Rambler's Top100
Статьи
Антон КОТОВ  20 сентября 2019

Мой ЦОД – моя крепость

ЦОД – это и несколько комнат в офисном здании, и несколько зданий с десятками машинных залов на территории в полсотни гектаров. Для обеспечения физической безопасности столь разных объектов нужны, разумеется, разные решения, учитывающие сценарии их использования.

Кратко описанные ниже технологии, сложившиеся отраслевые правила и стандарты относятся к ЦОДу, вновь возводимому на обособленной территории, – к, пожалуй, простейшему случаю с точки зрения проектировщика и строителя.

Главные моменты

Основные принципы, которые надо всегда держать в голове при проектировании и строительстве систем безопасности ЦОДа, на мой взгляд, очевидны. Главная цель работы – обеспечить сохранность и неприкосновенность носителей информации, вычислительного оборудования и оборудования передачи данных.

Защита должна быть многослойной – несколько рубежей безопасности, преодоление которых усложняется от периферии к центру. Важно обеспечить максимальный контроль передвижений и действий посетителей вплоть до сопровождения со строгостью конвоя. Влияние персонала на принятие решения о допуске на объект необходимо ограничить так, чтобы на территории ЦОДа не было мест, куда один человек через очередной рубеж безопасности может кого-либо пропустить одной условной кнопкой. Работу персонала нужно постоянно контролировать с помощью видеорегистрации, анализа передвижений и действий по логам системы безопасности.

Дальний кордон

Некоторые эксперты работу по обеспечению безопасности предлагают начинать с выбора места для строительства ЦОДа – подальше от дорог и неблагополучных районов. На практике определяющими факторами становятся доступность и стоимость энергоресурсов и линий связи на площадке, а значимость критерия безопасности на этом этапе невелика. Конечно, по соседству с пиратской Тортугой или ненасытной Ордой безопасность ЦОДа обеспечить будет непросто, но профессионалы справятся.

Итак, есть участок, где будет построен ЦОД. Первый рубеж, который можно и нужно проектировать и строить, – внешнее ограждение. Шедевры заборостроения вдоль Рублёво-Успенского шоссе позволяют говорить, что в этой области отечественная промышленность является одним из мировых лидеров, и задача специалиста по безопасности – воспользоваться этим лидерством наиболее полно. Строгий минимум высоты ограды – 2,5 м, ниже нельзя, иначе забор перестает быть сколько-нибудь серьезной преградой для злоумышленников. Забор углубляем на 50–70 см, чтобы затруднить возможный подкоп, а сверху украшаем «егозой», чтобы перелезть было невозможно. Растительности внутри и снаружи на расстоянии не менее 1 м быть не должно – так мы обеспечим возможность наблюдения и снизим риск ложных срабатываний датчиков.

Современный забор немыслим без видеонаблюдения, поэтому камеры должны быть установлены каждые 30 м, а на поворотах и спусках/подъемах еще чаще. Длина фокуса объектива видеокамер на периметре – предмет расчетов и тестов, секторы обзора камер должны пересекаться. Детекция движения обязательна, трекинг объектов весьма желателен. В дополнение к камерам предусматриваем охранные извещатели, лучевые или, например, вибрационные. Да, возле забора обеспечиваем освещенность около 50 лк – это для патрульных сотрудников службы безопасности (видеокамеры должны видеть и в темноте). Разумеется, все перечисленные технические средства должны взаимодействовать: по сигналу тревоги от охранного извещателя включается освещение (на участке тревоги в темное время суток), изображение от ближайшей камеры выводится на оперативный монитор поста охраны, ближайшая поворотная камера на территории автоматически наводится на участок тревоги, то же происходит и по детекции движения в кадре видеокамер. Пожалуй, теперь за первый рубеж можно быть более или менее спокойным.

Кого-то все-таки придется впустить

Забор не может быть сплошным, нужно устроить проход и проезды. Хорошая практика –обустройство двух КПП, отдельно для входа/въезда и для выхода/выезда. Кроме того, должны быть пожарные ворота, которые будут открываться только для проезда пожарных.

Входной (въездной) КПП неплохо было бы организовать прямо в здании ЦОДа или в административном здании. На входе всё как обычно: интроскоп для багажа, рамка металлоискателя, ручной сканер у охранника. Детекторы радиации, взрывчатых веществ и опасных жидкостей – опционально. Для персонала обязателен алкотестер (с запретом прохода при положительном результате теста), для посетителей он желателен. Количество проходов, а значит, и остального оборудования зависит от размера ЦОДа и модели его использования (в корпоративном хранилище данных вряд ли стоит ожидать существенного трафика, а в дата-центре, предоставляющем услуги colocation, бывает весьма оживленно, особенно первое время).

Получение пропуска посетителем (и забывшим пропуск сотрудником) желательно максимально автоматизировать. Участие персонала КПП в этом процессе должно быть сведено к минимуму. Автоматизированный киоск, терминал, выдающий пропуск при предъявлении паспорта, – актуальное решение, но и «ручной» вариант тоже работоспособен. Разумеется, предварительно должна подаваться заявка, иметься система согласования этой заявки (обязательно более одной согласующей инстанции). Видеокамеры должны детально фиксировать все действия персонала КПП при выдаче пропуска.

Необходимо контролировать пронос на территорию средств вычислительной техники и носителей информации (включая флешки и даже гибкие магнитные диски) – их нужно указывать в заявке на пропуск и согласовывать. Можно предусмотреть шкафчики для временного хранения вещей, запрещенных на территории ЦОДа.

Вход – через шлюзовую кабину, для всех. Проход снимается на видео и контролируется охранником. После прохода у посетителя должна быть возможность подойти только к стойке регистрации (выход на территорию и доступ в какие-либо помещения без сопровождения исключены).

На въезде: болларды, шлагбаумы, площадка для досмотра. Видеокамеры снимают спереди, сзади, а также общий план. Отдельная камера необходима для распознавания регистрационного номера, съемка днища – опционально. Движение постороннего транспорта по территории ЦОДа должно быть ограничено: только от КПП до логистической площадки для погрузки/разгрузки и на выезд. Исключение может быть сделано только для автомобилей экстренных служб, топливозаправщиков с топливом для дизель-генераторных установок и самих ДГУ на базе автомобилей и прицепов. Стоянка любого автотранспорта, кроме технологического (погрузчиков, уборочной техники, гольф-каров для персонала и пр.), на территории ЦОДа должна быть запрещена, все паркуются за забором.

Выходящие из ЦОДа должны пройти через рамку металлоискателя. Сумки, рюкзаки и прочая ручная кладь досматриваются через интроскоп (кстати, правила авиакомпаний для ручной клади вполне применимы и в ЦОДах).

Автотранспорт, выезжающий из логистического центра ЦОДа, должен быть опломбирован. Номер пломбы, время пломбирования и ее соответствие транспортному средству должны быть переданы сотруднику КПП, выпускающему транспорт. На выезде – только внешний осмотр, видеосъемка регистрационного номера для распознавания автомобиля, съемка спереди, сзади, общим планом. Затем автоматизированная проверка пломб (задача охранника только поднести сканер к пломбе), разрешение на выезд и подъем шлагбаума. На выездной дороге также не будут лишними болларды – вдруг кто-то попытается прорваться.

Приведенный список мероприятий для обеспечения безопасности на рубеже КПП не является исчерпывающим, можно его дополнять и расширять, усложняя алгоритмы прохода и проезда. Или же всё стоит упростить и облегчить. Здесь многое зависит от степени профессиональной деформации руководителя службы безопасности ЦОДа. Технически достижимо всё.

Внутри дата-центра

Теперь нам нужно пустить сотрудников и посетителей в помещения ЦОДа в соответствии с их правами доступа, и это отнюдь не простая задача – десятки клиентских групп, сотни помещений! Одних только инженеров в дежурной смене может быть несколько десятков с разными уровнями и зонами доступа – к системам связи, электропитания, обеспечения микроклимата; вычислительные системы обслуживаются разными специалистами и в разных местах. А еще есть подрядчики (от клининга или доставки питьевой воды до специалистов службы поддержки производителей оборудования), есть и начальство.

В администрировании прохода помогает система контроля управления доступом. Часто именно ошибки администрирования приводят к нарушениям технологических регламентов: если специалист из-за того, что ему не предоставили доступ, вовремя не проверит установку или не заменит датчик с ошибочными показаниями (частый случай – пыльные дымовые пожарные извещатели), связисты не обеспечат соединение, то может произойти технический инцидент, в результате – скандал, финансовые и/или репутационные потери.

Базовый список средств обеспечения безопасности в здании (технологическом модуле) ЦОДа выглядит так:
  • для помещений с невысоким уровнем безопасности (складов, кладовок для инвентаря и пр.) – дверь закрывается на ключ, охранная сигнализация на открывание двери;
  • для технических помещений вспомогательного назначения (венткамер общеобменной вентиляции вспомогательных помещений, электрощитовых с «бытовыми» нагрузками) – контроль доступа или ключ, охранная сигнализация на открывание двери, дверь должна просматриваться видеокамерой;
  • для технических помещений обеспечения основных технологических процессов (помещений ИБП, электрощитовых с критически важными нагрузками, ГРЩ, щитовых для размещения оборудования диспетчеризации и автоматики, коридоров, примыкающих к машинным залам и/или ведущих к ним и пр.) – контроль доступа на вход и выход, видеонаблюдение снаружи и внутри, охранная сигнализация на открывание двери и по объему помещения.
Для ключей обычно предусматриваются электронные ключницы, получение и сдача ключей – по идентификатору (карте), выход с объекта без сдачи ключа запрещается. Возможно снятие помещения с охраны при получении ключа от него.

В отдельную группу можно выделить помещения специального назначения: помещения для обработки информации, составляющей гостайну, помещения для хранения оружия (при наличии вооруженной охраны объекта). Правила и способы обеспечения безопасности таких помещений регламентируются нормативами, которые следует строго выполнять.

Последний рубеж

К машинным залам особое отношение, здесь самый высокий уровень безопасности, самые сложные алгоритмы прохода, самая изощренная техника. Обычно делаем так:
  • на входе ставим шлюз, проход по одному, пройти в машзал можно только через него и больше никак;
  • максимально усложняем алгоритм прохода – требуются два или три идентификатора с удаленным подтверждением доступа;
  • обязательно применяем биометрические считыватели вместе с традиционными;
  • организуем детальную видеофиксацию всего процесса прохода;
  • устанавливаем охранную сигнализацию на пролом стен машзала;
  • устанавливаем охранные извещатели между рядами стоек с возможностью индивидуального управления;
  • монтируем видеокамеры между рядами стоек и в проходах так, чтобы секторы обзора пересекались, «мертвые» зоны исключаются.
В зависимости от сценария использования ЦОДа может потребоваться разделение машзалов на зоны клиентского доступа (разные арендаторы – разные задачи). Уровень безопасности в выделенных зонах необходимо будет обеспечить по запросу клиента, а также организовать внешнее управление видеонаблюдением и выдачу информации оператору клиента. Возможность предоставления такого сервиса должна быть заложена при проектировании, на неподготовленной площадке оперативно обеспечить такую услугу будет очень непросто и хлопотно.

Пары слов заслуживает организация видеонаблюдения в машзалах. Вообще, картинка с камер в машзалах получается довольно унылая: ряды темных шкафов с редкими проблесками индикаторов. Постоянно записывать это нет смысла, поэтому запись ведется только при движении/событиях, а в остальное время – не более четырех кадров в секунду. Кроме стационарных камер неплохим подспорьем в организации эффективного видеонаблюдения могут быть носимые видеорегистраторы у персонала и клиентов: устанавливать отдельную камеру у каждой стойки дорого, проконтролировать состав и качество выполняемых персоналом манипуляций «от первого лица» другим способом, как правило, нельзя. Выдачу и возврат регистраторов можно организовать по карте, после смены запись переносится в общий видеоархив. При желании можно обеспечить запрет на вход в машзал/зону машзала без видеорегистратора.

Есть еще один момент на стыке физической и информационный безопасности, требующий внимания, – пронос и применение в машзалах собственных электронных устройств представителей клиента. Если ноутбук, например, нужен для работы и без него обойтись нельзя, необходимо разрабатывать регламент, контролировать, проверять и перепроверять. Клиентам можно предоставлять необходимые устройства во временное пользование (правда, это не лучший вариант с точки зрения безопасности клиентской информации). Все личные устройства (смартфоны, планшеты и пр.) рекомендуется оставлять снаружи, ведь в них есть и фотоаппарат, и микрофон, и карта памяти. Конечно, решение этого вопроса – прерогатива специалистов по безопасности конкретного объекта, но при проектировании и строительстве несложно предусмотреть камеру хранения (пару-тройку шкафчиков) и стационарный телефон для связи из машзала с внешним миром.

Невидимый рубеж

Выше перечислены, пожалуй, все основные технические решения для обеспечения физической безопасности ЦОДа. Но только ими не обойтись, нужен еще комплекс организационно-административных решений и мер – регламентов, постоянно обновляемых инструкций, а также жесткий контроль за их исполнением.

Упоминавшийся выше анализ логов действий операторов – один из инструментов безопасности. Анализируя и сравнивая действия операторов, можно выявить недостатки подготовки персонала (например, если какое-либо действие занимает у одного из операторов значительно большего времени, чем у других), недостатки в алгоритмах работы службы безопасности (многократные повторения допустимых действий без очевидных причин, повторные запросы на разрешение в течение короткого времени), предпосылки к сговору (многократное повторение совместных действий, разрешение на определенное действие, исходящее от одного и того же человека, регулярно дает один оператор). Для объектов с небольшим штатом актуальность, глубину и периодичность такого анализа может определить только владелец. Для больших ЦОДов систематический анализ обязателен, его автоматизация и внедрение должны быть предусмотрены при создании дата-центра.

Дальше будет легче?

Новые средства обеспечения безопасности появляются каждый день. Камеры становятся совершеннее, датчики точнее и «умнее». Участие человека в эксплуатации и защите ЦОДа уменьшается. Принципиально нового уровня безопасности можно достичь, на мой взгляд, с помощью роботизации, в идеале – создать этакий zero human data center. Да, это потребует принципиально новых подходов к проектированию, новых конструктивных решений для самих дата-центров, но результат может с лихвой покрыть издержки за счет снижения вероятности человеческих ошибок, основного источника проблем при эксплуатации ЦОДа.

Еще одна перспектива – автоматизированный анализ действий и передвижений персонала по видео, способный выявить необычные и подозрительные действия людей на территории дата-центра (пока на объекте есть люди, за ними надо присматривать). Подобные системы сегодня есть только у таких ИТ-гигантов, как Amazon, и они не затрагивают сегмент ЦОДов, но недолго осталось ждать внедрений и в дата-центрах.

Антон Котов, руководитель отдела, «Инсистемс» (ГК ЛАНИТ)
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!