ارزیابی امنیتی زیرساخت فیزیکی مراکز داده
با توجه به افزایش چشمگیر استفاده از فناوری اطلاعات در ارائه سرویسها و خدمات خود به مشتریان و متقاضیان، حجم اطلاعات سازمانها و شرکتها در حال گسترش روزافزون است و بنابراین پردازش، نگهداری و مدیریت این اطلاعات از اهمیت فراوانی برخوردار میباشد. بدین صورت نیاز به مکانی امن و مطمئن (تحت عنوان مرکز داده) برای نیل به این هدف یک نیاز ضروری است.
در طراحی و پیاده سازی مراکز داده باید مؤلفه های مختلفی را جهت اطمینان از تداوم کسب و کار آن، مد نظر قرار داد که علاوه بر استانداردهای فنی، الزامات امنیتی نیز از جمله این مؤلفه ها هستند.
از آنجا که مراکز داده شامل اجزا و المانهای مختلفی هستند، لذا موضوع طراحی و پیاده سازی آنها – چه از نظر استانداردهای فنی و چه از منظر مباحث امنیتی – دارای گستردگی و پیچیدگی های فراوانی است که برخی از آنها در استانداردهای مرجع مانند TIA-942 و BICSI-002 آمده است. این استانداردهای مباحث مختلفی مانند الزامات ساختمانی، سیستمهای زیرساختی مانند برق و سرمایش، سیستمهای امنیتی مانند نظارت تصویری و اعلام و اطفاء حریق و ارتباطات شبکه را در بر می گیرند و مراکز داده را بر اساس سطوح دسترسی و افزونگی، دسته بندی می کنند (Tiering). الیته در هر یک از این حوزه ها، استانداردهای ملی و بین المللی تخصصی نیز وجود دارد که می تواند راهنمای طراحیان و مجریان باشد. از جمله این استانداردهای تخصصی می توان به NFPA, ASHRAE, IEEE اشاره کرد.
در کنار توجه به موضوعات مهمی مانند افزونگی، پیش بینی توسعه های آتی، ماژولار بودن و دسترس پذیری، یکی از این موضوعات مهم در مراکز داده، تأمین امنیت فیزیکی است که در کلی ترین حالت، به سه حوزه تقسیم می شود:
- سیستم نظارت تصویری
برای کنترل شرایط، از دوربینهای مدار بسته در مرکز استفاده میشود تا تصاویر زنده گویای شرایط امنیتی مرکز باشند. دوربینها مجهز به سیستم Motion Detector میباشند که بر اثر حس حرکت شروع به ضبط تصاویر مینمایند. این قابلیت باعث کاهش چشمگیر حجم تصاویر ضبط شده میگردد. کارشناسان مستقر در اتاق کنترل می توانند تصاویر این دوربینها را بر روی مانیتورهای خود مشاهده کرده و اقدامات لازم را انجام دهند. باید توجه کرد که تعداد و جانمایی دوربینها باید بگونه ای باشد که دوربینها بتوانند یکدیگر را بصورت مناسبی پوشش داده و مخاطرات احتمالی را کاهش دهند.
- سیستم کنترل دسترسی
جهت کنترل تردد پرسنل به مناطق مختلف مرکز داده از سیستم کنترل دسترسی که شامل تجهیزات سخت افزاری و برنامه های نرم افزاری میباشد، استفاده میشود. این کنترل تردد، باید جهت ورود و همچنین خروج از کلیه فضاهای مرکز پیش بینی گردد. برنامه نرم افزاری کلیه رفت و آمدهای انجام شده به مرکز را بصورت کامل ضبط و حفظ خواهد نمود. به این ترتیب می توان زمان دقیق ورود و خروج هر کاربر احراز صلاحیت شده را ثبت نموده و در زمان بروز هرگونه اختلال یا رخداد امنیتی، می تواند جهت تحلیل دسترسی فیزیکی افراد به منابع مرکز، مورد استفاده قرار گیرد.
- سیستم اعلام و اطفاء حریق
یکی از مهمترین سیستم های امنیتی یک مرکز داده، سیستم تشخیص اولیه دود و آتش میباشد. این سامانه شامل دو سیستم متعامل میباشد. سیستم اعلام شامل حس گرهای لیزری میباشند که با اندک تغییر در شرایط هوا (وجود دود) پانل اصلی را به عکس العمل نشان دادن وادار میسازد. به این منظور معمولاً سیستمهای تشخیص و اعلام حریق از دو سری حسگر استفاده می کنند که حلقه اول آنها حساستر بوده و احتمال وقوع حریق را در کمترین زمان تشخیص می دهند و حسگرهای حلقه دوم، این احتمال را اعتبار سنجی و در صورت ضرورت تأیید می کنند. حلقه اول سیستم تشخیص حریق باید مجهز به آشکارسازهای تشخیص اولیه (ASD) باشد. این آشکارسازها به همراه مجموعه ای از لوله ها و مکنده ها، بصورت پیوسته از هوای محیط نمونه گیری کرده و با ارسال آن به آنالیزور و تحلیل ترکیب آن، هرگونه تغییر در این ترکیب را رصد می کنند تا در صورت وقوع حریق، در اولین فرصت و پیش از گسترش آن، امکان تشخیص و اطفاء آن را فراهم آورند. فعال شدن سیستم اطفاء، وابسته به تأیید وقوع حریق توسط مجموعه ای از حسگرهای حلقه دوم (معمولاً حسگرهای دودی) است و در صورت تأیید این حسگرها، سیستم اطفاء حریق بصورت اتوماتیک فعال خواهد شد. پیش از انجام اطفاء، برق مجموعه بوسیله سیستم Emergency Power Off (EPO) قطع خواهد شد. مجموعه این حسگرها، لولههای انتقال نمونههای هوا، کابلهای ارتباطی و پانل کنترلی، یک سیستم اعلام حریق را تشکیل میدهند. در مراکز داده بیشتر از حسگرهای Addressable استفاده میشود. این حسگرها محل وقوع حریق را به دقت مشخص می کنند و اپراتور می تواند در اولین فرصت، توسط سیستمهای نظارت تصویری و یا مشاهده مستقیم، وقوع حریق را مورد ارزیابی بصری نیز قرار دهد.
از جمله مواد مورد استفاده برای سیستمهای اطفاء حریق می توان به گاز (FM-200) با نام HFC-227ea، سیستمهای موسوم به Aerosol، سیستمهای مبتنی بر فوم یا مبتنی بر آب اشاره کرد که در این میان سیستمهای مبتنی بر گاز FM200 – بعنوان سیستم اصلی اطفاء حریق- در مراکز داده رواج بیشتری دارند.
سیستم تشخیص، اعلام و اطفاء حریق شامل چند محدوده (Zone) مجزا میباشد که شرایط وقوع حریق در هر یک از آنها بصورت مجزا پایش شده و هر یک از آنها نیز سیستم اطفاء مختص خود را دارند.
ارزیابی های امنیتی تیم زیرساخت فیزیکی آشنا ایمن، صرفاً محدود به سیستمهای امنیتی نمی شود و سایر سیستمهای زیرساختی مانند برق، سرمایش، کنترل و مانیتورینگ و شبکه را نیز در بر می گیرد. برای این کار از ابزارها و تجهیزات اندازه گیری مختلف مانند تجهیزات اندازه گیری مقاومت چاه ارت، جریان الکتریکی مصرفی، کانتورهای دما در بخشهای مختلف مرکز با استفاده از Thermograph و … استفاده می شود.
تیم ارزیابی امنیت فیزیکی آشنا ایمن علاوه بر آنکه می تواند در زمان طراحی مراکز داده و همچنین مراکز ارائه خدمات به مشتریان (مانند شعب بانک)، در کنار تیم طراحی قرار گرفته و مشاوره های فنی لازم را ارائه نماید، می تواند در مرحله ممیزی و یا ارزیابی های دوره ای نیز وارد عمل شده و ضمن بررسی شرایط موجود هر یک از سیستمهای امنیتی، نواقص احتمالی را (در قیاس با شرایط استانداردی) مشخص کرده و جهت پوشش آنها، راهکارهای عملیاتی را پیشنهاد نماید. برخی از ایده های کلی برای بهینه سازی زیرساختهای مراکز داده در نوشتاری تحت عنوان بهینه سازی زیرساخت فیزیکی اتاقهای سرور و مراکز داده (قسمت اول و قسمت دوم) قابل دسترس است.
کار این تیم با بازدید از محل سایت کارفرما آغاز شده و در ادامه ضمن بررسی مستندات موجود و مصاحبه با بهره برداران و ذینفعان، شکافهای بین وضع موجود و شرایط مطلوب استانداردی (در حد مقدورات) شناسایی شده و راهکارهای پوشش این شکافها معرفی می شود. در صورت نیاز کارفرما، همراه با ارائه هر یک از این راهکارها، برآوردی از اقلام مورد نیاز (LOM)، خدمات مورد نیاز (LOS) و تخمینی از هزینه های قابل پیش بینی (LOP) نیز در کنار برآورد زمان انجام راهکارها ارائه می گردد.
در نهایت پس از انجام ارزیابی امنیتی گزارشی تهیه و آماده میشود که سرفصلهای زیر را در بر می گیرد:
- مقدمه
- پیش فرضها
- محدودیتهای کارفرما
- استانداردهای مرجع
- شرایط موجود مرکز بر اساس فرمهای تکمیل شده AS IS و نتایج بازدید
- تعیین سطح مطلوب مرکز داده (بر اساس شرایط موجود و مقدورات کارفرما)
- تحلیل شکاف بین وضع موجود و وضع مطلوب
- تعیین نقاط آسیب پذیر و قابل بهبود
- تعیین راهکارهای بهینه سازی
- برآورد تجهیزات، خدمات، هزینه و زمان مورد نیاز جهت انجام بهینه سازی ها (LOM, LOS, LOP)
در صورت نیاز به پیاده سازی راهکارهای بهینه سازی، می توان این راهکارها را در قالب پروژه های اجرایی اجرایی نمود و طیف وسیعی از خدمات نیز در این بخش قابل ارائه است:
- تهیه اسناد برگزاری مناقصات مربوطه (RFP)
- همکاری فنی در برگزاری مناقصات
- نظارت بر پیاده سازی راهکارهای فنی ارائه شده
مجموعه این خدمات می تواند سازمانها و شرکتها را در رسیدن به مرکز داده ای بهتر و مطمئنتر، یاری رساند.
به موازات اطمینان از امنیت زیرساختها، لازم است امنیت شبکه ها و سرویسها، امنیت اپلیکیشنهای دسکتاپی و تحت وب، امنیت اپلیکیشنهای موبایلی و شبکه های صنعتی نیز مورد توجه قرار گیرد.