第一步是使用一个安全的设施来仔细控制访问。除此之外，锁定机架可能是最好的选择之一。只要您知道不需要使用或更改端口，控制端口中的超级胶水也可以很好地工作。机箱锁等。其中很多实际上归结为信任数据中心来提供外层安全性。如果有人真的想要，其他人可以访问的房间中无人看管的硬件可能会被闯入。

虽然它不会阻止物理访问，但您还可以执行诸如日志机箱入侵（如果您有传感器）和硬件状态的任何更改之类的事情。不过，了解您的硬件的细心攻击者也可以解决这些问题。

如果你真的需要完全控制，那么你也需要完全控制物理环境。

取决于数据中心本身（大小、设置）、您选择的设置和数据中心的 SLA。基本上，选项是物理控制和组织控制。

• 物理：您在数据中心拥有自己的机架或区域，并带有锁，没有钥匙就无法进入
• 组织性：您没有自己的物理访问权限，但数据中心通过不允许任何未经授权的访问（即您授权访问您的服务器的人）来限制对您的服务器的访问这可能是安全警卫、访问控制（例如徽章或生物识别）由数据中心维护的扫描等。

当然，数据中心人员仍然可以访问（除非您也将自己的机架放在那里）。

标准物理访问控制

敏感服务器受益于适用于任何其他敏感项目的相同控件：

• 仅限授权人员 - 带有服务器的房间应该有有限的访问权限，由电子徽章锁和/或物理警卫强制执行。
• 知道谁以及何时可以访问——进入机制应该知道谁进入以及何时进入，这意味着个性化的徽章，而不是物理钥匙或钥匙代码；如果使用了警卫，则应记录谁进入以及何时进入；当然，视频监控应该显示进入者的面孔，这对于被盗/借来的徽章很重要。
• 仅在必要时访问 - 带有服务器的房间通常应该是空的，而不是一直在“照常营业”的人。
• 分区访问 - 有权访问数据中心的人不应该有权访问所有数据中心。例如多租户数据中心中使用的一种常见方法是让数据中心运营商为每个人处理上述安全规则，但在您的机架上设置物理锁，这样与您同处一地的人就不能随便访问您的机架。他们可能会打破锁，但这是可以检测到的，并且与访问控制措施一起导致该人不可避免地被捕。

服务器特定控件

• 异地日志记录 - 您想要一个与服务器不在同一位置的仅附加日志记录服务；因此，在删除日志的同时不能轻易地对服务器进行物理妥协。
• 持续监控 - 如果有人物理重启您的服务器，这是某些攻击的必要条件，您希望立即知道这一点。与上述监控一起，这将使您知道是谁做的，如果是您的授权操作员，并且有正当理由。
• 机架监控 - 由于您的机架硬件应该很少更改，您可以通过两台便宜的摄像机（一台在前面，一台在机架后面）和标准的变化感应视频软件来监控物理攻击；除非您的管理员安装新硬件或更换硬件，否则那里不应有任何移动。

检测代替预防

您可能已经注意到，上面列出的措施实际上并不能阻止坚定的攻击者或恶意内部人员获取您的服务器，但是，它们确保任何此类行为或尝试都可能被检测到并与这样做的人相关联。通常这足以阻止潜在的攻击者或恶意内部人员。

但是，如果潜在收益足够高 - 如果攻击者可以从一次成功的妥协中获得数百万或更多（而不是导致您损失数百万或更多，这是一个低得多的障碍），那么标准方法是确保任何此类行为即使对于单个授权人也是不可能的，需要多个内部人员的合作或损害多个人。这具有使正常操作更加麻烦和昂贵的缺点。