数据中心物理基础设施的网络安全防护策略


保护数据中心的物理基础设施是确保设施的服务器、网络以及托管的数据和应用安全的核心问题。毕竟,数据中心是物理结构,具有现实世界的漏洞,这些漏洞基于其与智能暖通空调系统、消防控制、电气设备甚至安全摄像头的所有连接。除了计算机设备的中央机架和网络设备本身之外,数据中心内任何连接到网络的数字设备都可能成为网络攻击的途径。

数据中心基础设施管理(DCIM)平台,为设施管理人员提供了监控和控制数据中心内部物理基础设施的能力。然而,这些相同的软件平台也可能为黑客提供未经授权的接入点,以发起非常规的网络攻击,例如通过通过物理设备安装的有效载荷上传恶意备份文件。在其他情况下,攻击者可能会试图访问并破坏数据中心的冷却系统,导致服务器过热和故障。数据中心面临的另一个持续威胁是它们需要不间断电源(UPS)。由于安全措施松懈,允许更改默认用户名和密码,不良分子可以访问与互联网连接的UPS设备。2022年,超过20,000个DCIM软件、智能监控设备、热冷却管理控制系统和机架电源监控器实例面向公众且容易受到网络攻击。自那时起,超过一半的数据中心运营商(55%)报告了某种形式的中断。

采取措施保护数据中心的持续正常运行时间
为了避免对物理数据中心进行网络攻击,运营商必须详尽地规划该设施的运营技术(OT),包括其众多连接的设备和接入点。为了确保持续正常运行,设施管理人员应审查涉及基础设施管理、电气管理、建筑管理和安全管理的关键系统的安全协议。DCIM软件采用整体视角来监控、分析和管理设施的整体电力和冷却系统,以及其服务器利用率、资产跟踪和其他重要功能。OT网络采用专用通信协议和冗余系统来保持可靠性和弹性。标准安全程序包括定期更新和修补软件应用程序。另一个有效措施是网络分段:数据中心OT网络也应与IT网络分开,以进一步提高安全性。数据中心OT安全的新工具包括封装在硬件中的单向网关技术解决方案,以保持两个网络之间单一的单向数据传输,而不是来回传输。该软件存储来自OT网络的活动服务器和设备的副本,以便实时与企业网络共享。

由于硬件只能单向发送数据,因此较新的攻击媒介永远无法通过网关服务器返回网络。电力管理系统对于维持任何数据中心的持续正常运行至关重要。对电力生产和配电系统的攻击可能会导致中断或彻底断电。离线的数据中心将面临代价高昂的服务中断、硬件损坏、客户数据丢失,甚至可能面临诉讼。数据中心的另一个安全问题涉及楼宇管理系统,该系统控制楼宇环境的温度、湿度、气流和灭火。每个设备和访问点都可能带来未经授权访问的机会。同样,如果视频监控、访问控制和威胁检测的安全管理系统受到损害,未经授权的个人可能会访问数据中心的控制和操作。

降低风险首先需要了解其后果
为了保护数据中心的关键物理基础设施免受网络攻击,设施管理人员首先需要采用强大的网络风险框架作为其整体安全态势的一部分。良好的网络风险管理首先要将潜在风险转化为金钱方面的利益,然后优先考虑最严重的风险并进行补救。降低风险的新策略包括网络风险量化和管理(CRQM)工具,该工具可以帮助数据中心运营商评估由OT漏洞造成的全部业务损失。CRQM工具会彻底分析任何潜在网络事件的影响,然后确定缓解风险的主要风险源的优先顺序。网络风险评估还可以通过在评估中添加更深层次的背景信息来增强网络安全评估。通过这种方式,数据中心运营商可以主动管理其网络风险组合,优先考虑风险缓解项目,并做出更明智的网络安全投资决策。