PDA

Bekijk Volledige Versie : Datacentrum en beveiliging



Huib
11/04/11, 18:26
Hoi,

Hoewel ik zelf mijn servers heb hangen in EvoSwitch begin ik steeds meer te neigen naar een verhuizing van een datacentrum. Ik weet natuurlijk niet hoe het in andere DC's gebeurd maar het lijkt bij EvoSwitch structureel mis te gaan.

Wij hebben servers hangen in Hal 2 en Hal 4 dat zou mijn inziens de enige 2 hallen moeten zijn waar je toegang tot krijgt. Echter is er een structureel tekort aan pasjes van Hal 2 waardoor je regelmatig een Hal 1 + 2 pas krijgt, je kan dus zonder problemen even in Hal 1 gaan kijken, andersom werkt het natuurlijk ook als je alleen in Hal 1 moet zijn kan je ook rond kijken in Hal 2.

Dit is echter niet het enige, was het maar zo'n feest vorige week hebben we geprobeerd of we ook toegang konden krijgen tot hal 3. Bij de receptie vroegen ze zoals altijd in welke hal je moet zijn waarop we antwoorden Hal 2 en 3 en zonder problemen werd een pas uitgereikt voor hal 3 zonder dat we daar ook maar iets hebben en toegang tot zouden moeten krijgen.

Het aanspreken van een medewerker met "sorry ik ben mijn sleutel vergeten maar wil geen uur terug" en de medewerker deed voor ons een willekeurig rack in Hal 3 voor ons open, en we moesten maar even melden bij de ingang wanneer deze weer op slot kan.

We kwamen om een server op te halen om thuis te herstellen, we hebben die vervolgens dus uit ons rack gehaald en mee naar buiten genomen, ook hier werd niet even gevraagd of met een formulier aangekomen.

Hoe veilig is een datacentrum als je een private rack kan laten openen in een hal waar je niet zou moeten zijn en vervolgens een server kan mee nemen zonder er een papiertje voor te hoeven invullen. Het lijkt me dat hier gewoon iets structureel mis gaat? Er is ook een e-mail hierover gestuurd naar leaseweb maar so far nog geen reactie van hun kant.

Phu
11/04/11, 18:36
Ja of ze verhuizen even je klant intern van dataroom 1 naar dataroom 2 :)

maar als het goed is word er toch nu ook bijgehouden wie en wanneer iemand in een andere rack komt ?

voorheen was dit niet het geval
er werden bij ons gewoon servers "verhuisd"
zonder onze toestemming.

Stewie
11/04/11, 18:40
Ja of ze verhuizen even je klant intern van dataroom 1 naar dataroom 2 :)
.
Hoe bedoel je dit?

Huib
11/04/11, 18:46
Ja of ze verhuizen even je klant intern van dataroom 1 naar dataroom 2 :)

maar als het goed is word er toch nu ook bijgehouden wie en wanneer iemand in een andere rack komt ?

voorheen was dit niet het geval
er werden bij ons gewoon servers "verhuisd"
zonder onze toestemming.



Een medewerker openende voor ons een private rack in hal3 zonder ook maar te vragen wie we zijn en of het ons rack was. Daarna bleef het rack ook gewoon open tot wij zouden melden dat we weg gingen.. Daar lijkt dus geen controle op te zitten?

Phu
11/04/11, 18:47
Hoe bedoel je dit?

Iets met klanten benaderen en wegjatten :)

Eflicta
11/04/11, 19:18
'k Heb 'n tijdje bij Leaseweb gewerkt, maar herken dit totaal niet eigenlijk.

Pasjes voor Hal 1 + 2 (combipassen) zou zomaar kunnen. Alle racks zitten op slot (controle door de beveiliging, X x keer dag) dus dat is geen probleem. Toegang tot racks krijg je in principe van de beveiliging alleen nadat er controle is geweest (telefoontje naar dienstdoende engineers).

Dat een medewerker je zonder vragen toegang geeft tot een rack is echter niet volgens de procedure, zeker melden bij Leaseweb/EvoSwitch (waar je klant bent) dus. Mailtje naar support@leaseweb.com of support@evoswitch.com sturen, dan krijg je 'n ticketnummer terug en daarmee kan je (de volgende dag) even bellen om te vragen hoe het staat. Vermeld even datum & tijdstip, daarmee kan men namelijk achterhalen wie er op dat moment dienst hadden!

Weghalen van servers en dergelijke is ondoenlijk om bij te houden. Er wordt zoveel in & uitgevoerd... Er zijn veel meer DCs waar dit zonder problemen kan hoor. Easynet, Schuberg Philis, DC2 (XS4ALL), NXS/Transip, TeleCity2 -> geen probleem.

Randy
11/04/11, 19:56
Het hebben van toegang tot ruimten waar je zelf niet hoeft te zijn, hoeft nog niet in te houden dat je hier ook moet zijn. Daarnaast ook nog racks (laten) openen van derden gaat nog een stapje verder... Nu zie ik hier een ticket, maar heb je deze zaak bij Security/Alex zelf voorgelegd?

Wynand
11/04/11, 20:21
De vraag of ik binnen kon in het rack waar ik in moest zijn werd mij 'ns prompt gesteld door de baliemedewerker, had toen ook gewoon "ja" kunnen antwoorden en een ander rack laten openen.. (ter zijde: ik was destijds 15-16.)

R. Persoon
11/04/11, 20:51
Toen ik zelf de verkeerde sleutel had meegenomen bij Evo ben ik 30 minuten bezig geweest met m'n ID kaart, toegangscodes en overige verificatie, dus jouw verhaal herken ik daar totaal niet in, maar het zou niet mogen in ieder geval. Wat betreft de datahal, het is inderdaad zo dat je zonder problemen een andere hal in kan, maar daar zie ik persoonlijk het probleem niet van in, sowieso moet je er soms even in als de karretjes weer op zijn e.d. en ik neem aan dat ook niet alle racks in de datahal waar je moet zijn van jou zijn :-).

In de nieuwe racks zit overigens een sensor als je goed kijkt, daarmee kunnen ze het vast zien als een rack open staat.

Huib
12/04/11, 12:19
Maar ligt het dan aan mij? Ik vind het compleet not-done dat er toegang word gegeven in datahallen waar een persoon geen toegang hoeft te hebben?

Als je het heel "fout" bekijkt is het dus mogelijk voor iemand om een 1u locatie te huren in het DC om vervolgens bij jouw servers te kloten en/of te stelen.

Er is btw nog geen reactie gekomen van Leaseweb.
W

Eflicta
12/04/11, 12:52
Maar ligt het dan aan mij? Ik vind het compleet not-done dat er toegang word gegeven in datahallen waar een persoon geen toegang hoeft te hebben?

Als je het heel "fout" bekijkt is het dus mogelijk voor iemand om een 1u locatie te huren in het DC om vervolgens bij jouw servers te kloten en/of te stelen.

Er is btw nog geen reactie gekomen van Leaseweb.
W

Tsja, misschien ben ik bevooroordeeld maar 't moet wel redelijk blijven... Toegang tot de datahallen is wat mij betreft geen probleem. Toegang tot willekeurige racks is natuurlijk absoluut not done...!

Bel Leaseweb gewoon even op met 't ticket nummer als referentie, dat werkt perfekt! :)

Phu
12/04/11, 14:09
Tsja, misschien ben ik bevooroordeeld maar 't moet wel redelijk blijven... Toegang tot de datahallen is wat mij betreft geen probleem. Toegang tot willekeurige racks is natuurlijk absoluut not done...!

Bel Leaseweb gewoon even op met 't ticket nummer als referentie, dat werkt perfekt! :)

Ervaring hier was tickets worden niet gelezen, en zouden nooit aankomen
zou aan onze mail server komen ofzo......tot gisteren opeens een vloot mails als ongelezen verwijderd werden gemarkeerd en lag echt niet aan onze mail server maar hun exhange

_____________________________________________
Van: LeaseWeb - xxxxx[mailto:xxxxx[@[leaseweb.com]
Verzonden: maandag 11 april 2011 15:35
Aan: info[@[ixxxxx
Onderwerp: Not read: xxxxxx
Urgentie: Hoog


Your message was deleted without being read on Monday, April 11, 2011 1:34:57 PM UTC.

Als je dan belt weet je al het ticket nummer niet.

Merlijn
12/04/11, 14:18
Ervaring hier was tickets worden niet gelezen, en zouden nooit aankomen
zou aan onze mail server komen ofzo......tot gisteren opeens een vloot mails als ongelezen verwijderd werden gemarkeerd en lag echt niet aan onze mail server maar hun exhange

.....


Zoals ook duidelijk op onze NOC pagina staat, alsmede dat tickets wel gewoon zijn afgehandeld. Dat heeft verder niks met het probleem van de topicstarter te maken.

@TS: als je ons (of mij per PM) even betreffende ticket nr stuurt dan kunnen we dit verder voor je oppakken en afhandelen.

adejoode
12/04/11, 14:25
________________
Van: LeaseWeb - xxxxx[mailto:xxxxx[@[leaseweb.com]
Verzonden: maandag 11 april 2011 15:35
Aan: info[@[ixxxxx
Onderwerp: Not read: xxxxxx
Urgentie: Hoog


Your message was deleted without being read on Monday, April 11, 2011 1:34:57 PM UTC.

Als je dan belt weet je al het ticket nummer niet.

Voor een verklaring over deze technische omissie zie onze NOC posting:
http://www.leasewebnoc.com/status.php?i=616

Betreffende de toegang: dit kan niet en dit mag niet. Zou je me kunnen mailen of bellen zodat ik kan kijken waar het procedureel precies is misgegaan en maatregelen kan nemen om te zorgen dat dit in de toekomst niet nogmaals kan gebeuren ?

email: a.dejoode@leaseweb.com
phone: 06-1188.0685

Met vriendelijke groet,

Alex de Joode
Security Officer, LeaseWeb BV

Huib
14/04/11, 10:09
Ik heb je een e-mail verzonden met meer details

R. Persoon
16/04/11, 16:48
De mail voor toegang tot Evoswitch is veranderd;


To gain physical access to your server, you are requeired to open the rack where your
server is located yourself, so please make sure you have your key/access code with you.
For security reasons, we will not open the rack for your. These measures do not apply
to our shared colocation customers.

Lijkt me geen toeval. Wel balen als je je sleutel vergeet, dan kan je mooi terug. Wel goed dat er direct actie ondernomen wordt.

Huib
19/04/11, 14:07
Ik heb wel een e-mail terug gehad met een reactie van de persoon die hier in de discussie reageerde.

Alleen mijn collega kreeg gisteren weer een combi-pas, hoe moeilijk kan het zijn om gewoon een paar passen bij te maken? :-s

erik12321
19/04/11, 14:43
Ik vind het wel zorgwekkend!

Wynand
19/04/11, 14:43
Nu zie ik eigenlijk niet direct het gigantische probleem van toegang tot een hal waar je niks te zoeken hebt.. In je eigen hal staan er toch ook massa's racks waar je niks te zoeken hebt..?
En als je dan is een kvm karretje extra nodig hebt..

The-BosS
19/04/11, 14:47
Ik heb wel een e-mail terug gehad met een reactie van de persoon die hier in de discussie reageerde.

Alleen mijn collega kreeg gisteren weer een combi-pas, hoe moeilijk kan het zijn om gewoon een paar passen bij te maken? :-s

Of in ergste geval kan iemand van de security je ook binnen laten en je bvb gsm nummer geven waarop je hem kan bellen als je naar buiten moet of iets moet halen (en in het geval je geen gsm hebt kunnen ze je nog een dect ofzo meegeven). Trouwens situatie waar ik het over heb wordt in een paar datacenters die ik ken zo toegepast wanneer er geen badges meer zijn.

Nu is de grote vraag natuurlijk is het erg dat je in een andere zaal binnen kunt, ja in het geval hier enkel racks staan en geen cages. En er dan nog iemand van de security een rack open doet op je aanvraag als het jouw rack niet is. Nee het is niet erg in het geval de zaal uit cages bestaat, enige wat je dan kunt doen is even rond kijken.

digitalvibes
02/05/11, 23:07
Dat zal niet de eerste keer zijn ;)


Iets met klanten benaderen en wegjatten :)

Tim.Bracquez
02/05/11, 23:57
Trouwens situatie waar ik het over heb wordt in een paar datacenters die ik ken zo toegepast wanneer er geen badges meer zijn.
Of in sommige DC's krijg je een loper waar je overal mee binnen kan. Zelfs bij de patch kasten...
Maar dan nog... moet je dat doen!? Ze weten zoizo wie er binnen komt, hangen camera's... dus ze weten je wel te vinden.

Thijsvdbrink
03/05/11, 00:38
Ik ben ook klant daar, en ik moet zeggen, gaat allemaal prima daar.

Datahalruimte moet beperkt zijn, maar als je in elke hal 1U huurt, kun je ook overal bij.

Overal camera's dus sabotage is wel mogelijk, maar niet ongemerkt.

Als er datacenters zijn die ook 27001 en 9001 gecertificeerd zijn, die dit beter doen (voor ongeveer dezelfde prijs) dan hoor ik het graag.