Vybudujte si nedobytné datové centrum

Pasti, systémy kontroly vstupu, zátarasy a dohled. Přinášíme rady, jak si datové centrum zabezpečit před fyzickým ohrožením i průniky.

Vybudujte si nedobytné datové centrum


Existuje mnoho složitých dokumentů, které by podniky měly vzít v úvahu při návrhu bezpečného datového centra – od specifikací zlatého standardu vládních orgánů pro výstavbu citlivých budov, jako jsou třeba velvyslanectví, přes standardy infrastruktury publikované průmyslovými skupinami, jako je TIA (Telecommunications Industry Association), až po bezpečnostní požadavky dané například protipožárními předpisy.

Jaké by však měly být nejvyšší cíle šéfa zabezpečení, aby se zajistilo, že zabezpečení nového datového centra bude integrované přímo v jeho konstrukci a nebudou to jen drahé neúčinné nápady?

Přečtěte si níže, jak je fiktivní datové centrum navržené tak, aby odolalo všemu – počínaje podnikové špionáži přes teroristy až po přírodní katastrofy. Zvláštní bezpečnostní opatření mohou být samozřejmě drahá. Jsou ale součástí nákladů na výstavbu center, které dokážou fungovat i během nejrůznějších katastrof.

1. Stavějte na vhodném místě. Zajistěte, aby byla budova v určité vzdálenosti od sídla organizace (obvykle cca 30 km) a minimálně 30 metrů od hlavní silnice. Nevhodnými sousedy jsou letiště, chemická zařízení a elektrárny.

Mezi špatné zprávy patří možnost zemětřesení, která způsobují poruchy linek, a oblasti trpící povodněmi či jinými přírodními abnormálními jevy. Vyvarujte se také upozorňování na datové centrum jakýmikoliv informačními tabulemi.

2. Používejte redundantní technickou infrastrukturu. Datová centra potřebují dva zdroje technické infrastruktury, jako jsou elektřina, voda a telefonní i datové služby. Zdrojem elektřiny by měly být dvě různé samostatné rozvodné stanice a voda by se měla přivádět ze dvou různých hlavních rozvodů.

Vedení těchto inženýrských sítí by mělo být pod zemí a mělo by procházet různými částmi budovy. A voda by měla být od ostatních rozvodů oddělená. Používejte předpokládanou spotřebu energie v datovém centru jako argument k získání potřebných speciálních služeb od společnosti dodávající elektřinu.

3. Věnujte velkou pozornost zdem. Beton tlustý alespoň 30 cm je levnou a účinnou bariérou proti přírodním živlům i výbušným systémům. Pro zvýšení bezpečnosti můžete ve skladbě zdí použít vrstvu kevlaru.

4. Vyvarujte se oken. Stavíte ve své podstatě sklad, a nikoliv kancelářskou budovu. Pokud musíte mít okna, omezte je na odpočinkovou místnost či administrativní oblast a používejte laminované sklo odolné výbuchům.

5. Použijte k ochraně terénní úpravy. Stromy, balvany a uměle vytvořená údolí mohou skrýt budovu před projíždějícími auty, pomoci mohou také nevýrazná zabezpečovací zařízení (například ploty) – udrží vozidla, aby se nedostala příliš blízko. A kromě toho také vypadají hezky.

6. Kolem areálu vytvořte 30metrovou nárazníkovou zónu. Tam, kde terénní úpravy nechrání budovu před vozidly, používejte namísto toho nárazuvzdorné bariéry. Zátarasy tvořené květináči jsou méně nápadné a vypadají lépe než jiné prostředky. Také můžete udělat to, co Apple nebo Google – zaměstnat vlastní ochranku objektu.

7. Používejte zasunovatelné nárazuvzdorné bariéry u vjezdů. Kontrolujte přístup k parkovací ploše a nakládací rampě lidmi obsazenou strážní stanicí, která ovládá zasunovatelné zátarasy.

Použijte zvednutou bránu a zelené světlo jako vizuální signály, že jsou zátarasy odstraněné a řidič může projet. V případech, kdy je třeba zvýšené opatrnosti, ponechávejte bariéry ve výchozím stavu vysunuté a odstraňujte je jen v případě získání oprávnění k průjezdu.

8. Plánujte detekci bomb. Datová centra, která jsou zvláště citlivými a pravděpodobnými cíli, by měla prostřednictvím ochranky a zrcadel kontrolovat spodní část vozidel, zda se tam nenacházejí výbušniny, a případně používat přenosná zařízení k detekci bomb.

Na zvýšenou hrozbu způsobenou rostoucím počtem vozidel můžete reagovat tak, že budete kontrolovat také vozidla zaměstnanců, návštěvníků a rovněž dodávkové vozy.

9. Omezte počet fyzických vstupů a vjezdů. Kontrolujte přístup do budovy vytvořením jednoho hlavního vchodu a jednoho zadního pro nakládací rampu. To mimo jiné také udrží nízké náklady.

10. Protipožární dveře používejte jen pro potřebu úniku. U únikových východů požadovaných požárními předpisy nainstalujte dveře, které nemají rukojeti z vnější strany. Pokud se kterékoli z těchto dveří otevřou, měl by se spustit hlasitý poplach a mělo by to vyvolat odezvu z velitelského centra zabezpečení.

11. Použijte velké množství kamer. Dohledové kamery by měly být nainstalované kolem obvodu budovy, ve všech vchodech a východech a v každém přístupovém bodě v celém areálu. Ideální je kombinace zařízení pro detekci pohybu, kamer pracujících při nízké úrovni osvětlení a standardních pevných kamer. Záběry by se měly zaznamenávat digitálně a uchovávat mimo danou lokalitu.

12. Chraňte strojní zařízení budovy. Střežte prostřednictvím přísného zákazu vstupu mechanickou oblast budovy, která obsahuje klimatizační systémy a zdroje nepřetržitého napájení. Pokud jsou generátory umístěné venku, používejte k zabezpečení oblasti betonové zdi. V obou případech zajistěte, aby všichni smluvní partneři a opravářský personál byli za všech okolností doprovázení vašimi přímými zaměstnanci.

13. Navrhněte bezpečné zacházení se vzduchem. Zajistěte, aby topení, větrání a klimatizační systémy bylo možné přepnout na recirkulaci namísto nasávání vzduchu zvenčí. To může pomoci ochránit lidi a zařízení v případě, že by došlo k nějakému biologickému či chemickému útoku nebo by bylo okolí zamořeno kouřem z ohně.

Pro zvýšení bezpečnosti instalujte zařízení pro monitoring kvality vzduchu, zda neobsahuje kontaminující chemické, biologické nebo radiační látky.

14. Zajistěte, aby nebylo možné nic skrýt ve zdech a stropech. V bezpečných prostorách datového centra zajistěte, aby byly vnitřní stěny nepřerušené od stropního panelu až k podlaze, kde se obvykle nachází kabeláž. Zajistěte také, aby stropní podhledy nevytvářely možné skryté přístupové body.

15. Použijte dvoufaktorovou autentizaci. Pro přístup do citlivých oblastí datových center se stávají standardem biometrická identifikace využívající geometrii ruky nebo snímače otisků prstů, které jsou obvykle považované za méně invazivní než skenování sítnice. V ostatních oblastech je možné použít levnější přístupové karty.

16. Zvyšte odolnost jádra pomocí bezpečnostních vrstev. Totožnost každého, kdo vstupuje do nejvíce zabezpečené části datového centra, by měla být ověřená nejméně třikrát, a to:

a) U vnějších dveří. Nezapomeňte, že budete potřebovat způsob, jak by mohli návštěvníci zazvonit na recepci.

b) U vnitřních dveří. Zde dochází k oddělení oblasti pro návštěvníky od obecné oblasti pro zaměstnance.

c) U vchodu do datové části centra. Obvykle je to vrstva s nejpřísnější pozitivní kontrolou, což znamená, že není povolen žádný neprověřený průchod s někým jiným. Pro implementaci máte dvě možnosti: turniket od podlahy až ke stropu nebo tzv. past.

V prvním případě, pokud se někdo pokusí proklouznout za ověřeným uživatelem, dveře se lehce otáčejí opačným směrem. (Při požáru se stěny turniketu složí, aby umožnily rychlý únik.)

Past zase poskytuje alternativní přístup k zařízení a je vhodná pro osoby se zdravotním postižením. Skládá se ze dvou samostatných dveří s přechodovým prostorem mezi nimi. V jeden okamžik lze otevřít jen jedny dveře a pro oboje dveře je nutná autentizace.

d) U dveří do jednotlivých místností s počítačovou technikou. Používá se zejména pro místnosti, kde se nalézají skutečné servery, mainframy či další kritické IT vybavení. Přístup poskytujte jen na základě konkrétní potřeby a tyto místnosti co nejvíce segmentujte, aby se udržely maximální kontrola a sledování přístupu.

TIP: Bezpečnostní dveře vybírejte od ověřených značek. Podívejte se například na nabídku bezpečnostních dveří značky ADLO. Tato značka je na trhu přes 25 let a nabízí dveře jak do bytů, domů, tak i firem s třídou bezpečnosti 1-5. Zároveň nabízí i protipožární dveře vhodné právě do firem

17. Sledujte i východy. Sledujte vstupy i východy – nejen pro hlavní část nemovitosti, ale i pro citlivější oblasti. Pomůže vám to udržet přehled o tom, kdo, kde a kdy byl. Pomáhá to také při evakuaci budovy v případě požáru.

18. Zakažte jídlo v počítačových místnostech. Zajistěte společný prostor, kde se lidé mohou najíst, ale nedovolujte brát jídlo k počítačovému vybavení.

19. Zajistěte WC pro návštěvníky. Zajistěte dostupnost WC pro návštěvníky a pro dodavatele, kteří nemají přístup do zabezpečených částí budovy.

 

Tento příspěvek vyšel v Security Worldu 4/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

 

Úvodní foto: © senticus - Fotolia.com


Komentáře