Translate

miércoles, 7 de octubre de 2015

La seguridad en los Data Center’s, diseño e implementacion

Utilizando las mejores practicas


Autor: Miguel Arturo Isaza Villar
Esp. Seguridad Informática






AbstractThe Data centers handle all kinds of information within an organization, whether public information, private and / or confidential, these places are highly critical and complex, it is necessary to use best practices in the design, construction and operation thereof for reduce the risks to which they are exposed

I.      Introduccion


En este documento, nos introduciremos en el mundo de los data centers, analizaremos los diferentes estándares y mejores prácticas aplicadas a su diseño, construcción y la implementación de los mismos, así como los controles necesarios para gestionar de forma segura los recursos de información que estos almacenan y procesan.


II.    DEFINICIONES

A.    Data Centers (Centros de computo)


Un Data center, centro de cómputo o centro de procesamiento de datos, (CDP) es un área donde se almacenan y/o procesan de forma centralizada los datos de una Organización, estos datos al interactuar con sistemas y personas generan información.


B.    Informacion


La información, es el activo más importante que tiene una Organización, a esta información se le deben guardar los principios de integridad, confidencialidad y disponibilidad, los Data Centers son por lo tanto los activos que procesan y almacenan los activos intangibles de las empresas, los cuales son por su condición, objeto constante de ataques.


C.    ESTANDAR (Norma)


Son las condiciones mínimas aceptables que determina una industria para garantizar un adecuado funcionamiento de un sistema, un estándar puede o no ser obligatorio dependiendo de la regulación del país donde se implemente.


III.   Estandares, normas y mejores practicas aplicados A data centers


Debido a la complejidad que hay en la creación de un Data Center, se han creado muchos estándares que aplican a las diferentes fases, estos estándares van desde el diseño, pasando por la construcción, la implementación y la operación de un Data Center. En este documento vamos a repasar los principales estándares que podemos aplicar para garantizar las condiciones mínimas  requeridas utilizando las mejores prácticas.

A continuación los principales estándares que aplican a los Data centers en sus diferentes etapas dentro del ciclo de vida.


A.    ANSI / BICSI 002


Óptimas prácticas de diseño e implementación del centro de datos [1]. Esta norma es considerada la norma base para el diseño de Data Center a nivel mundial, dentro de este estándar se encuentran recomendaciones como la Evaluación del Sitio donde se va a construir el data center, en esta fase se dan las especificaciones que se deben tener en cuenta a la hora de seleccionar el sitio adecuada para iniciar con el pie derecho una construcción de centros de cómputos, en esta fase se recomienda hacer un análisis de riesgos no menor a 6 meses para emprender con este tipo de proyectos.

Los siguientes elementos los podemos encontrar en este estándar

·         Evaluación de costos

·         Peligros naturales, de entorno y humanos

·         Acceso y ubicación del sitio

·         Servicios de utilidad

·         Regulación, entre otros

Otros elementos incorporados en este estándar son:

Planificación de los espacios del Data center, aspectos arquitectónicos, estructurales, eléctricos, mecánicos, protección contra incendio, seguridad, administración, infraestructura, tecnología de la información, entre otros.

En la versión 2014 ha sido ampliada y se incorporan los siguientes elementos:

·         La estructura de clase de disponibilidad de BICSI para todos los aspectos importantes de centros de datos

·         Centros de datos modulares y de "contenedor"

·         DCIM y sistemas del edificio

·         Alimentación de CC

·         Pasillos calientes y fríos

·         Arquitectura de centros de datos múltiples y externalización de servicios de centro de datos

·         Eficiencia energética 


B.    ISO 27000


Norma publicada por la Organización Internacional de la Estandarización (ISO), la misma corresponde a las mejores prácticas utilizadas para la implementación de sistemas de gestión de la seguridad de la Información (SGSI). Esta norma cuenta con una estructura completa de estándares, los cuales tienen más de 10 años siendo los referentes como las buenas prácticas en gestión de seguridad de la información.

Dentro de sus distribuciones encontramos los siguientes:

·         ISO 27001, es el marco general, donde se especifican los requisitos que una empresa debe cumplir a la hora de implementar un sistema de gestión

·         ISO 27002, se especifican los objetivos de control y los controles que se deben tener en cuenta a la hora de implementar un sistema de gestión

·         ISO 27003, son las directrices que se deben seguir en la implementación

·         ISO 27004, son las métricas que se deben tener en cuenta para la gestión de la seguridad

·         ISO 27005, gestión de riesgos

·         ISO 27006, requisitos para la acreditación de un SGSI

·         ISO 27007, guía para auditar un SGSI

·         ISO 27799, guía para implementar ISO 27002 en la industria de la salud

·         ISO 27035, gestión de incidentes

 Un data center debe ser un recinto que cumpla con todos los requerimientos de diseño estructural que revisamos en el estándar BICSI 002, pero la gestión y operación de este tipo de recintos se debe realizar basados en un estándar como ISO27k, en este documento bien podríamos hablar de la aplicabilidad de todos y cada una de las normas anteriormente descritas, sin embargo nos enfocaremos en los controles de la norma ISO 27002. Esta norma en su última versión tiene 14 dominios y 114 objetivos de control, sin embargo no necesariamente todos los dominios de esta norma tienen que ser aplicados (todo depende de la declaración de aplicabilidad), a continuación listaremos los dominios que como mínimo debiéramos tener incluidos:

·         A.6 Organización de la SI, el objetivo de este dominio es definir los roles y las responsabilidades, este dominio podría alinearse fácilmente con BICSI 002-2014

·         A.8 Gestión de activos, en un data center es muy importante tener una eficiente gestión de los activos, esta es la base para analizar riesgos asociados y para gestionar los mantenimientos de los sistemas.

·         A.9 Control de acceso, debe de haber una política de control de acceso tanto a las áreas físicas del data center como a los servicios que este presta dentro de la organización

·         A.11 Seguridad física y del entorno, este es el dominio en el que podemos interactuar con la mayoría de los estándares que en este documento mencionamos ya que se aplican conceptos de ANSI 002, en la parte de áreas seguras, TIA 942 en la seguridad del cableado y suministros, ASHRAE en la parte de refrigeración y NFPA 75, en la parte controles de incendio.

·         A.12 Seguridad de operaciones, en un data center hay que hacer gestión de las capacidades de los sistemas, debe de haber gestión de código malicioso, gestión de ambientes, gestión de copias, registro y seguimiento, auditoria, entre otras, este punto se puede complementar con BICSI 002.

·         A.13 Seguridad de redes, es muy importante tener una correcta gestión de las redes tanto físicas (entrada salida) como lógicas

·         A.16 Gestión de incidentes de seguridad, un data center bien operado, debe hacer correcta gestión de incidentes para reducir las probabilidades de los riesgos asociados

·         A.17 Continuidad del negocio, es importante que los centros de cómputo tengan adecuados respaldos y un plan a seguir si se consolida una amenaza, la redundancia en este aspecto es muy importante, las certificaciones TIER I, II, III y IV, dan unos esquemas de redundancia de acuerdo a la necesidad de cada negocio

Es muy importante contar con A.5 política de seguridad y A.18 cumplimiento, sin embargo estas dos son necesarias obligatoriamente en cualquier sistema de gestión, por lo tanto no la resaltamos en los dominios anteriores.

C.    ANSI / TIA 942


Concebido como una guía para los diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras [2].
Esta norma incluye los siguientes elementos:

·         Arquitectura de red

·         Diseño eléctrico

·         Copia y almacenamiento de archivos

·         Redundancia del sistemas

·         Control de acceso a redes y seguridad

·         Gestión de bases de datos

·         Web hosting

·         Hosting de aplicaciones

·         Control ambiental

·         Protección contra riesgos físicos

·         Gestión de la energía

Dentro de la estructura de este estándar encontramos que la norma clasifica los datas centers en cuatro grupos denominadas TIER, indicando así su nivel de fiabilidad en función de la disponibilidad de los mismos, las certificaciones TIER se dan sobre los siguientes Aspectos:

·         Telecomunicaciones

·         Arquitectónicos

·         Eléctricos

·         Mecánicos

La Tabla 1, muestra los niveles de disponibilidad por cada TIER

TABLA I
Niveles (Tier)
Tipo de Data Center
Disponibilidad
TIER I
Básicos
99.671%
TIER II
Redundantes
99.741%
TIER III
Concurrentes mantenibles
99.982%
TIER IV
Tolerancia a fallos
99.995%


D.    ASHRAE


Esta es la sigla en inglés de la sociedad de Americana de Ingenieros de Calefacción, refrigeración y Aires acondicionados (Society of Heating, Refrigerating, and Air-Conditioning), esta sociedad con representación a nivel mundial, se enfoca en el diseño y construcción de sistemas de enfriamiento y refrigeración.

El estándar ASHRAE TC9.9 indica las mejores prácticas para la refrigeración de centros de cómputo, esta guía propone esquemas de refrigeración dedicada, de tal forma que los racks dentro de un centro de cómputo, reciben el tratamiento adecuado de las corrientes de aire frio y aire caliente, de esta forma se garantiza la vida útil de los equipos de telecomunicaciones y los servidores dentro de los centros de cómputo.

La guía plantea los diferentes tipos de diseños que deben ser tenidos en cuenta a la hora de mantener bien los flujos de aire dentro de un centro de cómputo, el uso de entradas de aire frio y salidas de aire caliente, y/o pasillos de aire frio y pasillos de aire caliente, los cueles deben ser libres de obstrucciones como lo son el cableado excesivo, el sobre cargue de los rack, entre otros, todos esto lo que busca es evitar interrupciones en el servicio que pongan en riesgo la integridad de los equipos en el data center.

Esta guía plantea tener en cuenta todos los elementos dentro del data center para diseñar los sistemas de flujo de aires (frio / caliente)

Este estándar se integra perfectamente con TIA42 y BICSI 002 en el diseño de data centers con buenas prácticas, además sirve como complemento a los objetivos de control del dominio A.11 de ISO 27002

E.    ITU o UIT


Es el organismo especializado de las Naciones Unidas para las Tecnologías de la Información y la Comunicación – TIC, esta organización dentro de sus estándares maneja el L.1300, que son las mejores prácticas de Green Data Center

La L.1300, se constituye como una serie de guías a utilizar para construir data centers ambientalmente sostenibles y/o a mejorar los existentes actualmente, para esto se recomienda utilizar materiales responsables con el medio ambiente y tecnologías eficientes en el consumo energético, el objetivo principal es reducir al máximo el impacto ambiental de la tecnología en el cambio climático


F.    NFPA 75 -76


Son las mejores prácticas de protección contra incendio en instalaciones de Telecomunicaciones y Data Centers

EL objetivo principal de esta norma es establecer los requisitos mínimos para garantizar la protección de los equipos de tecnología de la información, los equipos de telecomunicaciones y de las áreas donde estos operen, de daños ocasionados por fuego, humo, corrosión, calor y humedad

Esta norma establece los controles que deben de estar en los data center (NFPA 75) y en los centros de telecomunicación (NFPA 76) de esta forma se clasifican los siguientes controles


·         Detectores de humo

·         Extintores y aspersores manuales

·         Extintores automáticos

·         Materiales de los pisos

·         Materiales del techo

·         Tipo de pintura

·         Agentes químicos utilizados por los extintores

Este estándar al igual ASHRAE, lo podemos integrar con TIA 942 y BICSI como complemento a esas mejores prácticas y se puede engranar con los objetivos de control del dominio A.11 de ISO 27002

IV.   CONCLUSION


Uno de los objetivos principales de un data center, es garantizar la disponibilidad de los servicios que este soporta, en esa medida se hace necesario que utilicemos como métrica de disponibilidad el esquema TIER (I, II, III y IV) propuesto por TIA 942, al mismo tiempo es muy importante que a la hora de diseñar data centers, nos basemos en las recomendaciones y guías que nos proporciona BICSI, el análisis de riesgos actualizado es muy importante para dirigir los esfuerzos en las áreas más importantes de acuerdo a la necesidad de la organización, para eso es muy recomendable utilizar ISO 27005 o ISO 31000, dentro de la fase de diseño es muy importante incluir todas las variables de entorno que rodearan la construcción y la operación del data center.

Es muy importante también hacer una buena selección de la ubicación del sitio donde quedara alojado el centro de cómputo, de acuerdo a las recomendaciones de BICSI y TIA 942 sobre todo si se quiere alcanzar alguna certificación TIER.

En la etapa de diseño es muy importante dimensionar los controles de flujos de aire que debe tener el data center, ya que de esto, dependerá la vida útil que tengan los equipos soportadas y en operación.

Un buen diseño debe obligatoriamente incluir los controles de extinción de incendio y controles de inundación y humedad, ya que los mismos podrían ser usados para evitar que se consolide alguna amenaza ambiental o de entorno, que pueda traer consecuencias negativas para la organización en términos de dinero, imagen, operación, capacidad, competitividad, entre otros.

Los centros de datos generalmente son recintos que por las características de su operación, tienden a consumir grandes cantidades de energía, lo que se traduce en altos costos de operación y no es un uso responsable de los recursos naturales, estos comportamientos aportan grandemente al calentamiento global, por lo que se hace necesario cambiar la forma como se está consumiendo la tecnología y para esto nos puede ser muy útil ITU L.1300 en la construcción y diseño de data centers responsables con el medio ambiente.

Todas las buenas prácticas y aplicación de controles e inversiones que le hagamos a una infraestructura tecnológica, en este caso un data center, deberá ser administrada por un sistema de gestión, que nos permita medir constantemente, que los objetivos de la seguridad (integridad, confidencialidad y disponibilidad) se estén cumpliendo de acuerdo a lo planeado y los mismos estén alineados con los objetivos del negocio, y es ahí donde cobra valor un SGSI, utilizando la norma ISO 27000, la cual es capaz de integrarse perfectamente con todos los estándares y buenas prácticas de diseño, construcción y operación de data centers a nivel mundial

REFERENCIAS



No hay comentarios:

Publicar un comentario

La seguridad en los Data Center’s, diseño e implementacion

Utilizando las mejores practicas Autor: Miguel Arturo Isaza Villar Esp. Seguridad Informática Abstract — ...