看完之后Reddit 上的类似问题我想听听 serverfault 社区对让维护人员在无人监督的情况下进入服务器机房的做法的看法。
存在明显的危险,例如:
- 盗窃(物理服务器和数据)
- 破坏物品(进水、断电等)
维护人员通常可以进入服务器机房吗?
答案1
我从未遇到过关键任务服务器硬件没有上锁的情况。访问权限应始终仅限于合格的 IT 人员。如果您对房间内发生的任何事情都负有责任,那么您很快就会变得非常吝啬访问权限。
不要让维护人员进入服务器机房。请自行清扫(不要用吸尘器)并保持清洁。
答案2
我并不是一个反对者,我也不主张非 IT 人员应该有权访问您的服务器机房,但我想提出以下问题和观点,以说明我认为与 IT 基础设施、服务器机房和数据中心相关的错误想法:
您担心有人会窃取设备或数据。难道他们不可能从服务器机房以外的任何其他地方窃取设备或数据吗?您是否对维护人员进入大楼其他区域有同样的担忧?难道他们不能简单地坐在某人的工作站、笔记本电脑或终端前窃取数据吗?如果他们足够精明和熟练,能够通过物理访问服务器机房来窃取数据,那么他们肯定足够精明和熟练,能够从大楼任何地方的任何工作站、笔记本电脑或终端进行窃取,不是吗?
服务器机房是否是维护人员可能无意或故意跳电、启动灭火系统、淹没建筑物或导致其他“灾难”的唯一地方?
是不是因为他们是维护人员,所以你才担心他们进入服务器机房?在我看来,这有点智力偏见。他们足够聪明,可以推扫帚或修理暖通空调系统,但不够聪明,不会损坏服务器机房里的任何东西?他们值得信赖,可以清空 CEO 的废纸篓,但不够值得信赖,不能进入服务器机房?
你们的控制中缺少什么,让他们能够窃取设备或数据?你们的控制中缺少什么,让他们能够切断电源或引水?
我经常在一家符合 PCI-DSS 和 SAS 70 Type II 认证的数据中心工作,该中心允许维护人员进入数据中心“楼层”执行与其维护人员工作相关的任务。维护人员与其他任何员工、访客、客户或供应商一样接受审查。
他们是否应该有权访问服务器机房?也许不应该,但理由并不像你在问题中提出的那样。
答案3
我想您了解风险。答案是绝对没有。首先,只有受信任的人员才能进入您的服务器机房并拥有特定访问权限。我们还确保记录进入机房的每个人。
只需简单地清理自己,并确保每个人都了解这一点,房间就会整洁。
实施最佳实践后,您就不需要让清洁人员检查您的服务器机房了。与电缆管理类似,如果您第一次就做对了,那么您就不必再费心重新检查您做过的事情了。
答案4
什么人算维护人员?上面的答案似乎暗示只有看门人才属于这一类,但在许多商店中,电工、暖通空调工程师等通常都是维护人员的一部分。
我接触过的许多大型企业 DC 实际上都明确排除了大多数 IT 人员 - 包括高级系统和网络工程师等。他们的想法是,一组非常具体的 DC 设施/运营人员应该足以物理操作基础设施,而特定的非设施领域专家则被允许进入他们通常没有资格进入的空间。
实际上,只有在较小的设施中,我才看到系统管理员通常参与标准机架堆叠/布线。一些网络组织会继续参与,但即使他们最终也会将日常布线(甚至许多布局/设计)分给专门的设施人员。我通常将此归因于对专业化的更大需求。
顺便说一句 - 专用 DC 设施组织通常会有经过专门培训的清洁人员。需要长期保持这些区域的清洁,尽管采用的方式与标准办公空间不同。