不允许人员进入服务器机房的原因

Question

我曾在几家托管公司工作，并在这方面看到了两种思想流派

1. 不要让客户进入服务器机房。争论基本上是它提高了安全性（这个新闻故事通常是作为一个原因，只有当你认识人时安全性才好）和隐私，如果你为他们提供一个本地终端就足够了。
2. 允许客户进入服务器机房，因为人们需要访问他们的机器，这是一个很好的展示。

是否有任何原因（例如法律、合规性等）不允许人们进入服务器机房？

Answer 1

都说了，真的:)

Answer 2

假设每个客户端的硬件都被隔离在不同的笼子里，那么我认为没有理由不让人们进入服务器机房。然而，对于高度敏感的关键数据，例如银行、警察等，我只会在那个房间里只有极少数合格的人。当涉及到客户时，您怎么知道他们是合格的并且同样没有恶意。不值得冒险。

在这些轻微的停机时间或数据丢失会导致巨大问题的情况下，谨慎行事总是安全的。

Answer 3

根据我的经验，75% 的服务/系统中断都归结为“第 8 层”/湿件问题——人们洒了饮料，按了不该按的按钮，被电缆绊倒，甚至无缘无故地“测试”RAID 故障转移！

将人们拒之门外，这样做的一种方法是手动输入日志，其中包含他们必须自己编写的“进入原因”字段 - 这将在没有充分理由的情况下阻止人们。

Answer 4

就个人而言，如果我在其他地方托管我的设备，而他们不让我参与其中，我会非常恼火。我知道您需要确保您的设施安全，让任何人离开街道是一个坏主意，但如果我付钱给您托管我的设备，那么我对我的系统的安全性有既得利益，我不是会做任何事情来妥协。

应该有安全保障，我应该需要 ID 或密码或虹膜扫描才能进入 DC，但是让我一起阻止只会让我把我的生意带到别处。

Answer 5

对机器的物理访问 == 对机器进行 root 的机会。

不要让任何您不想访问机器上的设备的人进入服务器机房。或者，如果您要允许其他人物理访问机房，则对机器的控制进行物理访问（以及 KVM 或其他本地/控制台方式）。

我认为的最佳做法是完全防止非管理员访问，在服务器机房中没有获得全局访问权限的人（即供应商）时提供安全护送，或者将密钥锁定的硬件保持在适当的位置并且将密钥限制为授权用户/管理员的子集。最后一部分是您作为客户租用空间的大多数托管空间的最佳实践。

另外：如果有机会，请确保您有一个需要两种访问方式的“气闸”系统，以防止“尾随”。在我们的例子中，这些是打孔和卡片扫描锁。进入门厅需要您将密码打入锁中。进入门厅后，您需要扫描身份证才能进入实际的服务器机房。

除了“这真是个好主意”之外，还可能涉及某些特定于行业的 SAP、法律或法规。在教育或政府机构中，我需要确保在访问学生信息方面执行特定的法律。公开交易的公司也有类似的要求；他们必须遵守 SOX。医疗行业或任何处理相关身份信息和病史的行业都必须遵守 HIPPA。任何存储信用卡交易的公司都必须遵守他们的商业协议，这些协议通常非常明确允许机器存储什么以及谁可以访问机器。您所在行业的里程可能确实有所不同。

Answer 6

已经提到安全性是不这样做的原因。另一个是健康和安全。对于未受过训练的人来说，DC 可能是危险的环境。当然，这些都可以通过诸如“您必须由经过培训的员工陪同。例如，我们的数据中心要求员工不得访问，除非他们完成了适当的课程。当然不允许客户访问除非有陪伴。

Answer 7

我有一个与本地数据中心共存的服务器，需要护送才能访问。没有什么比把一个盒子放下来，不得不站在一旁等待有人有空才能修理它。然后，那个人就会无聊地站在那里，只是看着。在那种情况下，是几个小时。我们现在在内部做我们的服务器......

Answer 8

SAS70 合规性，如果您正在这样做，或者 Sarbanes Oxley 有针对金融系统的 IT 控制的规定。

Answer 9

想一想：银行是否允许其客户进入金库并向其账户存入或提取资金？答案是：只有账户箱是单独保护的，即使这样，他们也可能有一个守卫陪着你。但是对于高安全性场景来说，最好的事情是他们会 在您需要时将您的盒子拿出来给您，而高安全性银行会这样做。