有DPI功能，網絡管理員可能因為安全問題而禁止某些特定類型的流量。例如，某個特定范圍的IP地址，如10.1.1.0/24是惡意活動的來源，網絡管理員會配置防火墻規則，如：# iptables -A INPUT -s 10.1.1.0/24 -j DROP。

入侵檢測系統工作方式與網絡防火墻類似，但也有明顯差異。IDS和傳統防火墻在網絡中扮演不同的角色：傳統防火墻主要控制允許或拒絕，而IDS僅負責轉發和告警。例如，安全管理員好奇哪些類型的網絡流量正在進入網絡，但不確定其是否惡意，可以使用IDS來檢查。網絡管理員可能會關注任何從防火墻外部流入內部的任何Web流量。

IDS規則，以開源的Snort工具為例，配置為：警告tcp any any -> any 80 (content:"GET";)，任何內部發往外部的HTTP GET請求都需要告警。這個流量可能只是發現惡意行為漫長分析中的第一個線索。

防火墻與IDS的概念

Cisco ASA的FirePower Service服務概念最近獲取了大量數據安全收益。由Cisco與Sourcefire開發，它結合了Cisco ASA系列防火墻與入侵檢測系統Snort的粒度。因此，盡管入侵監測管理和網絡管理目前還是分開的科目，但兩者嚙合指日可待。

基于文件的IT安全

一般情況下，基于文件的安全控制都非常精細。大多數操作系統中，管理員可以把復雜的策略限制部署到單個文件或整個文件目錄。例如，Linux管理員可以使用命令chmod 640 test.txt 來賦予特定權限。chmod命令的功能是修改某個特定文件的權限。 6表示文件的擁有者具有讀取和寫入權限，4表示該文件所屬的組具有讀取權限，而其他用戶都沒有訪問該文件的權限。

這個例子只是基于文件的安全策略非常小的一點，IT團隊需要考慮采取其他措施，如文件加密和基于主機的安全產品，包括Microsoft Security Essentials。

結合兩者使用

結合基于網絡和文件的安全控制策略是常見的定義數據安全最佳實踐，特別是最近幾年前普及的深度防御范式。

當網絡、安全和其他專家協作，安全能獲得最大的利益。以Windows管理員為例，他們經常需要基于用戶特定角色允許或拒絕特定的文件類型。管理員可能需要禁止終端用戶工作站上運行可執行程序。企業通過這種方式獲得基于文件的安全控制。網絡管理員同樣可以拒絕特定的可執行文件通過防火墻，基于網絡的安全控制結合基于文件的安全控制是多層次IT安全的基礎。

互聯網遭受破壞時，第一個問題是：入侵發生時，是否有正確執行數據安全最佳實踐?網絡安全涉及到網絡以及安全管理員的切身利益，他們不但需要承擔自己的職責，更應該在該領域互相合作。這也包括在出問題之前，任何IT基礎設施安全控制的微小細節。