对于组织和个人来说，数据是私有的，但数据中心通常是共享的。这是托管数据中心服务提供商必须面对的安全问题。

许多企业希望将业务转移到云端，但其内部部署数据中心仍有大量的IT资源。为了使业务更容易处理，企业通常将其转移到托管数据中心。2017年，业内制造商Vertiv的一项调查发现，57%的企业计划增加数据中心的外包服务。Technavio的研究预测，到2022年，托管数据中心市场将以9%左右的速度增长。

与此同时，大多数云平台实际上都在托管数据的中心空间运行，像AWS这样的云计算巨头使用大量的共享设施来填补覆盖范围的空白。

对于客户来说，托管数据中心行业降低了投资成本，扩大了规模，实现了有效的地理分布。但也有一个缺点：租户必须信任负责托管硬件和数据的托管服务提供商，并且必须知道托管数据中心也可能遭受潜在的攻击。

英国北北部总经理quiseloinilxRole说:

托管数据中心供应商的高度优先权

托管数据中心发生的安全事件对客户的影响和危害就像发生在自己拥有和运营的数据中心一样。但对于受影响的托管数据中心服务提供商来说，安全故障可能更尴尬，因为这代表了其核心业务的失败。

托管数据中心服务商C I Host公司位于芝加哥托管的托管数据中心在2005年至2007年期间发生四起盗窃事件，盗窃者盗窃了该数据中心价值数万美元的服务器。2018年12月，澳大利亚电信提供商Vocus公司遭到客户投诉，指出该公司一个数据中心设施的大门几个月都对外开放。除了盗窃物理基础设施外，未经授权的服务器访问还让入侵者窃取数据或更改在该硬件上运行的数据和进程。

虽然这两家公司仍在经营托管数据中心业务，但如果不能保证数据中心设施和设备的安全，就会造成毁灭性的后果。即使其服务条款在安全事故责任方面是无可挑剔的，失去信任也很容易导致客户流失，尤其是在市场竞争激烈、服务提供商众多的情况下。

Poole说，数据中心在防止全球业务企业一夜之间陷入困境中起着至关重要的作用。安全漏洞的隐患不仅对托管数据中心服务提供商的声誉产生灾难性影响，也对租户的声誉产生灾难性影响。

独特的挑战

托管数据中心也面临着企业内部署数据设施的所有安全问题。然而，由于多个租户提供服务，租户可能随时访问数据中心，他们面临着另一个挑战。

数据中心建筑最好不要设置标志和广告，这样可以减少意外或不受欢迎的访客进入的机会。外围栏、通用警告标志和最小出入口将有助于防止不良居心人员进入。警卫、屏障、监控系统（如闭路电视）和潜在访问控制（如钥匙卡）将控制和减少进入数据中心设施的人数。

然而，内部安全是确保数据中心外围安全的关键。与企业拥有和运营的数据中心相比，外来人员进入意味着数据中心员工应保持高度警惕，并采取更严格的控制措施。他们可能习惯于看到陌生人在数据中心设施内进行看似无害的工作，但实际上可能是对租户或设施的攻击者。

当被问及租赁托管数据中心客户面临攻击方法的示例时，渗透测试制造商Secarma的技术总监hollygracewillliams表示，有效的方法是租用同一数据中心设施的空间。

他说，如果有人想攻击托管数据中心的设施或租户，他可以租用数据中心的空间并获得访问权限。然后尝试使用和攻击数据中心其他租户的设备；如果发现机架笼没有锁定，只有时间窗口，U盘可以插入服务器端口窃取数据。正因为如此，关键是托管数据中心的服务提供商需要对客户进行适当的细分，并对员工进行监控和培训。托管数据中心的服务提供商应建立一个只能允许一个人通过的狭窄通道，并在托管数据中心使用一个可以与机架和房间分开的坚固网笼。

托管数据中心的服务提供商应具有防篡改机制，以检测客户的机架何时打开，并与监控系统集成。其监控系统可立即告知租户员工是否在场，以及撬锁和强行打开笼子。

他说，托管数据中心服务提供商的团队需要密切关注在设施中工作的员工，以确保他们只能使用自己的工具箱，如果租户公司的员工没有打开机架，他们将立即采取行动。

外部人员进入数据时，应使用生物特征识别和密钥卡等访问控制设备，并记录某人何时去哪里。内部监控设施（如闭路电视和摄像头）也应覆盖整个设施，并配备全天候值班人员。

Equinix公司的Pole建议当潜在租户访问数据中心评估其适用性时，他们应该问自己如果我忘记了通行证，进入这里会有多困难？答案应该是禁止进入。

他解释说，如果有人需要进入Equinix的数据中心，他只能通过预约访问和一系列安全措施（如生物特征识别、指纹读取器等）来控制人员，这些读取器可以从加密的数据库中识别指纹和权限。

他说，一旦有人进入，训练有素的安保人员将要求他们签字并进行视觉确认，以确保只有授权访问者才能进入。数据中心使用数百个摄像头和手持读取器进行监控，为关键基础设施和所有客户提供详细的监控和归档。

数据中心的安全人员和工作人员应接受良好的培训，并意识到社会工程的潜在风险。如果现场工作人员轻视常规流程，让未经许可的人员进入，所有的控制和防御措施都将失败。因此，有必要确保员工有足够的信心，即使在压力面前，他们也能遵守规定，敢于提出问题或仔细检查不确定性，并对不良行为保持警惕。

托管数据中心服务提供商和租户进行的定期渗透测试，不仅可以保证安全控制措施的正确实施，有效发挥作用，还可以发现潜在的漏洞或不足。同样，鼓励租户自行检查，确保数据中心的安全符合他们的期望或要求。

Secarma的Willliams解释说:安全的托管数据中心和非常安全的托管数据中心是有区别的，但大多数人不会根据直觉来区分，而是根据一些合规性或监管法规来区分。