数据中心安全组网架构 数据中心安全防护要求

一、场地和设施设计(Site and facility design)

网络安全专业人士必须确保其控制下的设施的物理安全。这包括限制对这些设施的访问，对寻求进入的员工进行认证，以及跟踪进入该网站的承包商和其他访客。我们先讨论一些必须保护的不同类型的设施：

1.数据中心

这些安全设施包含了所有的服务器、存储和其他运行业务所需的计算资源。数据中心的访问必须受到严格限制，以防止资源和信息的潜在盗窃。任何进入数据中心的人都有能力对业务造成重大损害和破坏。 并非所有的服务器都保存在相对安全的托管数据中心内。一些企业只有简单的机房，往往缺乏强有力的安全控制。这些服务器机房也可能在拥有中央数据中心的组织的业务部门内扩散，因为它们往往是有机地出现的，开始只是在一个房间里有几台服务器，然后不断增长，直到它们可能拥有小型数据中心的容量。媒体存储设施也需要注意安全。良好的灾难恢复和业务连续性计划(Good disaster recovery and business continuity plans) 将关键业务信息的副本，包括系统备份，放置在远程位置。这些地点包含敏感数据，它们必须具有与主数据中心同等的安全性，如果不是因为它们的远程位置而具有更大的安全性的话。网络安全专业人士经常从事数字取证调查(Digital forensic investigations)。如果在这些调查中处理的证据可能在法庭上使用，调查人员必须记录和保存保管链，确保证据在他们的保护不会被篡改。这就需要安全的证据存储室，以避免被入侵。

2.配线室

配线室是一个经常被忽视的物理安全问题。它们存在于一个组织的整个建筑中，如果它们没有得到适当的保护，可能为入侵者提供物理访问，可能被用来窃听网络通信或进入敏感网络。这种保护的需要延伸到电缆分配管道，这些管道离开配线间，然后在一个组织的设施中旅行，以提供网络连接。

3.其他区域

一个企业的其他安全区域也可能需要类似的保护措施。这些包括操作中心和其他限制性工作区域。安全专业人员应该对其控制下的所有敏感地点进行清点，并对这些设施进行物理安全评估。

二、数据中心环境控制

数据中心包含各种各样的电子设备，这些设备对其运行环境非常敏感。这种设备的主要风险之一是环境威胁。如果设备没有在一个适当的控制设施中运行，就会存在这些威胁。数据中心的环境控制寻求维持一个对电子设备友好的稳定环境。

1.空气温度

数据中心工程师所担心的第一个环境特征是空气温度。电子设备会产生大量的热量。而且，如果一个数据中心没有适当的冷却设备，设施会变得非常热。过多的热量会极大地减少服务器和其他电子设备的预期寿命。因此，数据中心的设施管理人员投入大量资金，以维持对设备有利的温度。这种投资需要大规模的冷却系统，如这里显示的数据中心屋顶上的冷却系统。

关于数据中心温度已经随着时间的推移而改变。十年前，数据中心特别寒冷，以至于工作人员在设施内工作时经常穿着冬衣。保持如此寒冷的数据中心会消耗大量的电力，产生大量的电费，并增加组织的碳足迹。幸运的是，多年来，计算机设备对热量的耐受性越来越好，这些标准已经放宽。专家现在建议将数据中心的温度维持在64.4至80.6华氏度的范围内。2.湿度

设施工作人员还必须仔细管理数据中心的湿度。如果房间里的湿度太高，会形成冷凝水，而水绝对不是电子设备的朋友。如果湿度降得太低，就会产生静电，这同样会造成损害。

环境专家使用露点(Dew point)来测量数据中心的湿度，他们建议将设施的露点保持在华氏41.9至50度之间，可以避免凝结和静电。3.布局

当然，现在我们需要做的不仅仅是监测我们数据中心的温度和湿度环境。加热、通风和空调，或HVAC系统，使我们能够控制温度和湿度，使其保持在可接受的范围内。服务器、交换机、存储阵列和其他设计用于现代数据中心的设备采取了一种常见的冷却方法。它们被设计成从前面吸入冷空气，从后面排出暖气，保持冷空气在整个部件内部流动。

数据中心经理很快意识到，他们可以根据这一原则来布置设施，并开发出数据中心冷却的热通道冷通道方法。当在数据中心放置设备机架时，他们将机架的正面放置在过道的对面，使其相互面对。当然，这也导致了机架的背面也要面对对方。当以这种方式布置时，过道在成为冷空气的来源或暖空气的出口之间交替使用。暖通空调设计师可以利用这一点，将冷空气抽入冷通道，将暖空气从热通道抽出。

三、数据中心环境保护

虽然加热和冷却问题在环境问题清单上很重要，但数据中心经理还必须为更严重的情况做好准备，如火灾、水灾和电磁干扰。

1.火灾
火灾在任何环境中都是危险的，而在一个充满电气设备的设施中，它的破坏力尤其大。出于这个原因，数据中心经理必须设计火灾探测和灭火系统，以便在火灾发展到失控之前发现和扑灭火灾。

为了让火燃烧，它需要三个关键成分，氧气、热量和燃料。如果你能剥夺这三个要素中的任何一个，它就会熄灭。最常见的灭火方法是使用水，使火失去热量，但水对所有类型的火灾都无效，而且会损坏电子设备。用于灭火的灭火器有有不同的级别，如下：

1. A类灭火器适用于由普通可燃材料引起的典型火灾，如木材、纸张、布和垃圾；
2. B类灭火器适用于以易燃液体为燃料的火灾，如汽油或油；
3. C类灭火器适用于电气火灾，例如在数据中心环境中可能发现的许多火灾；
4. D级灭火器可扑灭工业应用中可能发现的重金属火灾；
5. 而K级灭火器是专门针对由油脂引发的厨房火灾而设计的。

也有很可能会遇到针对多种火灾等级的灭火器，如ABC灭火器。除了灭火器之外，数据中心通常还受到整个设施的灭火系统的保护。这可能就像整个设施的其他部分使用的水基喷淋系统一样简单，但这种方法是有风险的，因为水对电子设备的破坏性很大，一个意外的排放或管道爆裂都会导致灾难。

以水为基础的灭火的基本方法被称为湿管(Wet Pipe)法，即在管道中不断注入水。这在数据中心是一种高风险的方法，因为管道破裂可能会淹没整个设施。干管(Dry Pipe)系统将水排除在外，直到实际紧急情况发生，降低了设施的风险。这些干管系统使用一个阀门，防止水进入管道，直到火灾警报触发灭火系统。这种方法通过在系统检测到火灾或手动启动之前不让水进入，将管道爆裂的风险降到最低。一些数据中心使用替代灭火系统，用化学品而不是水来灭火。水能使火失去热量，而化学品灭火剂能使火失去氧气。当然，如果有人在场，剥夺房间的氧气是很危险的，所以必须谨慎使用化学品抑制剂。建筑物还应该受到敏感的火灾探测系统的保护，这些系统监测火灾的迹象，包括高温、烟雾，甚至火灾的化学前兆，探测火灾及其萌芽阶段。

2.水灾
当我们考虑设施被淹的风险时，需要记住灭火系统不是唯一的水源。我们要确保知道标准建筑管道的位置，并尝试对其进行布线，以便泄漏不会影响数据中心。同样地，还需要将数据中心设在不太可能受到自然灾害造成的洪水影响的设施的一部分。在整个设施中使用湿度传感器，监测敏感区域是否有意外的水存在。

3.电磁干扰
我们需要了解的最后一个环境威胁是电磁干扰或EMI。每件电子设备都会产生电磁辐射，这带来了两种风险。

1. 首先，电磁辐射会干扰系统的正常运行，导致它们发生故障；
2. 其次，如果攻击者能够捕捉到设施的这些辐射，他们可能能够重建产生这些电磁信号的击键或其他活动。

出于这个原因，数据中心经理应该监测电磁干扰，并考虑设计他们的设施以减少这种类型的辐射。法拉第笼(Faraday cages )是控制电磁干扰的一种方法，但它们是复杂和昂贵的。它们需要在电子设备周围建造一个金属笼子，防止电磁波外泄。现在我们很少看到法拉第笼在机密的政府设施之外使用，以及作为对极其敏感的科学仪器的保护。

四、实体访问控制(Physical access control)

许多物理安全控制集中在设施的周边，试图在入侵者进入内部安全区域之前阻止、预防和检测入侵。

1.锁
锁是熟悉的物理安全控制类型。它们限制那些拥有开锁所需钥匙的人通过门或其他锁定的入口进入。这把钥匙可能是传统的物理钥匙，也可能使用另一种认证因素。我们可能最熟悉的物理锁被称为预设锁(Preset locks)，它们使用硬件钥匙来锁定和解锁，而且只有在插入预设的正确钥匙的情况下，它们才能工作。不正确的钥匙将无法打开锁。密码锁(Cipher locks) 通常用在很多人需要进入的地方。它们有一个物理或电子钥匙垫，希望解开密码锁的个人必须输入密码才能打开。生物识别锁(Biometric locks) 使用用户的物理特征，如指纹、视网膜图案或声纹来开锁。基于卡片的锁(Card reader locks) 使用物理卡片来授权进入设施。这些卡可以是物理条纹卡、感应卡或智能卡。

无论使用哪种类型的锁，都很容易出现尾随现象，即一个有合法权限的用户为另一个可能没有授权权限的人开门的攻击。Man traps目的在通过使用一系列的两扇门来防止尾随行为。一个人首先打开外面的门，然后进入两扇门之间的空间，后面的外门关闭。然后，Man traps使用摄像头或其他机制来验证只有一个人在Man traps中，然后才允许个人尝试打开内部的门。

所有这些控制措施的目的是将设施的访问限制在授权访问名单上的个人。实体安全人员应仔细维护这份名单，确保在不再需要时及时取消访问权。

2.视频监控系统
视频监控系统在实体安全方面也发挥着关键作用。当用户看到摄像机时，它们可以作为一种威慑控制。视频摄像机也可以作为一种侦查控制，让监控摄像机的人识别正在进行的入侵行为。这些摄像机可以使用专用的闭路电视，或CCTV技术，或通过IP网络运行。视频监控系统的检测能力也可以由软件来填补，该软件可以检测到不应该有人在场的区域的运动，或者检测到物体的意外出现或移动。在照明不好的情况下，视频监控系统可以使用红外检测来识别个人发出的热力模式。视频监控系统在安全调查中也发挥着重要作用，它提供了事件发生时个人是否在某一区域的证据，并有利于识别这些人。有许多类型的物理屏障可用于执行周边安全。

3.各种路障
栅栏可以阻止未经授权的人步行或乘车进入一个区域。笼子可用于保护数据中心的设备。这些在共享租约的数据中心中特别有用，在这些中心，一些可以进入数据中心的人可能不被允许访问该数据中心的特定设备。其他路障，例如柱子，可以阻止车辆离开道路，撞向建筑物或进入行人区。

4.照明
适当的照明增加了入侵者被保安人员或其他路人发现的可能性。

5.告示牌
告示牌通知个人不允许擅入，并可能为擅入指控提供法律依据。

6.工业伪装
使用工业伪装寻求将敏感设施隐藏在不显眼的地方。你会发现，大多数大型数据中心从外面看就像其他工业建筑，尽量不引起人们的注意。无人机和无人驾驶飞行器的时代，使工业伪装更具挑战性，因为设施必须从地面和空中看起来都是无害的。

五、访客管理(Vistor management)

我们可能需要允许访客进入我们的安全设施。重要的是要有访客控制程序(visitor control procedures)，说明谁可以授权访客进入以及访客在我们的设施中的行为方式。

我们的访客访问程序应明确指出访客可能进入我们的设施的允许理由，以及不同情况下对不同类型的访客所需的适当批准级别。这些程序还应该解释哪些类型的访客（如果有的话）可以在没有陪同的情况下进入设施，以及谁可以护送其他访客。每次有访客进入安全设施时，我们都应该保持一份访问记录。这可能只是要求访客在纸质访客登记簿上签字，也可能使用更复杂的电子程序。所有进入安全设施的人都应该佩戴识别徽章，清楚地显示在他们的身上。访客的徽章应该有足够的特色，使员工能够迅速识别他们遇到的人是员工还是访客。如果访客不允许在没有陪同的情况下进入设施，徽章上应清楚地表明需要有陪同人员。摄像机可用于对有访客的区域提供额外的监控。摄像机的使用应始终向访客披露。如果在访问期间发生了任何可疑的活动，可以在以后查阅摄像机的录像。

六、实体安全人员(Physical security personnel)

虽然技术在实体安全方面肯定发挥着重要作用，但实体安全计划也依靠人的守卫在保障设施安全方面发挥作用。人们通常负责允许进入一个设施，利用人的判断力来评估访客的请求，并允许授权访客进入。虽然这些程序中有许多可以用技术来协助，但确实没有什么可以替代人的判断。

1.安保人员
拥有人力保安也有助于组织在保护组织安全的同时向公众展示一个受欢迎的形象。保安人员可能看起来只是外部访客的接待员，而实际上，他们正发挥着重要的安全功能。机器人哨兵也开始在实体安全领域发挥作用。这些机器人守卫可以在设施上巡逻，寻找异常活动，并在必要时直接攻击入侵者或召唤人类回应。

2.两人规则(Two-person rule)

两人规则有助于确保参与非常敏感的行动的人员适当地行动。它有两种形式：

1. 两人完整性(Two-Person Integrity)要求在进入敏感区域时必须有两个人在场，例如储存贵重物品的区域。两个人的存在阻止了单个人的盗窃或其他未经授权的活动。
2. 两人控制(Two-Person Control)。两人控制被用来控制对非常敏感的功能的访问，需要两个人的同意来执行一项行动。最常引用的双人控制的例子是使用两把钥匙来发射核导弹。钥匙装置相距甚远，一个人无法同时接触到它们，需要两个人同时转动钥匙来触发发射。