如何管理机架密钥？

安全审核的结果是，需要锁定机架并管理密钥：

1. 保持钥匙安全
2. 记录密钥用法

满足这两个要求面临许多挑战，因为有很多可能需要访问服务器机房的sysadmin和netadmin（大约10名）。

我们正在考虑几种可能的解决方案，但是每个人都有一些缺点，主要与谁是关键主人以及在缺少此人的情况下如何保持可用性有关。

您是否锁定机架？您如何管理密钥以确保可用性和责任感？

购买钥匙保险箱，将其放入服务器机房，将钥匙保险箱的钥匙交给您信任的奴才和一个或两个有用的备用人员（友好和乐于助人的所有者，或已经信任的会计人员）与现金等）。

受信任的人是唯一锁定和重新锁定机架的人，他们将自己写在日志中。

由于保险柜在服务器机房中，因此您所拥有的任何保险都应将其覆盖。

将它们放入每个用户都有数字密码保护的密码锁盒中，然后将输入内容记录到该密码盒中。

我们没有锁服务器机架，而是锁了房间，房间在大厅的对面，从3或4个IT人员的办公室可以看到，所以没人注意到我们。

上面提到的每个人的带有密码的密码箱都是不错的选择。重新阅读问题，我看到了有关审计密钥使用的部分。我知道，密码经纪人在这里使用的密码箱可以做到这一点：每个地产经纪人都有一个向其注册的电子钥匙，密码箱记录有哪个钥匙将其打开，密码箱的所有者可以下载报告。我不认为这很便宜，但是...

我建议锁定服务器机房，而不是机架。此外，要跟踪个人访问权限，我将使用钥匙卡系统允许访问此房间。

钥匙卡对于每个人都是唯一的，并且可以进行编程以允许在一天中的特定时间和一周中的某几天访问。这使您可以进行最大程度的控制，以便某些人可以具有24/7的访问权限，而其他人则只能具有9-5的访问权限。

同样，通过这样的系统，您可以创建报告，以准确显示何时进入房间的报告，从而获得完整的审核日志。

我肯定会考虑在服务器机房门上安装密码锁-这比管理钥匙要容易得多，而且锁的价格现在相当合理。或者，您可以多花一些钱，得到一个为每个用户提供单独代码的代码，这样它将登录到房间的访问权限。

我发现机架本身保持打开状态，因为我发现它更易于使用并有助于通风。

密钥会丢失，复制且无法很好地跟踪。

我会在每个人获得自己的代码时使用组合锁来跟踪使用情况。

在以下地方工作过：

Auditcon 252

http://www.kaba.co.uk/products/auditcon-2-series-model-252.asp

还要安装一个摄像头，这样您就可以看到谁打开了什么内容以及何时打开。

如果它们是像我们这样的APC机架，则可以购买将其从钥匙锁更改为组合锁的备用机架锁。

http://www.apc.com/resource/include/techspec_index.cfm?base_sku=ar8132a

昂贵，但对我们来说值得。

这类事情有很多解决方案。我有一个朋友在一个必须管理500多个车钥匙的地方工作-不需要繁琐的技术。尝试一个地方这样。

我们不锁定机架，但也不共享服务器机房。对于受共同控制和共享的钥匙，它们位于安全房中的锁定钥匙箱中。我们将按键登录和注销。这些主要是其他配线室等的钥匙，但随后我们知道谁在何时拥有哪个钥匙，并且箱子通过自己的锁（虽然很容易被物理破坏）固定，并且通过钥匙卡访问数据中心（已记录） ）。

我们也使用钥匙保险柜。它位于小型企业运营中心和实际DC之间的一个陷阱中。要获取钥匙，您必须将其插入人员陷阱，将其插入保险箱，并完成手动扫描。然后，您进入DC。所有这些都通过视频进行监控。

我们摆脱了机架上的钥匙锁，而将电子锁插入了与我们的建筑物安全系统挂钩的电子锁。

如果有人丢失了访问卡或被解雇了，则用了不到一分钟的时间撤消了访问权限。它还为我们提供了谁打开机架以及何时打开机架的日志。以及将人员和客户的访问权限限制为仅应允许他们访问的机架。

编辑：我们做过的另一招是给我们的常规承包商访问卡，默认情况下它是禁用的，当我们打电话给他们进入工作时，NOC将在该期间启用他们的卡。挽救了他们必须先进入下一个郊区的NOC才能获得的钥匙。

标准化锁（使它们的键相同），以使它们完全相同，这样就减少了丢失键等问题。如果大多数锁匠使用相同类型的锁，则应该能够做到这一点。

机架并不安全。您可以在几秒钟内从大多数机架上卸下门，即使它们已被锁定。

您可能需要一些认证的锁，但是如果您真的想依靠它，请记住这一点。

您是否考虑过使用Rittal CMC远程解锁机架？这样，您可以审核何时打开了什么，根本不需要任何密钥。

我知道这链接会派上用场有一天Cyber​​Keys

它远远超出了我的需求，但看起来正是您想要的。

当审计师说您需要某些东西但没有建议时，您是否只是喜欢？