Причины не позволить людям в серверную
Существует почти столько же согласия по IP-адресации сколько по именам серверов (см. эту рекламу сайта naseum), это просто сводится к персональному предпочтению - обычно первого парня, который настроит все это!
No нет никакого надлежащего способа сделать, это - просто выбирает один из 3 диапазона RFC1918 (приветствует @Nic Waller), разделите его на подсети (традиционно / 24, но / 23 становятся более популярными). Присвойте одну из подсетей для открытого доступа и один для частного - сделанное задание. Действительно твердая часть настраивает VLAN и ACLs.
Лично я предпочитаю использовать 10.x.x.x диапазон, поскольку я могу ввести его более быстрый, чем другие два, но действительно это не имеет никакого значения, если Вам не нужен больший размер (192.168.x.x, дает Вам 256 подсетей 254 IP-адресов, тогда как 10.x.x.x дает Вам 65,536).
я не предложил бы смешать диапазоны, например, имеющие 192.168.x.x для частного и 10.x.x.x для общественности, технически она не должна иметь значения, но это будет очень сбивать с толку.
При предположении, что аппаратные средства для каждого клиента являются отдельными в отдельных клетках, и т.д. затем, я не вижу оснований для не впущения людей в серверную. Однако для очень чувствительных критических данных, например, Банков, полиции и т.д. я был бы только когда-либо что чрезвычайно небольшое количество квалифицированных людей в той комнате. Когда дело доходит до клиентов, как Вы знаете, что они квалифицированы и одинаково не злонамеренные. Не стоящий риска.
В этих ситуациях, где время простоя незначительности или потеря данных подверглись бы огромным проблемам, всегда безопасно допустить ошибку на стороне осторожности.
-
1Erh, это могло бы, если я мог бы считать его. Могли Вы переводить в английский язык, я don' t отряды навык нескольких языков :-( – Adam Gibbins 6 May 2009 в 15:54
-
2that' s часть шутки - it' s не на реальном немецком языке! Просто считайте слова, как будто они были на английском и it' ll начинают иметь смысл ;-) – Alnitak 6 May 2009 в 17:17
-
3
-
4Я имею, которые подписываются в моей небольшой серверной. Это уверенный сохраняет их отвлеченными, в то время как я продолжаю вещи. – John Gardeniers 6 August 2009 в 07:53
-
5I' ve, замеченный, это во многих случаях прежде, и только знающий, что это говорит, позволяет мне интерпретировать его. Капитал A' s и маленький случай K' s являются особенно вопиющими. Да, я понимаю, что это записано в надлежащем немецком сценарии (Высокий немецкий язык, возможно?), который является проблемой. – Ernie 10 December 2009 в 00:13
По моему опыту, 75% отключения электричества сервиса/системы являются до 'уровня 8 '/wetware проблемой - люди, проливающие напитки, нажимающие кнопки, они не были должны, споткнувшись за кабели, даже 'тестируя' обработку отказа RAID ни на какой чертовски причина!
Не пустите людей, один способ сделать, это должно иметь ручной журнал записи с 'причиной записи' поле, которое они должны записать сами - это остановит людей без серьезного основания.
-
1Если Ваша система понизилась потому что кто-то ' tested' обработка отказа RAID, затем doesn' t, которые означают что RAID wasn' t действительно избыточный вообще и таким образом это был хороший и допустимый тест? – Mark Henderson♦ 6 August 2009 в 05:23
-
2Довольно верный. На самом деле мы должны все на некотором этапе работать точно, что тест, предпочтительно прежде чем машина пошла живая. +1 – John Gardeniers 6 August 2009 в 08:01
-
3Зависит, если упомянутый человек является техническим и понимает уровни RAID. I' ve слышал много городских легенд о среднем звене руководства, вытягивающем больше дисков, чем логически разрешенный. – Dan Carley 6 August 2009 в 10:03
-
4Конечно, необходимо протестировать RAID путем получения по запросу дисков. Необходимо однако запланировать окно обслуживания для того, чтобы сделать его в живых системах. На всякий случай... – sleske 6 August 2009 в 11:27
-
5Поставщику разрешили в одну только комнату машины для обслуживания (вторичной) влажной системы подавления огня, которая включает каналы сбрасывания и другие различные задачи инфраструктуры. Первый шаг: Обход должен быть занят, но ни при каких обстоятельствах не должны Вы инициировать схему загрузки для осуществления сброса, потому что унесет безбожный огромный предохранитель, который отключает электроснабжение в серверную, прежде чем все промокнет. Угадайте то, что сделал поставщик? У всех поставщиков должен теперь быть эскорт. That' s БУКВАЛЬНО wetware проблема... – Karl Katzke 7 August 2009 в 07:23
Лично, если бы я был хостом мое оборудование где-то в другом месте, и они не впустили бы меня для работы над ним, то я довольно раздражался бы. Я понимаю, что необходимо сохранить средство безопасным и позволяющим, любой от улицы в является плохой идеей, но если я плачу Вам для хостинга моего оборудования, затем у меня есть личная заинтересованность в безопасности моей системы, я не собираюсь делать что-либо для взлома этого.
Должна быть безопасность, мне должны быть нужны идентификатор или пароль или ирисовое сканирование для вхождения в DC, но остановка меня все вместе просто заставили бы меня взять свой бизнес в другом месте.
Безопасность была уже упомянута как причина не к. Другой - здоровье и безопасность. DC может быть опасными средами для нетренированного. Они могут оба быть смягчены, конечно, политиками, такими как, "Вы должны сопровождаться обученным членом штата, например. Наш дата-центр требует, чтобы сотрудникам не предоставляли доступ, если они не сделали соответствующий курс. И клиентам, конечно, не разрешают доступ, если не сопровождается.
-
1Если дата-центр является опасной средой, что дата-центр серьезно должен быть перепроектирован. Это должно быть более безопасное место, чем one' s гостиная. – John Gardeniers 6 August 2009 в 08:02
-
2Противопожарная система разработана для удаления всего кислорода из пространства, делая это нежизнеспособным и для огня и для дыша . That' s главная опасность все самостоятельно, таким образом, во многих таких пробелах необходимо знать, как выйти живой, если пожарная сигнализация уходит. That' s более чем достаточно. – Andrew McGregor 24 January 2010 в 14:39
У меня был сервер coloc'd с локальным дата-центром, который потребовал эскорта для доступа. Ничто как наличие поля вниз, имея необходимость выдержать вокруг ожидания кого-то стать доступным, таким образом, можно зафиксировать его. Затем тот человек добирается для положения там надоевший, просто смотря. В этом случае это были несколько часов. Мы делаем наши серверы, внутренние теперь...
-
1
-
2Ну, если клиентам часто нужен физический доступ, то установка клеток, вероятно, имеет смысл. Но во всяком случае, условия для физического доступа должны были быть частью контракта на хостинг, таким образом, you' d теперь уровень возможного доступа. – sleske 16 December 2009 в 11:35
Соответствие SAS70 при выполнении этого или Sarbanes Oxley, имеет условие для Средств управления IT вокруг Финансовых систем.
Если клиенты сопровождаются авторизованным сотрудником, то это кажется прекрасным мне. Я, конечно, не позволил бы клиенту в необслуживаемой серверной. Что касается штата, stict средства управления должен быть осуществлен.
Если Вы хотите использовать серверную в качестве яркого примера, то окна или стеклянные стены являются отличным способом сделать это, не обходя бесчисленных людей через чувствительную область.
Предоставление клиентского доступа к их собственному набору походит на фундаментальное 'право'. Безопасность Колорадо должна быть соблюдающей и структурировала достаточно, что доступ стойки стойкой клиентами безопасен.
Если другие клиенты чувствуют, что они требуют большей безопасности, то они могут уйти и получить свою собственную клетку или комнату.
Физический доступ к машине всегда является самой критической частью безопасности и той, чаще всего пропущенной. Сопровождение доступа должно быть прекрасным, особенно при входе доступа к области. В виртуализированной среде физический доступ не был бы проблемой.
Физический Доступ к машине == возможность базироваться машина.
Не позволяйте никому в серверную, который Вы не хотите предоставлять доступ к оборудованию на машине. Или, имейте физический доступ (наряду с KVM или другими локальными средствами / консольными средствами) к средствам управления машины, ограниченной, если Вы собираетесь предоставить другим физический доступ к комнате машины.
Лучшая практика в моем уме должна или предотвратить доступ полностью к неадминистраторам, для обеспечения эскорта безопасности, в то время как чей-то в серверной, кто не авторизовывается для глобального доступа (т.е. поставщики), или удержать заблокированные ключом аппаратные средства на месте и ограничить ключи к подмножествам авторизованных пользователей/администраторов. Последняя часть является лучшей практикой для большинства пробелов соразмещения, где Вы как клиент арендуете пространство.
Также: Если у Вас есть возможность, удостоверьтесь, что у Вас есть система "воздушной пробки", которая требует двух форм доступа, который предотвращает "tailgating". В нашем случае это блокировки сканирования карты и перфорация. Запись в фойе требует, чтобы Вы перфорировали код в блокировку. После того как Вы находитесь в фойе, необходимо отсканировать удостоверение личности для ввода фактической серверной.
Вне просто "Это - действительно хорошая идея", существует определенная промышленность определенная SAP, законы или инструкции, которые могли бы быть включены. В учебном заведении или правительственном учреждении, у меня есть определенные законы, я должен быть уверен, осуществляются в отношении доступа к студенческой информации. Подобные требования существуют для компаний, которые публично проданы; они должны выполнить SOX. Медицинская промышленность или любая промышленность, что информация об идентификационных данных, связанная с дескрипторами наряду с историей болезни, должна следовать за HIPPA. Любая компания, которая хранит транзакции оплаты по кредитной карте, должна выполнить их торговые соглашения, которые являются обычно ОЧЕНЬ явными о том, что машинам позволяют сохранить и у кого есть доступ к машинам. Пробег Вашей промышленности может действительно варьироваться.
-
1+1: Эскорты безопасности являются очевидным решением, если необходимо предоставить доступ, но не очень часто. – sleske 16 December 2009 в 11:33
-
2It' s, вероятно, лучше, чтобы потребовать, чтобы удостоверение личности вошло в фойе и только потребовало PIN, который будет введен на внутренней части, где перемещение плеча более трудно – Fahad Sadah 6 June 2010 в 19:26
К очень значительной степени это зависит от, какой хостинг Вы обеспечиваете. Некоторые дата-центры никогда не должны будут позволять посетителям войти, хотя может быть полезно иметь окна, через которые клиенты видят аппаратные средства.
Существуют другие дата-центры, где клиентам абсолютно нужно разрешить физический доступ. например, восстановить от ленты с помощью локального диска. Этот вид доступа будет требоваться, если, например, средство предложит аварийное восстановление / средства непрерывности бизнеса. Собственное помещение клиента, возможно, было уничтожено, таким образом, все функции временно выполняются в дата-центре.
-
1+1 для принятия во внимание фактических клиентских потребностей :-) – sleske 16 December 2009 в 11:36
Думайте об этом: банк позволяет его клиентам входить в хранилище и вносить или забирать деньги в/от их учетную запись? Ответ: Только если поля учетной записи индивидуально защищаются, и даже затем у них может быть защита, сопровождают Вас. Но лучшая вещь для сценариев высокой безопасности состояла бы в том, что они производят Ваше поле Вам, когда Вам нужно оно, который делают банки высокой безопасности.
-
1Конечно, поля безопасности don' t имеют кабели, свисающие от них... все еще, интересной аналогии. – sleske 16 December 2009 в 11:37