System4U
facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT security , IT Security

Bezpečnost v datových centrech?

Vždy až na prvním místě



Master InternetFyzické zabezpečení datového centra není levnou záležitostí a pro většinu českých firem jsou podobné investice pro ochranu serverů takřka nemyslitelné. Na rozdíl od profesionálních datových center. V následujícím textu si přiblížíme jak jsou chráněny budovy, v nichž sídlí datacentra, tedy základní principy zajištění jejich fyzické a síťové bezpečnosti.


Přístup k datovému centru

Jak se dostat do datového centra? U solidních poskytovatelů nehrozí, že byste vešli nezpozorováni. Na místě je čtyřiadvacet hodin denně přítomna jak ostraha budovy, tak obvykle i pracovníci technické podpory, kterým neunikne žádný pohyb. Přístup do datových sálů je navíc omezen pouze pro pověřené osoby, evidován a často i nahráván na bezpečnostní kamery se záznamem.

Samotné sály se obvykle nachází hluboko (či naopak vysoko) uvnitř budovy, což snižuje riziko snadného přístupu nežádoucích osob zvenčí. Výjimkou není ani kontrolovaný přístup do jednotlivých serveroven, pokud jich datové centrum provozuje v budově několik, což bývá zvykem. Dovnitř datacentra zákazník nikdy nevchází sám, ale je po předložení identifikačního průkazu vpuštěn obsluhou.

Bezpečnostní dveře jsou nutností a naprostým standardem. Autentizace je však vždy vícefaktorová. Každý z poskytovatelů tuto oblast řeší jinak, nicméně dnes se v některých datacentrech můžeme setkat i se čtečkami oční sítnice či krevního řečiště, které byly ještě donedávna výsadou spíše sci-fi filmů.

Chlazení

Součástí fyzického zabezpečení je i chlazení prostor a odvod teplého vzduchu ohřátého servery. Zatímco ve firemních serverovnách se běžně k chlazení používá takzvaná komfortní klimatizace – tedy ta, kterou známe z kanceláří – v profesionálních datacentrech by podobná technologie zdaleka nedostačovala. Přesná klimatizace (precision cooling) určená pro náročné provozy dokáže přesně zajistit rozsah teplot a vlhkosti. 

Obr. 1: Součástí fyzického zabezpečení je i přesné chlazení prostor, odvod teplého vzduchu ohřátého servery a zajištění požární ochrany.
Obr. 1: Součástí fyzického zabezpečení je i přesné chlazení prostor, odvod teplého vzduchu ohřátého servery a zajištění požární ochrany.


Požární ochrana

Nainstalován obvykle bývá i některý z typů hasicího systému. Typickým zástupcem je inertní plyn FM-200, ale levnější alternativou hasicího média mohou být systémy s demineralizovanou vodou nebo třeba dusíkem. Vždy se dbá nejen na hardware zákazníků, ale také zdraví zaměstnanců a dopad na životní prostředí. Myslím, že z uvedeného už začíná být všem jasné, že podobné úrovně zabezpečení lze ve firemní kanceláři jen obtížně dosáhnout. A jsou to právě obyčejné kancelářské místnosti vybavené běžnou klimatizací a práškovým hasicím přístrojem, které doposud mnohá IT oddělení využívají jako své provozní serverovny.

6 nejzajímavějších datových center ve světě z hlediska fyzického zabezpečení:

Bahnhof Pionen White Mountains (Stockholm, Švédsko) - Jedno z datacenter švédské společnosti Bahnhof sídlí v bývalém protiraketovém bunkru z období studené války. Kromě standardního systému UPS pro kontinuální napájení disponuje i dvěma ponorkami Maybach, které slouží jako zdroje záložní elektrické energie.

Green Mountain DC1 (Stavanger, Norsko) - Datacentrum sídlící v bývalém podzemním muničním skladu NATO na malém ostrově v Norsku. Jednou ze zajímavostí je způsob chlazení, ke kterému je v tomto datacentru používána voda z hloubky až 75 metru. Budova je navíc vzduchotěsná, hladina kyslíku je udržována na 15 %, což zabraňuje vzniku požárů.

CyberBunker (Goes, Nizozemí) - Další perlička z datacenter běžící ve vyřazeném bunkru NATO. Bývalý bunkr je navržen a konstruován tak, aby jeho personál dokázal zajistit provoz po dobu až 10 let bez jakéhokoli kontaktu s vnějším světem.

Deltalis Radixcloud (Švýcarsko) - Datacentrum v jeskyních vytesaných do skal uprostřed švýcarských Alp. Jedno z nejlépe zabezpečených datových center na zemi. Sídlí v bývalém velícím a řídicím centru švýcarského letectva. Dokonce ani jeho přesná adresa není veřejně známa.

Iron Mountain (Pennsylvánie, USA) - Jediný zámořský zástupce ve výběru nejzajímavěji zabezpečených datacenter. Jen samotný vstup do datacentra je chráněn 3tunovými železnými vraty. O chlazení se stará voda z podzemního jezera a na provoz dohlíží více než 2700 zaměstnanců.

Barcelona Supercomputing Center (Barcelona, Španělsko) - Superpočítač Mare Nostrum pro výzkum genomu běží z datového centra přímo posvátného. Budova je totiž odsvěcenou kaplí.

Síťová bezpečnost

Moderní datové centrum, to ale není jen opevněná budova s nonstop přítomnou ochrankou před vchodem a čtečkou krevního řečiště. Do samotného nitra serveroven vedou i další cesty - skrze datové kabely. Součástí zabezpečení moderních datacenter tak musí být kromě výše popsané fyzické i síťová bezpečnost. Tento balík zahrnuje jak notoricky známý antivirus, tak firewall, systémy prevence narušení sítě (IPS/IDS) nebo různé stupně ochrany před nechvalně proslulými DDoS útoky. Patří sem ale i redundance všech aktivních síťových prvků a připojení z několika nezávislých přípojek s dostatečnou přenosovou kapacitou.

Základním stavebním kamenem bezpečné sítě je firewall, který je v základní verzi dostupný na úrovni operačního systému. Firewall kontroluje a filtruje síťový provoz, je schopný zachytit útoky na známé chyby, ale poskytuje i základní ochranu před útoky. Firewally nové generace (UTM) v sobě kombinují i další funkce, například IPS/IDS (detekce a prevence průniku), email filtry a další. 

Obr. 2: Pro zajištění síťové bezpečnosti je nutná redundance všech aktivních síťových prvků a připojení z několika nezávislých přípojek s dostatečnou přenosovou kapacitou.
Obr. 2: Pro zajištění síťové bezpečnosti je nutná redundance všech aktivních síťových prvků a připojení z několika nezávislých přípojek s dostatečnou přenosovou kapacitou.

Správci sítí se v poslední době potýkají i s DDoS útoky. Administrátoři v datových centrech na rozdíl od správců firemních sítí mají tu výhodu, že robustní sítě, s příslušnou ochranou, jsou schopny řešit a pohlcovat útoky až do výše propustnosti páteřních datových linek. Logicky čím robustnější síť s vyšší propustností, tím masívnější útok je schopna rozmělnit. To vše ovšem pouze za předpokladu, že na perimetru je instalováno zařízení podobné firewallu filtrující síťový provoz. A co podobná zařízení odlišuje od firewallu? Zařízení se učí statistický profil provozu sítě a serverů. Při odchylkách v případě útoku jsou schopna tento útok nejen automaticky rozpoznat, ale vygenerovat i dynamickou signaturu a DDoS útok zablokovat.

Jak lze i malými krůčky zvýšit bezpečnost firemní serverovny?

Evidence přístupu - Pečlivě veďte evidenci zaměstnanců, kteří mohou k serverům přistupovat.

Systém pro hašení požárů - Úplně základní věc, ale i na ni mnoho firem zapomíná.

Stálá teplota a chlazení - Servery vydávají teplo, které může v letních měsících vést k jejich přehřátí. Mějte proto teplotu pod

kontrolou. 

Firewall - Pro začátek nastavte alespoň základní stavový firewall na úrovni operačního systému.

Pozor na odchylky - Monitorujte příchozí a odchozí datový tok. Jedině tak máte šanci odhalit odchylky od průměru.

Updaty, updaty - Důsledně updatujte, neodkládejte jejich provádění na později. Neprovozujte firemní infrastrukturu na deset let starém operačním systému.

Pouze profesionální komponenty - Zapomeňte na levné prodlužovací kabely. Byla by škoda vyhořet kvůli pár ušetřeným stokorunám.

Pozor na hesla - Vždy změňte implicitní přihlašovací údaje, a to včetně přístupových hesel. Nikdy také nepoužívejte jedno a to stejné heslo do všech aplikací.

Nebezpečí nemusí přijít zvenku…

Firmy svá data často až přehnaně chrání před konkurencí, před vniknutím nežádoucích osob zvenčí. Snaží se fyzickým zabezpečením přiblížit úrovni datacenter. A zapomínají při tom, že nejčastěji jsou to právě stávající zaměstnanci, kteří představují potenciálně největší hrozbu pro firemní data. Lidský faktor je slabým místem mnoha IT oddělení.

Jak tedy čelit útokům z vlastních řad? Kompletní kontrolu nad systémy by neměl mít jen a pouze jeden člověk. Vždy je dobré rozdělit administrativní pozice mezi více lidí. Další z možností je i outsourcing. Přenecháním starostí o IT zkušeným administrátorům z datového centra mají firmy jistotu, že se o jejich data i síť postarají vyrovnaní experti s mnoha lety praxe.

Více o výstavbě datacentra, volbě lokality, ale i tipech, na co si dát pozor, najdete v seriálu, který vycházel v IT Systems 10/2014 a dvou následujících číslech. Starší vydání IT Systems jsou k dispozici na webu SystemOnLine.cz

Martin Žídek Martin Žídek
Autor článku je technickým ředitelem společnosti Master Internet.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Panasonic představuje nejucelenější řadu 4K projektorů a displejů

Společnost Panasonic představila na veletrhu ISE 2021 nové projektory a displeje a nabídla tak nejucelenější řadu 4K zobrazovacích řešení, která uspokojí rostoucí poptávku po strhujícím diváckém zážitku.