Должен ли обслуживающий персонал иметь доступ к серверным комнатам? [закрыто]
Прочитав аналогичный вопрос на Reddit , я хотел услышать от сообщества serverfault о практике допуска обслуживающего персонала в серверные комнаты без присмотра.
Существуют очевидные опасности, такие как:
- Кража (как физических серверов, так и данных)
- Взлом вещей (попадание воды, отключение питания и т. Д.)
У обслуживающего персонала обычно есть доступ к серверу комнат?
Я никогда не сталкивался со сценарием, когда критически важное серверное оборудование не находилось под замком. Доступ всегда должен быть ограничен квалифицированным ИТ-персоналом. Если вы на крючке из-за того, что происходит в этой комнате, вы очень скупитесь с доступом очень быстро.
Не позволяйте обслуживающему персоналу находиться в серверной. Подмести (не пылесосить) его и держи в чистоте самостоятельно.
Чтобы не противоречить, и я не защищаю, чтобы не ИТ-персонал имел доступ к вашей серверной комнате, но я хотел бы поставить следующие вопросы и пункты в качестве иллюстрации из того, что я считаю неправильным, относится к ИТ-инфраструктуре, серверным комнатам и центрам обработки данных:
Вы беспокоитесь о том, что кто-то может украсть оборудование или данные. Разве они не могут украсть оборудование или данные из любого другого места, кроме серверной? Есть ли у вас такие же опасения в отношении обслуживающего персонала в отношении их доступа к другим частям здания? Могут ли они не украсть данные, просто сев за чью-то рабочую станцию, ноутбук или терминал? Конечно, если они достаточно сообразительны и опытны, чтобы украсть данные из-за того, что у них есть физический доступ к серверной комнате, то они ' Достаточно сообразительны и опытны, чтобы сделать это с любой рабочей станции, ноутбука или терминала в любом месте в здании, не так ли?
Является ли серверная комната единственным местом, где обслуживающий персонал может непреднамеренно или намеренно / намеренно отключить питание или активировать системы пожаротушения, или затопить здание, или вызвать одно из ряда других «бедствий»?
Не вызывает ли ваше беспокойство то, что они обслуживают персонал, то, что они находятся в серверной? Мне это кажется некоторой интеллектуальной предвзятостью. Они достаточно умны, чтобы толкнуть метлу или отремонтировать систему отопления, вентиляции и кондиционирования воздуха, но недостаточно умны, чтобы не сломать что-нибудь в серверной? Они достаточно надежны, чтобы вынести мусор из корзины генерального директора, но недостаточно надежны, чтобы иметь доступ к серверной?
Что? Вам не хватает средств управления, которые дали бы им возможность украсть оборудование или данные? Чего не хватает, что позволило бы им отключить питание или ввести воду?
Я регулярно работаю в центре обработки данных, который соответствует требованиям PCI-DSS и сертифицирован по стандарту SAS 70 Type II, что позволяет их обслуживающему персоналу получить доступ к "этажу" центра обработки данных для выполнять задачи, связанные с их работой в качестве обслуживающего персонала. Персонал по техническому обслуживанию проходит проверку так же, как и любой другой сотрудник, посетитель, заказчик или поставщик.
Должен ли он иметь доступ в серверную? Может быть, нет, но не по причинам, которые вы указали в своем вопросе.
отсутствуют, что позволило бы им отключить питание или ввести воду?Я регулярно работаю в центре обработки данных, который соответствует требованиям PCI-DSS и сертифицирован по стандарту SAS 70 Type II, что позволяет их обслуживающему персоналу получить доступ к "этажу" центра обработки данных для выполнять задачи, связанные с их работой в качестве обслуживающего персонала. Персонал по техническому обслуживанию проходит проверку так же, как и любой другой сотрудник, посетитель, заказчик или поставщик.
Должен ли он иметь доступ в серверную? Возможно, нет, но не по причинам, которые вы указали в своем вопросе.
отсутствуют, что позволило бы им отключить питание или ввести воду?Я регулярно работаю в центре обработки данных, который соответствует требованиям PCI-DSS и сертифицирован по стандарту SAS 70 Type II, что позволяет их обслуживающему персоналу получить доступ к "этажу" центра обработки данных для выполнять задачи, связанные с их работой в качестве обслуживающего персонала. Персонал по техническому обслуживанию проходит проверку так же, как и любой другой сотрудник, посетитель, клиент или поставщик.
Должен ли он иметь доступ в серверную? Может быть, нет, но не по причинам, которые вы указали в своем вопросе.
Думаю, вы понимаете риски. Ответ: абсолютно нет. Прежде всего, только доверенный персонал должен находиться в ваших серверных комнатах с определенным доступом. Мы также следим за тем, чтобы каждый вход в комнату регистрировался.
Просто сделав это простым, убирая за собой, и убедившись, что каждый обучен этому, комната будет опрятной и аккуратной.
С учетом передового опыта, внедренного в нее. место, вам не нужно, чтобы команда уборщиков проходила через вашу серверную. Как и в случае с прокладкой кабелей, если вы сделаете все правильно с первого раза, вам не придется возвращаться к тому, что вы сделали.
Кто считается обслуживающим персоналом? Приведенные выше ответы, похоже, подразумевают, что в эту категорию попадают только дворники, но штатные электрики, инженеры HVAC, и т. д. часто входят в состав обслуживающей бригады во многих магазинах.
Многие крупные корпоративные контроллеры домена, с которыми я контактировал, на самом деле специально исключили большинство ИТ-персонала - включая старших системных и сетевых инженеров и т. д. что очень специфический набор средств / сотрудников DC должен быть достаточным для физического управления инфраструктурой без допуска конкретных экспертов в области, не относящейся к объектам, в пространство, в котором они часто не имеют права находиться в любом случае.
На самом деле я видел системных администраторов только на небольших предприятиях, которые обычно занимались стандартной установкой в стойку и стек / кабели. Некоторые сетевые организации держат свои руки дольше, но даже они в конечном итоге отделяют повседневную прокладку кабелей (и даже большую часть макета / дизайна) для специалистов, занятых в оборудовании. Я' Я обычно просто списываю это на большую потребность в специализации.
BTW - У специализированных организаций DC часто есть свой специально обученный персонал по уборке. Эти помещения необходимо поддерживать в чистоте с течением времени, хотя и другими способами, нежели стандартные офисные помещения.