Phương diện để xét một trung tâm dữ liệu tiêu chuẩn là gì?

posted in: Tin tức | 0

Trung tâm dữ liệu đang mọc lên như nấm. Nhưng liệu tất cả các trung tâm dữ liệu đều đạt tiêu chuẩn? Vậy những phương diện để xét một trung tâm dữ liệu tiêu chuẩn là gì?

Phương diện để xét một trung tâm dữ liệu tiêu chuẩn là gì?

Tính khả dụng

Cơ sở hạ tầng mạng của Trung tâm Dữ liệu được hỗ trợ dưới dạng dịch vụ 24×7 thông qua nhóm Hoạt động Mạng CoreTech. Leo thang được cung cấp thông qua các hoạt động của Trung tâm dữ liệu và vòng quay vòng cuộc gọi của nhóm NOPS.

ITS có cửa sổ bảo trì vào các ngày thứ Ba và thứ Năm, từ 5-7 giờ sáng và Thứ Năm từ 7 giờ chiều đến 12 giờ trưa. Thông báo ít nhất hai tuần sẽ được cung cấp trong trường hợp không chắc chắn rằng việc bảo trì dự kiến ​​sẽ dẫn đến việc cúp dịch vụ. Các cửa sổ bảo trì được chuẩn hóa sẽ được sử dụng để sửa chữa, cài đặt, nâng cấp, thử nghiệm và các quy trình và thủ tục khác có thể gây hạn chế hoặc không có quyền truy cập vào tài nguyên hệ thống CNTT. Để bảo trì theo kế hoạch, Trung tâm Dữ liệu UCSC tuân theo Quy trình Quản lý Thay đổi ITS và các thay đổi được lên kế hoạch được đăng trên Lịch Bảo trì ITS .

Mạng chuẩn

Trung tâm Dữ liệu UCSC cung cấp các mạng 1Gbps tiêu chuẩn, cả tường lửa và không tường lửa. Các trung tâm dữ liệu VPN cung cấp quản trị với một phương pháp an toàn để truy cập máy chủ phía sau tường lửa. Thông tin thêm về mạng Trung tâm dữ liệu chuẩn có sẵn tại đây .

Trung tâm dữ liệu có các tiêu chuẩn cáp vật lý để  đảm bảo tính nhất quán giữa các tủ; để đơn giản hóa xử lý sự cố cho mạng, các hoạt động và các nhóm quản trị máy chủ; và để đảm bảo luồng không khí tốt trong tủ. Có thêm thông tin ở đây .

Mạng tùy chỉnh

Trung tâm dữ liệu cũng có thể cung cấp các mạng tùy chỉnh cho các khách hàng yêu cầu mạng tốc độ cao hơn và có thể cung cấp các mạng được tường lửa tùy chỉnh cho các khách hàng có các yêu cầu bảo mật cụ thể.

Địa chỉ IP máy chủ

Các máy chủ trong Trung tâm Dữ liệu phải được cấu hình cho các địa chỉ IP tĩnh. Trung tâm dữ liệu thường không sử dụng DHCP cho máy chủ.

Sử dụng Yêu cầu dịch vụ ITR này để yêu cầu địa chỉ IP tĩnh.

Chọn dịch vụ cho “Bản ghi DNS mới và IP cố định”.

Nhập tên máy chủ mong muốn của bạn và mạng mục tiêu từ liên kết ở trên (đặt tất cả các số 0 trong trường cho địa chỉ MAC). Chỉ rõ trong trường “Lý do cho yêu cầu này” mà trường này dành cho máy chủ lưu trữ trong Trung tâm dữ liệu. Yêu cầu dịch vụ ITR tương tự có thể được sử dụng để yêu cầu một bí danh DNS (CNAME) cho máy chủ lưu trữ của bạn.

Cấu hình máy chủ: DNS, NTP và quản lý nhật ký

DNS

Các hệ thống nằm trong Trung tâm Dữ liệu UCSC nên được cấu hình để sử dụng các máy chủ DNS của trường. Các máy chủ DNS của trường được xây dựng với các bảo vệ an ninh cơ sở hạ tầng, được tùy chỉnh cho môi trường UCSC, không có sẵn thông qua các nhà cung cấp DNS khác.

Phương diện để xét một trung tâm dữ liệu tiêu chuẩn là gì?

Các máy chủ DNS của trường là:

– ns1.ucsc.edu: 128.114.142.6

– ns2.ucsc.edu: 128.114.129.33

NTP

Các hệ thống nằm trong Trung tâm Dữ liệu UCSC nên được cấu hình để sử dụng các máy chủ NTP của trường. Điều này đảm bảo rằng dấu thời gian trong nhật ký của bạn được đồng bộ hóa cho sự tương quan và khắc phục sự cố.

Các máy chủ NTP của trường là:

– ntp1.ucsc.edu: 128.114.129.77

– ntp2.ucsc.edu: 128.114.1.77

– ntp3.ucsc.edu: 128.114.103.81

Quản lý nhật ký

Các hệ thống nằm trong Trung tâm dữ liệu UCSC nên được thiết lập để gửi các bản ghi hệ thống đến máy chủ của đội an ninh thông tin của trường để theo dõi và tương quan.

Nhóm bảo mật thông tin có thể xử lý nhiều loại nhật ký hệ thống, cũng như nhật ký máy chủ web từ Apache, IIS và các nền tảng khác.

Vui lòng xem lại hướng dẫn Dịch vụ quản lý nhật ký để  biết thông tin cụ thể và cấu hình ngoài các thông tin cơ bản được cung cấp bên dưới:

Định cấu hình phần mềm đại lý syslog-ng, rsyslog hoặc Windows để chuyển tiếp

– IP: 128.114.111.196

– CẢNG: 514 UDP / TCP

Thông tin bổ sung

– Cổng ENCRYPTED: 6514 TCP

– Định dạng: syslog / CEF

– Chấp nhận nhật ký từ bất kỳ địa chỉ trường nào trong 128.114.0.0/16

Nếu bạn gặp vấn đề hoặc thắc mắc khi gửi, vui lòng tạo một vé ITR và sử dụng từ khóa SIEM.

Xem thêm: Cho thuê trung tâm dữ liệu

Tiêu chuẩn cảng

Các máy chủ trong Trung tâm dữ liệu phải được cấu hình để sử dụng các cổng tiêu chuẩn cho các dịch vụ như HTTP (cổng 80), HTTPS (cổng 443) và SSH (cổng 22). Điều này cải thiện khả năng khắc phục sự cố, theo dõi, báo cáo hoạt động mạng và duy trì cấu hình máy chủ chuẩn một cách hiệu quả.

Đối với các máy chủ được tường lửa, tất cả các truy cập của quản trị viên (RDP, SSH, VNC) nên đi qua VPN Trung tâm dữ liệu.

Tham chiếu cổng tiêu chuẩn đã đăng ký

– Cơ quan thẩm định số điện thoại Internet (IANA): http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

– Internet Task Task Force (IETF): https://www.ietf.org/assignments/service-names-port-numbers/service-names-port-numbers.txt

Quy trình ngoại lệ của một trung tâm dữ liệu tiêu chuẩn là gì?

Các ngoại lệ đối với việc sử dụng các cổng tiêu chuẩn yêu cầu sự chấp thuận từ Trình quản lý trung tâm dữ liệu và Trình quản lý bảo mật. Để yêu cầu một ngoại lệ, hãy làm theo quy trình yêu cầu quy tắc tường lửa (bên dưới).

Yêu cầu quy tắc tường lửa

Yêu cầu quy tắc tường lửa và các thay đổi khác đối với mạng Trung tâm dữ liệu, được xem xét hàng tuần bởi các đại diện từ nhóm Trung tâm dữ liệu, Ứng dụng, Mạng và Bảo mật cơ sở hạ tầng.

Đánh giá hàng tuần này sẽ cung cấp một cơ chế để khái quát hóa các quy tắc và thực hiện các đối tượng nhóm, để chúng ta có thể giảm nhu cầu về nhiều quy tắc điểm-điểm.

Quá trình này được định nghĩa chi tiết hơn trong bài viết KB (nội bộ) này.

Để yêu cầu các quy tắc tường lửa bổ sung hoặc yêu cầu loại bỏ quy tắc tường lửa, hãy mở một vé trong Yêu cầu CNTT như sau:

– Dịch vụ = “Dịch vụ tường lửa”

– Sys / App (CI) = “Trung tâm dữ liệu tường lửa” (hoặc chỉ sử dụng Keyword = “Data Center Firewall”)

Trong vé ITR, chỉ định yêu cầu quy tắc tường lửa theo định dạng sau:

– SOURCE = tên máy chủ [địa chỉ IP]

– DESTINATION = tên máy chủ [địa chỉ IP]

– PORT (S) = liệt kê (các) cổng riêng lẻ hoặc phạm vi cổng

– PROTOCOL = TCP và / hoặc UDP

Để trợ giúp quá trình xem xét và phê duyệt:

– Làm bao gồm một hoặc hai câu về nền cho yêu cầu.

– Không yêu cầu các quy tắc có “bất kỳ” cho DESTINATION.

– Không yêu cầu các quy tắc với “bất kỳ” cho PORT.

– Không yêu cầu quy tắc cho các máy chủ trên cùng một mạng con. Tường lửa dựa trên máy chủ có thể cần được quản trị viên máy chủ cập nhật, nhưng tường lửa của Trung tâm dữ liệu sẽ không thấy loại lưu lượng truy cập này.

– Không bao gồm quyền truy cập cho người dùng VPN Trung tâm dữ liệu dưới dạng quy tắc tường lửa thông thường. Quyền truy cập cho người dùng VPN Trung tâm dữ liệu sẽ tự động chuyển đổi, dựa trên thành viên nhóm DC-VPN của người dùng.

Bình luận