不允许人们进入服务器机房的原因

说明了一切，真的:)

假设每个客户端的硬件被隔离在单独的笼子等中，那么我认为没有理由不让人们进入服务器机房。然而，对于高度敏感的关键数据，例如银行、警察等，我只会在那个房间里有极少数合格的人。当涉及到客户时，您如何知道他们是合格的并且同样没有恶意。不值得冒险。

在这些情况下，轻微的停机时间或数据丢失会引发巨大的问题，谨慎行事总是安全的。

以我的经验，75% 的服务/系统中断归结为“第 8 层”/湿件问题——人们洒了饮料、按了不该按的按钮、绊倒了电缆，甚至无缘无故地“测试”了 RAID 故障转移！

将人们拒之门外，这样做的一种方法是拥有一个手动输入日志，其中包含他们必须自己编写的“输入原因”字段 - 这将在没有充分理由的情况下阻止人们。

就我个人而言，如果我将我的设备托管在其他地方，他们不会让我参与其中，我会非常生气。我知道您需要确保您的设施安全，让街上的任何人进入是个坏主意，但是如果我付钱给您托管我的设备，那么我对我的系统的安全性有既得利益，我不是会做任何事情来妥协。

应该有安全措施，我需要 ID 或密码或虹膜扫描才能进入 DC，但将我全部阻止只会让我将业务转移到其他地方。

对机器的物理访问 == 根机器的机会。

不要让任何你不想让他们访问机器上的设备的人进入服务器机房。或者，如果您要允许其他人物理访问机房，则对机器的控件进行物理访问（以及 KVM 或其他本地/控制台方式）受到限制。

在我看来，最好的做法是要么完全阻止非管理员访问，要么在未经授权的服务器机房（即供应商）的服务器机房中提供安全护送，或者将密钥锁定的硬件保持在适当的位置并将密钥限制为授权用户/管理员的子集。最后一部分是您作为客户将租用空间的大多数托管空间的最佳实践。

另外：如果有机会，请确保您有一个需要两种访问方式的“气闸”系统，以防止“尾随”。在我们的例子中，这些是打孔和卡片扫描锁。进入门厅需要您将密码打入锁中。进入门厅后，您需要扫描身份证才能进入实际的服务器机房。

除了“这真是个好主意”之外，还可能涉及某些特定行业的 SAP、法律或法规。在教育或政府机构中，我需要确保在访问学生信息方面执行特定的法律。上市公司也有类似的要求；他们必须遵守 SOX。医疗行业，或任何处理相关身份信息和病史的行业，都必须遵循 HIPPA。任何存储信用卡交易的公司都必须遵守他们的商户协议，这些协议通常非常明确地说明允许机器存储什么以及谁可以访问机器。您所在行业的里程可能确实会有所不同。

已经提到安全性是不这样做的理由。另一个是健康和安全。对于未经训练的人来说，DC 可能是危险的环境。当然，这些都可以通过诸如“例如，您必须由训练有素的员工陪同的政策来缓解。我们的数据中心要求员工除非完成了适当的课程，否则不得访问。客户当然不允许访问除非陪同。

我有一台服务器与本地数据中心共存，需要护送才能访问。没有什么比放下一个盒子更重要的是，不得不站着等待有人可用，这样你就可以修复它。然后，那个人就会无聊地站在那里，只是看着。在那种情况下，它是几个小时。我们现在在内部做我们的服务器......

SAS70 合规性（如果您这样做的话）或 Sarbanes Oxley 规定了围绕金融系统的 IT 控制。

想一想：银行是否允许其客户进入金库并将资金存入/从他们的账户中取款？答案是：只有账户箱是单独保护的，即使这样，他们也可能有一个看守陪你。但是对于高安全性场景来说，最好的办法是 在您需要时将您的盒子拿出来给您，这是高安全性银行所做的。

允许客户使用他们自己的工具包似乎是一项基本的“权利”。colo 的安全性应该足够严密和结构化，以确保客户的逐个机架访问是安全的。

如果其他顾客觉得他们需要更多的安全保障，那么他们可以离开并得到自己的笼子或房间。