Modello di sicurezza per i data center

OK, sembra che tu stia chiedendo una politica, un piano e delle pratiche per l'amministrazione sicura di un data center. Ho alcuni suggerimenti per te:

Inizia con una norma. inizia a pensare alla tua politica di sicurezza. Sviluppa una politica di sicurezza scritta e ottieni l'approvazione dalla direzione.

Dai un'occhiata alle risorse di SANS sulle politiche di sicurezza . Ti daranno alcune idee su cose che potrebbero avere senso per te.

Piano di sicurezza. Sviluppa un piano di sicurezza. Ti suggerisco di iniziare creando un inventario dei dati e dei sistemi che archivi, con un'idea di quanto sia critico per la missione della tua azienda. Questo ti aiuterà, perché dovresti pianificare di dedicare più energia alla messa in sicurezza delle tue risorse più importanti per la missione.

Successivamente, potresti riflettere un po 'su quali siano i tipi più importanti di attacchi o minacce che dovrebbero ricevere la massima priorità (sia la più probabile, data la tua situazione, sia quella che sarebbe più grave). Puoi valutare quali sono le minacce che più probabilmente dovrai affrontare (ad esempio, chi avrà un incentivo ad attaccarti?), E usarlo per aiutarti a sviluppare un piano per proteggere la tua organizzazione.

Una volta che hai inventariato le tue risorse e hai dato la priorità ai principali problemi di sicurezza che potresti incontrare, sviluppa un piano per mitigare i rischi e proteggere la tua organizzazione da questi attacchi. Dai un'occhiata a l'elenco SANS dei primi 20 controlli di sicurezza ; potrebbero formare alcuni elementi del tuo piano o potrebbero darti delle idee su come proteggere le tue risorse da queste minacce.

Esegui. Quindi, implementa il tuo piano. Non è necessario fare tutto in una volta; va bene scegliere un pezzo del piano, eseguirlo e aumentare gradualmente il livello di maturità della sicurezza. Addestramento alla sicurezza. Potrebbe essere utile avere qualche formazione sulle buone pratiche di sicurezza per gli amministratori di sistema. Non sono la persona giusta da chiedere, ma altri potrebbero avere qualche suggerimento. Penso che SANS abbia una buona reputazione per la formazione professionale in questo settore.

Risorse per ulteriori informazioni. Dai un'occhiata a Politica di sicurezza per gli amministratori di sistema su questo sito.

Potresti dare un'occhiata a alle domande taggate security su ServerFault . ServerFault è un sito affiliato in cui sono presenti molti amministratori di sistema professionali e dispongono di buone risorse su argomenti relativi alla sicurezza orientata agli amministratori di sistema.

Dovresti essere a conoscenza delle organizzazioni professionali in questo settore, e prendere in considerazione la possibilità di unirti a loro e fare uso delle loro risorse. Guarda SANS . Hanno molte risorse disponibili sulla loro pagina web.

Inoltre, consulta LISA , un'associazione professionale di Usenix per gli amministratori di sistema. Hanno conferenze eccellenti, buone opportunità di networking e possibilità di tenersi aggiornati sulle ultime tecnologie. Inoltre, hanno una serie di opuscoli con alcune informazioni per gli amministratori di sistema; consulta, ad esempio, Sicurezza del sistema: una prospettiva di gestione .

Che cos'è Microsoft SDL? L'SDL di Microsoft è fantastico, ma è davvero orientato allo sviluppo del software. Non penso che sarà utile agli amministratori di sistema, quindi potrebbe non essere la risorsa giusta per te.

Perché è una domanda difficile, mi sto rispondendo con tutto ciò che ho inventato finora.

Ho concluso che l'utilizzo di livelli OSI e processi di sviluppo del ciclo per l'intera organizzazione e tutti i reparti lo fornisce.

Il grafico potrebbe non essere auto-esplicativo, quindi ecco la descrizione.

• A destra, c'è un dipartimento / manager che gestisce la politica di sicurezza come accesso, applicazione ecc.

• A sinistra c'è il reparto / gestore che gestisce stabilità, continuità, certificazione e sviluppo degli exploit

• In cima, c'è un team di sviluppo che lavora al loro software, così come ai progettisti di data center e così via

• In basso, c'è un sistema di sicurezza automatico, ad es. crittografia, anti-spam, IDS, IPS ecc.

Le frecce cercano di descrivere le relazioni, quindi affinché un'azienda sia stabile, deve fare i requisiti che devono passare attraverso il ciclo di sviluppo, così come le imprese devono sviluppare nuovi exploit (o acquisirli, che è il caso ) per rimanere al sicuro.

Ora, questo processo può essere applicato a più livelli, quindi ad es. Posso dividere l'organizzazione in Applicazione, Rete, Fisica ecc. E gestirla separatamente.

Guardando il seguito, posso vedere ora il motivo della crittografia multipla - ogni livello può presentare una sorta di intelligenza artificiale o crittografia (in basso), quindi potrebbe essere gestito dallo stesso dipartimento in una certa misura.

La consapevolezza è uguale al ciclo SDL - ricercandolo da tutti gli angoli, si può prendere coscienza dei problemi. Andando con questo attraverso ogni livello, si può raggiungere la consapevolezza totale e la sicurezza totale.

La cosa importante qui è che tra ogni livello c'è la rilevazione di autenticazione / ID in corso tra il quadrato blu in basso e quello destro.

Total Security Awareness