乍一看,物理安全似乎是数据中心安全中最简单的组成部分。防止未经授权的物理访问比在软件级别管理恶意软件、代码注入攻击和无数其他针对资产的威胁更简单。
然而,现实情况是,物理数据中心的安全性可能比看起来更具挑战性。它不仅仅是建立一个安全的边界,使用栅栏、大门等屏障来阻止恶意行为者物理接触数据中心设备。
为了证明这一点,这里介绍了五种物理数据中心安全威胁,这些威胁很容易被忽视,但如果您想让坏人远离您的设施,那么对其进行管理至关重要。
- 基于软件的物理安全系统的黑客攻击
- 在硬件到达数据中心之前对其进行物理篡改
- 数据中心设施内未经授权的移动
- 恶意内部人员和物理数据中心安全风险
- 破坏数据中心服务的远程物理攻击
1、基于软件的物理安全系统的黑客攻击
物理安全保护(例如锁)是减少对数据中心设施进行未经授权的物理访问的好方法,但前提是它们被正确配置为定义谁应该有权访问以及谁不应该访问。
如果攻击者设法破坏管理物理访问规则的软件系统(就像他们在最近涉及亚洲数据中心的违规事件中所做的那样),物理访问控制将不再非常有效。
这是软件安全与物理安全之间的界限如何融合在一起的一个例子,要求企业全面思考如何管理物理访问。
2、在硬件到达数据中心之前对其进行物理篡改
控制对数据中心的物理访问有助于防止恶意行为者在服务器、网络设备或驻留在设施内的其他物理设备上植入恶意软件。
然而,数据中心的访问控制并不能保证没有人在设备到达之前对其进行篡改。 如果威胁行为者设法在安装服务器或其他设备之前拦截它们,则可能会发生物理安全漏洞。
管理此风险需要在您的企业用于获取数据中心基础设施的供应链中建立强大的安全控制。
3、数据中心设施内未经授权的移动
有时,仅保护物理数据中心周边是不够的。 有些人可能有正当理由进入数据中心的某些部分(例如清洁它),但没有进入其他部分。
这就是为什么外围级物理安全保护还不够的原因。 物理访问控制应该足够精细,以定义哪些人可以访问哪些特定服务器机架或其他设备。
4、恶意内部人员和物理数据中心安全风险
类似地,您授予数据中心访问权限的个人可能最终会采取恶意行为,即使他或她应该值得信赖。
恶意内部人员也是软件级安全漏洞的一个问题。 但在物理安全方面,他们可能没有受到应有的关注。
5、破坏数据中心服务的远程物理攻击
有时,坏人不想物理访问数据中心设备来安装恶意软件或窃取数据。 他们只是想扰乱运营。
在这种情况下,他们也许能够在不违反任何物理安全控制的情况下实现目标。 他们可以通过密谋轰炸数据中心等方式远程发动物理攻击——一些极端分子威胁要这样做,以应对人们对人工智能的担忧。
幸运的是,此类攻击尚未成为数据中心运营商面临的问题。 但它们是一个值得考虑的风险,尤其是在围绕数据中心及其工作负载的政治问题变得如此令人担忧的时代。
结论
物理数据中心的安全性始于创建一个安全的外围,但不应仅限于此。在数据中心部署工作负载的数据中心运营商和企业还应考虑外围级别无法控制的物理安全威胁,例如在供应链中篡改硬件,以及允许访问数据中心设施的恶意内部人员。