Datacenter steal data from raid 1 server
I have a server (HP DL380pG8) in one of data centers in my country. As I was thinking about securing my data, I was thinking about what if, someone in data center, extracts one of disks which are active in raid 1, and replaces that with another disk. Is this a common issue? What can I do to monitor this from ESXi? I know its rare and maybe no one can do it in front of security cameras, guards, etc. But I want to make sure, data is not accessible this way (some alarm in ESXi, as soon as missing one disk or something similar) thanks.
Жаль, что это не Gen8. Gen9, как и в случае с большинством, если не всеми контроллерами дисков Gen9, вы можете купить (довольно дешево) лицензию для шифрования любого диска, подключенного к контроллеру - это не специальный диск, любой диск будет работать - фактически лицензия даже не проверено, вы можете просто включить эту функцию и купить лицензию позже. Это касается контроллеров серии Px4x, кстати, таких как P440ar и т. Д. Вы можете купить один из них и добавить его к Gen8, кстати.
Определенно не обычный , но если у вас есть конфиденциальные данные на сервере, вам нужно что-то с этим сделать.
Есть самошифрование Диски "FDE", где ключ диска остается в вашем контроллере, и диск не будет читаться. Эти диски ненамного дороже дисков без этой функции. В этом случае убедитесь, что вы сделали резервную копию конфигурации вашего рейд-контроллера в какое-то другое место, иначе вы обнаружите, что также будете заблокированы, если контроллер выйдет из строя (и только вы виноваты). Вам придется сделать выбор и очень сложно протестировать / задокументировать, если вы хотите это сделать: это НЕ принято делать за пределами систем высокой безопасности, будь то корпоративная инженерия, военные или что-то в этом роде. Вы можете это сделать, но тогда вы также должны быть на высоте.
Я бы вместо этого начал с договорных вещей, например, написав, что ISP будет уничтожать неисправные диски в течение определенного времени (стоит денег!). А также самое простое: запишите серийные номера ваших дисков, и если вы увидите, что на одном из них возникает странный периодический сбой, проверьте, есть ли у него тот же серийный номер. На LSI вы также можете отключить автоматическое перестроение LUN, что означает, что вам нужно вручную ACK и начать перестройку. подвергает ваши данные более высокому риску, потому что восстановление начинается только после того, как вы приступите к его выполнению. Но дает больше безопасности, и это обычное дело для профессиональной среды. (Типичные хостинговые компании будут иметь включенное автоматическое восстановление, заблокированный центр обработки данных может не работать)
В порядке простоты и эффективности:
- контрактный материал (предприятия будут иметь)
- отслеживание запасов (твердое доказательство, необходимо. Также. хорошо против ошибок)
- мониторинг (всегда хорошо, но это как камера. Вы можете только наблюдать за преступлением;)
- отключение автомагии (но больше времени реакции + риск)
- hw encryption (но больше усилий при резервном копировании )
Также имейте в виду, что любое юридическое вмешательство имеет приоритет над любым контрактом. (Но я предполагаю, что вы не глупы и не устанавливаете сервер для незаконных вещей) Такой же риск возникает с любым плохим парнем, имеющим физический доступ.
Это обсуждение , которое вам необходимо провести с вашим центром обработки данных о безопасности, контроле доступа и их внутренних процессах.
Мы не можем помочь вам, кроме как сказать, что маловероятно, что кому-то понадобятся ваши данные для этого.
Что касается предупреждения, вы не сможете получить его в ESXi, если у вас нет сервера vCenter и установленных агентов управления HP в ESXi.
В качестве альтернативы вы можете настроить свой ILO4 на отправку AlertMail о событиях работоспособности оборудования.
Это отправит электронное письмо при удалении диска или сбое.