Физическая безопасность дата-центра – пристальный взгляд на вопрос

20 июня 2015 г. | Механиков Олег | Категория: Вопросы эксперту

Организации, рассматривающие услуги колокейшн, задают все больше вопросов, и очень детальных, о физической безопасности дата-центра.

Мужчина перед побегом трудился весь день в бригаде заключенных. Ища убежища, на следующее утро он проскользнул в дата-центр через сломанную дверь.

Ничего не сообщается о пропажах или повреждениях, но это пример того, что операторы дата-центров часто пренебрегают именно физической безопасностью.

Согласно отчету «Глобальный рынок физической безопасности дата-центров в 2015-2019», подготовленный Technavio, лондонской аналитической фирмой, рынок продуктов физической безопасности будет расти с $1,8 млрд в этом году до $2,2 млрд 2019.

Как считает Ракеш Панда, старший аналитик Technavio, этот рост будут стимулировать, в частности, такие факторы, как увеличение значимости инфраструктуры дата-центра, повышение угрозы безопасности, ужесточение условий соглашений об уровне предоставления услуг между кончеными пользователями и провайдерами колокейшн.

Некоторые операторы, включая  DuPont Fabros Technology, Inc., говорят, что наблюдают все более внимательный подход к вопросам физической безопасности со стороны клиентов.

«Некоторые (из наших клиентов) ранее не требовали подробностей, а теперь они все глубже анализируют, что и как мы делаем в этой сфере», - говорит Скотт Дэйвис, исполнительный вице-президент по операциям в DuPont Fabros, оптового оператора и владельца ЦОДов из Вашингтона, округ Колумбия.

Как сообщил Тед Ройстер, директор по безопасности DuPont Fabros, компания ранее получала запросы данных от клиентов пару раз в году, а теперь это происходит чаще.

«Они желают получить документальное подтверждение тому, что их оборудование находится в безопасности», - говорит Ройстер.

Повышение интереса к этому вопросу, например,  заставило DuPont Fabros увеличить штат на единицу – чтобы обрабатывать растущий объем запросов информации и аудита во всех дата-центрах компаний. Когда приходят запросы, клиентам предоставляется доступ к логам контроля доступа и данным камер видеонаблюдения.

«Важно, чтобы, когда клиент говорит: «можно нам это увидеть?», вы смогли бы ему это показать», - говорит Дэйвис.

Несмотря на растущий интерес к физической безопасности от некоторых клиентов, пока известно весьма небольшое количество случаев нарушения именно физической безопасности дата-центров по сравнению с логическими атаками, которые гораздо более часты, включая недавние атаки на серверы с данными сотрудников федеральноuо правительства США, а также другие, ударившие по таким брендам как Home Depot и Target.

Но реальное число вторжений в дата-центры тем не менее в 10 или12 раз выше, чем об этом сообщается, считают аналитики Technavio. Большинство вторжений совершается в отношении логической безопасности, но часто физические вторжения заканчиваются такими вещами, как «кража данных», включая инсайдерские кражи и небрежность персонала в дата-центрах уровня надежности tier 1 и tier 2, считает Панда.

Hillard Heintze – компания по управлению рисками безопасности, находящаяся в Вашингтоне. Компания проводит аудит систем безопасности ЦОДа. Джон Орлофф, старший вице-президент по рискам безопасности в компании и бывший служащий разведки США, говорит, что компания проводит тестирование вероятности проникновения в дата-центре, в ходе которого пытается обойти человеческие и технологические барьеры.

Рост аутсорсинга дата-центров помогает привлекать повышенное внимание к физической безопасности, говорит он.

«Клиенты хотят убедиться, что внутрь могут проникнуть только те люди, которые имеют право туда проникнуть», - добавил он.

Присутствие в заголовках прессы темы атак на физическую безопасность также подогреет внимание к физической безопасности.

«Этот вопрос становится для всех первостепенным», - говорит Орлофф.

Ранее в этом году федеральное правительство Канады обнаружило, что пожар в одном из своих наиболее секретных и, как предполагалось, защищенных ЦОДов привел к несанкционированному проникновению.

Пожарные, реагировавшие на вызов из службы безопасности коммуникаций Канады в Оттаве в 2013 году просто срезали петли и открыли ворота, чтобы войти внутрь, если верить документам, полученным в начале этого года изданием TorontoStar.

В документах говорится, что несколько камер наблюдения были выведены из строя и при этом пропал один красный электронный пропуск.

Среди ключевых трендов в проектировании и эксплуатации дата-центров все более важным становится физическая безопасность, сообщил на симпозиуме Uptime Institute Дрю Леонард, вице-президент управления продуктами колокейшн в CenturyLink. Компания CenturyLink находится в Монгроу, штат Луизиана, и занимается местными и международными сервисами связи, волоконно-оптическим интернетом и облачными вычислениями.

Он говорит, что организации просят ужесточить нормы SLA в отношении безопасности дата-центра и требуют установки дополнительных камер, замков на шкафы.

Такие меры, как забор вокруг здания, также помогают в восприятии вопросов безопасности дата-центра.

Он видит повышение количества запросов на кастомизированные решетки безопасности и кастомизированное видеонаблюдение.

«Кажется, мы видим новый уровень интереса к тому, как мы обеспечиваем повышенную степень безопасности дата-центра», - говорит Леонард. «Они хотят убедиться, что эти решетки – это только их решетки, что только они имеют туда доступ».

До завершения переговоров по аренде потенциальные клиенты просят дать им больше информации о персонале ЦОДа или хотят проверить их репутацию, говорит Дэйвис.

«Некоторые организации просят нас более тщательно проверить персонал», - говорит Дейвис, «и многие хотят убедиться, что проверка охватывает всех сторожей и техников, а не только тех, кто числится в штате».

Орлофф согласен с этим, заметив, что дата-центры должны иметь строгую политику насчет постоянных проверок репутации».

«Самая большая угроза – инсайдерская, - предупреждает он. - Вы должны знать, кто у вас работает».

Дэйвис говорит, что у него есть вопросы в отношении одной специфической сертификации, ISO 27001, касающейся управления безопасностью IT.

Клиенты из системы здравоохранения особенно подчеркивают озабоченность по поводу нахождения персонала вблизи стоек, и новый дата-центр компании спроектирован так, чтобы разделить перегородкой стойки и операционное оборудование, сообщил Дэйвис.

Некоторые клиенты также просят компанию дать им информацию о так называемых обходах в обратном порядке, чтобы получить представление о методах оператора по защите здания.

Ройстер говорит, что потенциальные клиенты ЦОДа должны поддерживать новейшие технологии для физической безопасности, включая электронные карточки доступа и развитую технологию CCVT.

Клиенты также ожидают постоянной коммуникации от оператора. Например, если запланировано тестирование противопожарной системы, об этом нужно сообщать заранее, говорит Дейвис.

DuPont Fabros Technology также нашла способ, как поступить с многочисленными запросами на «тур по дата-центру» - она создала профессиональное видео, которое предлагает прогулку по зданию. В дополнение к стойкам, видео может показывать детальную информацию об объектах энергоснабжения, включая ИБП, дизель-генераторы и системы пожаротушения, говорит Дэйвис.

Предприятие, желающее арендовать стойки – будь то опт или розница – пока еще не задают всех-всех вопросов, которые они должны бы задать, говорит Дейвис. Среди таких вопросов – может ли коло-провайдер в будущем установить больше камер CCTV, или датчиков присутствия, если это станет необходимо.

Оператор дата-центра в Делаваре, куда проник заключенный, First Data Corp., не ответил на просьбу о комментариях.

Об авторе: Роберт Гейтс пишет о дата-центрах, стратегиях дата-центров, серверных технологиях, конвергентных и гиперконвергентных инфраструктурах и открытых операционных системах для SearchDataCenter. Его блог находится по адресу @RBGatesTT.

Источник: www.SearchDataCenter.com

Теги: безопасность, колокейшн