在本文中，小編將分享2023年降低數據中心風險的六種最佳實踐，可幫助大家減輕物理數據中心面臨的風險。

一、建立多層安全邊界
數據中心的服務器、存儲和網絡設備對我們的業(yè)務非常有價值，但前提是它們保持在線，這意味著我們需要在設備中提供多層保護。訪問者必須通過五層物理安全才能訪問客戶設備，這些層提供了多種機會來識別未經授權的訪問者并拒絕他們訪問。在所有站點，周邊圍欄和/或大廳訪問都受到嚴格控制。在安全服務臺，訪客需要使用政府簽發(fā)的帶照片的有效身份證明來驗證其身份，并確認其訪問該站點的預授權。他們還需要用自己的姓名和訪問日期/時間在訪問日志上簽名；這為我們提供了詳細信息，可以在發(fā)生安全事件或進行審計審查時參考這些信息。

二、建立訪問控制
一種有效的數據中心安全方法承認，必須在保護設備和不讓那些確實有正當理由訪問設施的人變得太困難之間取得平衡。為此，我們必須將物理安全策略與邏輯安全策略相結合。任何有正當理由訪問數據中心的人都應該能夠使用明確定義的流程提前請求授權訪問。他們應該能夠預約在特定時間訪問設施，這有助于確保安全人員會等到他們，并且他們能夠通過前面提到的安全措施而不會造成不必要的延誤。
經常訪問特定設施的常規(guī)授權訪問者可以使用基于其存儲的生物特征配置文件的安全和加密訪問讀取器，使他們能夠在任何后續(xù)訪問期間快速通過訪問控制。

三、進行持續(xù)監(jiān)測
物理數據中心安全也可以通過零信任安全的概念從網絡安全中汲取靈感，零信任消除了只信任網絡邊界的想法。相反，所有實體都受到反復出現(xiàn)的身份驗證挑戰(zhàn)和持續(xù)監(jiān)控，無論它們是在邊界內還是邊界外。我們需要在設備和所有可能希望我們的業(yè)務受到損害的人之間提供多層保護。以類似的方式，我們的人身安全工作不應在訪客進門后就結束。僅僅因為有人被信任可以進入并不意味著他們可以被信任在設施內為所欲為。相反，我們應該部署監(jiān)控技術來防止未經授權的訪問——無論是有意的還是無意的。

四、執(zhí)行定期測試以更好地了解上下文中的風險
定期進行測試和演練可以幫助我們更好地了解數據中心的漏洞，以及如何解決這些漏洞。這將包括桌面演練 (TTX) 和滲透測試，模擬攻擊者試圖潛入設施。這些測試有助于表明，擁有正確的監(jiān)控和訪問控制技術只是綜合物理安全策略的一部分。
滲透測試人員幫助確定警衛(wèi)或其他員工可能成為安全鏈中薄弱環(huán)節(jié)的區(qū)域。例如，如果員工在走出去休息時讓防火門保持打開狀態(tài)，這可能會破壞前面提到的安全范圍。此外，威脅監(jiān)控可以幫助我們提前了解數據中心面臨的風險。所以我們需要有一個威脅情報團隊，該團隊使用全球安全數據集進行持續(xù)監(jiān)控，以幫助我們“在野外”跟蹤潛在的惡意行為者。每當我們的監(jiān)控發(fā)現(xiàn)對我們其中一個站點的可信威脅時，我們都會立即采取行動以確保我們免受該威脅。

五、為內置彈性設計數據中心
并非總能避免數據中心面臨的所有風險。由于這種不確定性，以提供內置冗余的方式設計數據中心非常重要。這將包括電源冗余、地理冗余和網絡冗余。所以數據中心和關鍵機械設備需要提供完全冗余的主電源、備用發(fā)電機和不間斷電源 (UPS) 系統(tǒng)。這樣我們的客戶可以通過雙電源電路將他們的設備連接到這些冗余電源系統(tǒng)，從而在其中一個電路出現(xiàn)故障時實現(xiàn)無縫故障轉移。
此外，定期審查和測試數據中心的連續(xù)性計劃，以確保我們準備好應對數據中心面臨的任何威脅，包括自然和人為危害、基礎設施故障、燃料/電力短缺、健康威脅、經濟威脅/政治動蕩等等。

總結：降低物理數據中心的風險是一項多方面的工作，需要戰(zhàn)略、架構、技術和流程的正確組合。企業(yè)可以通過本文中概述的最佳實踐來保護自己的數據中心。

審核編輯黃昊宇