Stratégie d'audit du centre de données par et pour les administrateurs de systèmes

Pourquoi stresser ? Voici comment auditer correctement votre centre de données

Le moment est venu

Il est temps de procéder à un audit de votre centre de données. Il est peut-être temps de faire une centre de données Le projet de l'entreprise. Il peut s'agir d'une mise hors service, d'une mise au rebut d'équipements anciens, d'une migration vers le cloud, d'une colocalisation, d'un déménagement dans un espace différent ou d'une migration du réseau central. Peut-être qu'une personne en costume a besoin d'évaluer les actifs matériels et logiciels pour prévoir la rentabilité future. Quoi qu'il en soit, un audit et une documenter les centre de données est une tâche très importante. 

Nous sommes tous passés par là

En tant que administrateursNous sommes tous passés par là : la plupart des administrateurs système chevronnés ont été licenciés une fois ou deux. Centre de données L'audit est essentiel pour prévoir et négocier le budget. Si les cadres supérieurs n'ont pas une vision claire et complète de la topologie du réseau et des cas d'utilisation, ils ne peuvent pas communiquer de manière adéquate sur la nécessité de maintenir non seulement les actifs matériels et logiciels, mais aussi le budget qui permet de maintenir l'emploi des administrateurs système. Une bonne données montre votre valeur et votre efficacité en tant qu'administrateur, et garantit que l'entreprise est en mesure d'assurer la sécurité de ses employés. reçoit la meilleure valeur en échange du coût de ses actifs disponibles. 

Pourquoi c'est important

L'encadrement intermédiaire peut être une tâche difficile. La plupart des administrateurs sont conscients de cela et n'ont aucun intérêt à être pris en sandwich dans le stress des rôles de gestion, ou dans les tâches connexes de documentation et d'envoi de courriels toute la journée. Cependant, les administrateurs système sont tenus responsables de nombreuses questions liées à la gestion. 

Centre de données L'audit est l'une des fonctions les plus négligées et pourtant indéniablement les plus critiques d'un administrateur de systèmes. La documentation du réseau est la base d'un plan stratégique de gestion des actifs. Un audit précis est essentiel pour la sécurité, la fiabilité, la qualité de l'assistance, la rentabilité et la reprise après sinistre d'un réseau. données centre.

Vous travaillez peut-être avec d'autres administrateurs système au sein d'une équipe interfonctionnelle. En l'absence d'un audit du centre de donnéesL'intégration des nouveaux membres de l'équipe peut s'avérer fastidieuse. Même pour un administrateurIl s'agit d'une courbe d'apprentissage abrupte sans une vue précise de la topologie du réseau. 

La clé à molette

Pauvre données La documentation de l'audit du centre entraîne d'autres problèmes que nous avons tous connus en tant qu'administrateurs système : la convention de dénomination n'a pas de sens ; le modèle de données canonique est caché ; les anciens modèles de données ont été supprimés ; la documentation de l'audit du centre a été supprimée. administrateurs n'a pas documenté le logiciel ; les mots de passe sont difficiles à trouver ; la direction générale s'inquiète des coûts énergétiques exorbitants ; ou, ce qui est le plus obsédant de tous, données est sommaire, ne répond pas aux normes de l'industrie et conduit à une violation des droits de l'entreprise ou, pire encore, des droits du client. données.

Lorsqu'un incident critique et prioritaire se produit, nous avons tendance à être le singe au milieu, gérant non seulement la panne critique mais aussi la communication déconnectée entre les dirigeants, les cadres intermédiaires, les autres membres de l'équipe et les utilisateurs finaux frustrés. Cela peut être un casse-tête lorsque l'échange l'administration a besoin d'informations confidentielles dans la base de données l'administrationou nous avons besoin de retrouver rapidement des informations sensibles sur les clients. donnéesou si vous essayez de savoir quels correctifs ont été appliqués lors du dernier "Patch Tuesday" parce qu'il faut revenir en arrière. 

L'absence d'un audit adéquat se répercute lorsqu'il s'agit de procéder au démantèlement d'un centre de données  - un scénario dans lequel personne ne souhaite se retrouver. Il faut beaucoup de diligence pour réaliser un audit correct. Voici donc un aperçu des différents types d'audits. données Les audits de centres d'excellence, ce qui doit être audité, ainsi que certains outils qui peuvent être utilisés pour faciliter le processus. 

Audit du centre de données de sécurité

La caractéristique la plus importante d'un données est sa sécurité. Non seulement les entreprises dépendent de leurs centres de données critiques, mais elles ont aussi besoin d'une sécurité accrue. données pour être contenue en toute sécurité, mais une seule faille peut facilement faire couler une entreprise. Comme indiqué par IBMle coût total moyen d'un données aux États-Unis est de $8,19 millions, avec une moyenne de 25 575 enregistrements compromis par infraction. 

Ce n'est pas la seule statistique effrayante. Selon le Rapport 2019 de Thales sur les menaces pesant sur les donnéesAux États-Unis, 65% des entreprises déclarent avoir été victimes d'une violation à un moment ou à un autre - et 35% ont déclaré avoir subi une violation au cours de la seule année écoulée.

Cybersécurité Le risque augmente progressivement, devenant plus agressif et plus fréquent au fil du temps, à mesure que la complexité des technologies hybrides-cloud et IoT s'accroît. Les périodes les plus vulnérables pour les données Les violations se produisent lors de la mise en œuvre, de la migration et de la mise à jour de la base de données. démantèlement d'un centre de données. Un audit de sécurité adéquat permettra d'organiser et d'élaborer une stratégie en matière de sécurité et de garantir que les mesures appropriées sont en place pour éviter les failles, les temps d'arrêt et autres problèmes de sécurité. données les catastrophes du centre. 

44% des personnes interrogées dans le cadre du rapport sur les menaces pesant sur les données ont déclaré que la complexité était perçue comme un obstacle à la mise en œuvre de mesures appropriées. la sécurité des données. Compte tenu de ces éléments, la base d'un plan de sécurité adéquat et d'un environnement sûr est la suivante centre de données Le déclassement consiste à identifier les lacunes dans le respect des normes en procédant à un audit et à une documentation adéquats. centre de données régulièrement. 

Contrôle d'accès

Il s'agit de contrôler les employés, les sous-traitants et les fournisseurs qui ont accès à l'infrastructure et aux logiciels. Pensez aux scanners biométriques et aux méthodes d'authentification multifactorielle utilisées pour accorder l'accès aux utilisateurs.

Pour de nombreuses organisations et équipes techniques, la gestion des mots de passe peut être un véritable calvaire. Les gestionnaires de mots de passe cryptés tels que LastPass et Dashlane peuvent éliminer une grande partie du fardeau et des risques liés au stockage et à la gestion des mots de passe. Malheureusement, il est toujours essentiel d'évaluer dans quelle mesure les employés sont formés contre l'ingénierie sociale.

Sécurité physique - Un niveau élevé de sécurité physique autour des biens est l'une des principales caractéristiques d'un système de sécurité de qualité. données centre. Des audits réguliers des éléments en constante évolution de la sécurité physique permettent de s'assurer que les protocoles de prévention des catastrophes, tels que l'extinction des incendies, sont toujours prêts. Ils permettent également de garder les portes bien fermées et de prendre le pouls de l'aspect le plus vulnérable d'un centre d'affaires. données au centre : l'erreur humaine. 

Vidéosurveillance - le nombre de caméras, leur emplacement et l'adhésion à la théorie des activités routinières et à d'autres théories qui expliquent le mieux les activités criminelles et les déviances.

La DMZ - L'importance de documenter la zone démilitarisée et le périmètre d'un réseau est trop souvent négligée. Où se termine votre réseau et où commence l'internet ? Où se trouvent les portes virtuelles ? Il s'agit là d'un aspect très important, en particulier lors de la mise hors service d'un réseau. centre de données ou migrer vers une infrastructure hybride en nuage. Auditer correctement les adresses IP, serveurs, serveur Les rôles, les noms d'utilisateur et les mots de passe dans le périmètre et la zone démilitarisée de votre réseau sont absolument essentiels à la sécurité de votre réseau. centre de données avant le processus de démantèlement.

Audit des centres de données dans le respect des normes

C'est du moins ce qui ressort des gros titres hebdomadaires sur les atteintes à la protection des données, la sécurité des données est difficile. Heureusement, il existe de nombreux centre de données les normes de conformité au sein de l centre de données l'industrie. Un auditeur tiers peut évaluer votre données La conformité du centre aux exigences légales en matière de certifications de sécurité essentielles. Parmi les certifications de sécurité reconnues par l'industrie, citons ISO, SSAE 18, SOC2 Type II, PCI-DSS (Payment Card Industry Data Security Standard) et - dans le secteur des soins de santé, où les certifications de sécurité sont reconnues par l'industrie, les certifications de sécurité sont reconnues par l'industrie. données Les infractions sont les plus chers en moyenne - HIPAA (Health Insurance Portability and Accountability Act). 

En l'absence de procédures d'audit appropriées, un données Le centre d'excellence aura du mal non seulement à être compétitif, mais aussi à conserver son statut de centre d'excellence. données dans un environnement de plus en plus hostile. cybersécurité monde. 

Audit des infrastructures

Les centres de données sont des organismes numériques complexes, en constante évolution. Gestion du câblage, alimentations électriques et sauvegardes redondantes, systèmes de refroidissement, systèmes de gestion des incendies et des inondations, serveur les racks et les clusters. 

Les deux éléments les plus importants d'un audit d'infrastructure sont : La carte de la topologie du réseau et l'audit des actifs.

Carte de la topologie du réseau

Il y a plusieurs façons d'écorcher un chat. C'est le cas lorsqu'il s'agit de créer une carte de la topologie du réseau. Pour cette tâche essentielle, il existe de nombreux outils gratuits et payants : Visio, Gliffy, Lucidchart, Spiceworks et PDQ Inventory.

 Audit des actifs 

Les fermes de serveurs sont le principal élément à prendre en compte pour l'audit des actifs d'un centre de données. Celles-ci s'accompagnent d'une série de considérations : 

• Combien de baies de serveurs ? 
• Quelle est la position de l'unité de rack (RU) de chaque serveur ? 
• Les configurations NetBIOS, adresse IP et DNS de chaque serveur.
• Configurations de regroupement de serveurs
• Quel est le rôle/fonction de chaque serveur et de chaque grappe de serveurs ?
• Âge, marque et modèle de chaque serveur. 
• Spécifications physiques de chaque serveur. Cela inclut : Disques durs, utilisation des quotas de disque, RAM, processeurs, cartes RAID, cartes DRAC/iLo, configurations NIC, connectivité (par exemple, fibre optique).
• Spécifications logicielles de chaque serveur, y compris : serveur nu ou virtuel, bases de données utilisées, autorisations (par exemple, groupes de sécurité Active Directory), informations sur l'assistance du fournisseur et informations diverses telles que les niveaux de correctifs.
• Routeurs, commutateurs et pare-feu - Marque, modèle, configuration IP, noms de sous-réseaux et fichiers de configuration virtuelle de chaque routeur, commutateur, pare-feu ou équilibreur de charge.

Audit de l'efficacité énergétique

Selon le ForbesÉtonnamment, les centres de données sont responsables d'environ 3% de la consommation totale d'énergie dans le monde. La technologie ne cessant d'évoluer, ce problème ne fera que s'aggraver au fil du temps. Lorsqu'il s'agit de mettre hors service un centre de données, l'audit l'efficacité énergétique est essentielle pour planifier la stratégie future de votre réseau. Quelle est la part du réseau qui doit être mise hors service ?

Une méthode standard pour mesurer la consommation d'énergie d'un centre de données consiste à calculer la consommation d'énergie d'un centre de données. Efficacité de l'utilisation de l'énergie (PUE). Ce taux est calculé pour chaque équipement en divisant la consommation totale d'énergie par la puissance moyenne de l'équipement. Cela permet d'effectuer des analyses comparatives et de suivre le taux de combustion sur une période donnée.

Audit de conception

Enfin, quel est le plan de votre centre de données ? Un audit de conception se concentre sur la conception de l'installation vue d'en haut et sur les normes industrielles applicables. Quel est le rapport coût-bénéfice de la refonte des aspects sous-optimaux de l'aménagement ?