Data center và server room là tài sản vật lý quan trọng nhất của doanh nghiệp số — một lần xâm nhập trái phép có thể dẫn đến rò rỉ dữ liệu hàng triệu khách hàng, vi phạm ISO 27001, và thiệt hại uy tín không thể phục hồi. KSRV cho môi trường này không chỉ là đầu đọc thẻ — mà là hệ thống đa lớp với anti-passback, mantrap, 2-factor, và audit log đạt chuẩn kiểm toán.
Kiến trúc KSRV đa lớp cho data center
Thiết kế KSRV data center theo nguyên tắc Defense in Depth — nhiều lớp bảo vệ độc lập, phá vỡ một lớp không đủ để xâm nhập vào lớp tiếp theo.
Lớp 1: Perimeter — Tòa nhà / Tầng
KSRV tòa nhà hoặc tầng nơi data center đặt. Chỉ nhân viên IT, security, và vendor được cấp phép mới được vào tầng. Face ID hoặc thẻ HID Signo — không cần 2-factor ở lớp này.
Lớp 2: Data Hall Entry — Cửa phòng máy chính
2-factor bắt buộc: face ID + PIN 6 chữ số. Mantrap (airlock) cho data center Tier 3–4: camera trong khoang xác nhận chỉ 1 người, cân (optional) để phát hiện tailgating, cửa 2 chỉ mở sau khi cửa 1 đóng hoàn toàn. Hard anti-passback: phải ra mới được vào lại.
Lớp 3: Cage / Row / Cabinet Lock
Tủ rack hoặc cage riêng cho từng tenant/khách hàng. Khóa điện với đầu đọc thẻ hoặc face mini. Mỗi lần mở tủ rack ghi log đầy đủ — quan trọng cho multi-tenant data center cần chứng minh cách ly vật lý với khách thuê.
Anti-passback — Tính năng không thể thiếu
Tailgating (lợi dụng người khác mở cửa để lọt vào theo) là rủi ro hàng đầu của data center. Anti-passback loại bỏ khả năng này:
Soft APB (cảnh báo)
Hệ thống cho phép qua nhưng ghi log cảnh báo. Phù hợp cho giai đoạn triển khai ban đầu khi nhân viên chưa quen quy trình.
Hard APB (từ chối cứng)
Credential bị từ chối nếu logic vào/ra không nhất quán. Nhân viên phải ra qua cửa ra (có đầu đọc) mới được vào lại. Áp dụng cho phòng máy chính của data center từ ngày đầu.
Timed APB
APB reset tự động sau N phút. Dùng cho khu vực mà nhân viên cần vào/ra nhiều lần liên tiếp (phòng kỹ thuật lắp đặt) — giảm friction mà vẫn kiểm soát được.
Mantrap — Kiểm soát vật lý tuyệt đối
Mantrap là biện pháp chống tailgating mạnh nhất, bắt buộc với data center Tier 3–4 và nhiều tiêu chuẩn như SSAE 18, SOC 2, PCI DSS. Cấu trúc:
- Khoang đệm 1,5m × 1,5m hoặc 1,2m × 2m, đủ rộng cho 1 người và trolley thiết bị
- Camera hồng ngoại phát hiện nhiều người trong khoang — tự động từ chối mở cửa 2
- Cân sàn (optional): phát hiện nếu trọng lượng >120kg (2 người trung bình)
- Toàn bộ quá trình trong mantrap được ghi hình và lưu
Phân quyền theo role và nguyên tắc Least Privilege
ISO 27001 yêu cầu quyền truy cập tối thiểu — mỗi người chỉ có quyền vào đúng khu vực cần thiết cho công việc:
- System Admin: Vào được toàn bộ data hall trong giờ làm việc
- Storage Engineer: Chỉ vào được khu vực storage, không vào network rack
- Vendor / Contractor: Quyền tạm thời trong khung giờ cụ thể, hết giờ tự động vô hiệu
- Security Guard: Vào được hành lang và khu SOC, không vào data hall
- Auditor (bên ngoài): Escort access — phải có nhân viên IT đi kèm, không tự vào một mình
Audit log cho ISO 27001 và SOC 2
Audit log KSRV phải đáp ứng:
- Lưu ít nhất 1 năm on-site, 3 năm offsite (ISO 27001 khuyến nghị)
- Tamper-proof: không thể sửa/xóa bởi admin thường
- Export format: CSV hoặc syslog tương thích SIEM (Splunk, ELK, QRadar)
- Alert real-time: cảnh báo khi phát hiện unauthorized access attempt, tailgating, cửa để lâu không đóng
- Báo cáo tự động hàng tuần cho Security Manager
Chi phí thiết kế và triển khai
- Server room nhỏ (1 cửa, <20m²): 30–60 triệu đồng (2-factor + camera)
- Data center colocation (5–10 cửa, cage lock): 150–300 triệu đồng
- Data center Tier 3+ (mantrap + đa lớp đầy đủ): 300–700 triệu đồng
Data center hoặc server room của bạn cần đạt chuẩn ISO 27001 hoặc SOC 2? An Ninh Số thiết kế KSRV đa lớp theo đúng yêu cầu kiểm toán — cung cấp đầy đủ tài liệu kỹ thuật cho auditor. Liên hệ đội giải pháp enterprise.