數(shù)據(jù)中心安全是保護(hù)數(shù)據(jù)中心運(yùn)營、應(yīng)用程序和數(shù)據(jù)免受威脅的物理和數(shù)字支持系統(tǒng)和措施。數(shù)據(jù)中心是使用復(fù)雜的網(wǎng)絡(luò)、計算和存儲基礎(chǔ)設(shè)施提供對關(guān)鍵應(yīng)用程序和數(shù)據(jù)的共享訪問的設(shè)施。存在行業(yè)標(biāo)準(zhǔn)來協(xié)助數(shù)據(jù)中心的設(shè)計、建設(shè)和維護(hù)，以確保數(shù)據(jù)既安全又高度可用。

物理數(shù)據(jù)中心安全

必須保護(hù)數(shù)據(jù)中心免受對其組件的物理威脅。物理安全控制包括安全位置、建筑物的物理訪問控制以及確保數(shù)據(jù)中心設(shè)施安全的監(jiān)控系統(tǒng)。除了部署在數(shù)據(jù)中心內(nèi)的物理安全系統(tǒng)（攝像頭、鎖等）外，數(shù)據(jù)中心 IT 基礎(chǔ)設(shè)施還需要將徹底的零信任分析納入任何數(shù)據(jù)中心設(shè)計。隨著公司將本地 IT 系統(tǒng)遷移到云服務(wù)提供商、云數(shù)據(jù)存儲、云基礎(chǔ)設(shè)施和云應(yīng)用程序，了解他們制定的安全措施和服務(wù)水平協(xié)議非常重要。

安全位置

數(shù)據(jù)中心應(yīng)位于安全位置，其中包括：

• 不易受洪水、地震或火災(zāi)等自然災(zāi)害影響的地區(qū)。
• 一個不起眼的外立面，沒有公司徽標(biāo)。
• 防止強(qiáng)行進(jìn)入的物理障礙。
• 有限的切入點(diǎn)。

物理訪問控制

數(shù)據(jù)中心安全物理訪問控制的安全最佳實(shí)踐涉及實(shí)施深度防御。這涉及設(shè)置多層分隔并要求對每一層進(jìn)行訪問控制。例如，最初的進(jìn)入可能依賴于生物識別掃描儀，然后是安全人員的登錄驗證。進(jìn)入數(shù)據(jù)中心后，設(shè)備將被分成不同的區(qū)域，并驗證對區(qū)域的訪問權(quán)限。此外，視頻監(jiān)控監(jiān)控設(shè)施的所有保護(hù)區(qū)。

安全的建筑管理系統(tǒng)

數(shù)據(jù)中心的每個訪問點(diǎn)都需要得到保護(hù)。這包括：

• 使用 MFA 保護(hù)維護(hù)建筑物的遠(yuǎn)程技術(shù)人員的訪問權(quán)限，僅根據(jù)需要授予他們執(zhí)行工作所需的訪問權(quán)限，并確保他們的設(shè)備在授予訪問權(quán)限之前是安全的。
• 保護(hù)管理建筑物的系統(tǒng)，包括 HVAC、電梯、物聯(lián)網(wǎng) (IoT) 設(shè)備和類似解決方案。
• 將建筑系統(tǒng)和 Wi-Fi 網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)分開，以防止橫向移動。
• 持續(xù)評估網(wǎng)絡(luò)以添加新的或未知的物聯(lián)網(wǎng)設(shè)備或無線接入點(diǎn)。

數(shù)字?jǐn)?shù)據(jù)中心安全

除了物理保護(hù)外，數(shù)據(jù)中心還需要專注于數(shù)字威脅的安全性。這包括實(shí)施數(shù)據(jù)中心 IT 安全訪問控制和選擇適合數(shù)據(jù)中心需求的安全解決方案。

數(shù)據(jù)中心 IT 安全訪問控制

數(shù)據(jù)中心安全的主要目標(biāo)是保護(hù)服務(wù)器。這包括實(shí)施以下安全控制：

• 僅根據(jù)需要啟用服務(wù)。
• 允許根據(jù)業(yè)務(wù)需求訪問服務(wù)。
• 使用最新的安全補(bǔ)丁使系統(tǒng)保持最新狀態(tài)。
• 使用強(qiáng)密碼控制。
• 使用安全協(xié)議，例如 SSH 或 HTTPS。

數(shù)據(jù)中心還應(yīng)利用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)級安全，包括：

• 在邊界點(diǎn)使用防火墻對南北流量進(jìn)行宏分段。
• 微分段東/西流量在同一網(wǎng)絡(luò)中的服務(wù)器之間流動。
• 在需要的地方加密傳輸中的通信。

為確保安全不是瓶頸，數(shù)據(jù)中心安全解決方案應(yīng)該：

• 支持 10、25、40、100 Gbps 及更高網(wǎng)絡(luò)速度的安全性。
• 滿足數(shù)據(jù)中心容量要求。
• 隨著網(wǎng)絡(luò)看到季節(jié)性流量突發(fā)而擴(kuò)展，例如電子商務(wù) Web 服務(wù)器，例如超大規(guī)模安全性。
• 擁有可以在不影響數(shù)據(jù)中心運(yùn)營的情況下升級的輔助系統(tǒng)。

為工作使用正確的安全工具

不同的系統(tǒng)需要不同的安全解決方案。例如，以周邊為中心的安全解決方案旨在保護(hù)客戶端，而數(shù)據(jù)中心安全則保護(hù)服務(wù)器。企業(yè)客戶通常可以訪問整個 Internet，因此他們需要保護(hù)以防止 Web 和電子郵件中的威脅，以及應(yīng)用程序控制以防止使用有風(fēng)險的應(yīng)用程序。以客戶為中心的保護(hù)包括：

• 反勒索軟件
• 反網(wǎng)絡(luò)釣魚
• 遠(yuǎn)程瀏覽器隔離 (RBI)
• 沙盒
• CDR（內(nèi)容解除與重建）
• 取證或EDR（端點(diǎn)檢測和響應(yīng)）技術(shù)

這些相同的安全措施不適用于由服務(wù)器而非用戶設(shè)備組成的數(shù)據(jù)中心。數(shù)據(jù)中心網(wǎng)絡(luò)需要以下安全功能：

• 入侵防御系統(tǒng) (IPS)： IPS檢測并阻止針對易受攻擊系統(tǒng)的基于網(wǎng)絡(luò)的攻擊。當(dāng)系統(tǒng)無法打補(bǔ)丁時，IPS 可以用作虛擬補(bǔ)丁技術(shù)來阻止漏洞利用，直到可以應(yīng)用補(bǔ)丁為止。
• 零信任網(wǎng)絡(luò)訪問 (ZTNA)： ZTNA - 也稱為軟件定義邊界 (SDP) - 是一種將任何用戶從任何設(shè)備連接到任何企業(yè)應(yīng)用程序的安全方式。
• Web 安全： Web 應(yīng)用程序防火墻 ( WAF ) 及其現(xiàn)代云對應(yīng)的 Web 應(yīng)用程序和 API 保護(hù) (WAAP) 部署在網(wǎng)絡(luò)邊緣，并檢查進(jìn)出 Web 應(yīng)用程序的流量。

實(shí)施支持?jǐn)?shù)據(jù)中心到云遷移的安全性

公司現(xiàn)在在云基礎(chǔ)設(shè)施上的支出與在本地數(shù)據(jù)中心基礎(chǔ)設(shè)施上的支出大致相同。隨著公司將其 IT 資產(chǎn)遷移到云中，保持相同的安全性非常重要。這涉及使用支持虛擬環(huán)境和云原生 API 的安全性，并與 VXLAN 和軟件定義網(wǎng)絡(luò) (SDN) 等網(wǎng)絡(luò)方面的數(shù)據(jù)中心進(jìn)步相集成。