Ochrana datového centra z pohledu bezpečnostních technologií

7. 10. 2021
Doba čtení: 11 minut

Sdílet

 Autor: © .shock - Fotolia.com
Zabezpečení datových center se v digitální době stává stále zásadnějším tématem. Kromě ochrany proti kybernetickým útoků by se však nemělo zapomínat na fyzické zabezpečení samotné infrastruktury, a to jak před vniknutím neoprávněných osob, tak před největším nepřítelem, jímž je oheň.

Datové sály nebo celá datová centra i díky své stále se zvyšující důležitosti vyžadují čím dál více sofistikovanější ochranu. V následujícím textu si krátce představíme její možné podoby. Nebudeme se ale zabývat ochranou, která vytane na mysl zřejmě jako první – tedy samotných dat nebo datové komunikace, nýbrž ochranou fyzickou.

Konkrétní prvky a systémy, které se stanou součástí takovéhoto zabezpečení datového centra, samozřejmě závisejí primárně na rizicích, jež je pro příslušný objekt vhodné pokrýt. Obecně ale do těchto kandidátů budeme nejčastěji řadit systémy:

  • kamerové,
  • kontroly vstupu,
  • elektronické poplachové zabezpečovací signalizace,
  • požární signalizace,
  • detekce parametrů prostředí a reakce na ně.

Kamerové systémy

Jejich úkol je zřejmý, ať už jako samostatně fungující technologie nebo ve spojení s dalšími systémy – typicky poplachovým nebo přístupovým. A také to bude patrně první technologie, se kterou se u datového centra budete moct potkat ještě dříve, než do něj vůbec vstoupíte. Jednou z častých aplikací kamerových systémů je totiž venkovní (perimetrická) ochrana. Při použití kamer s pokročilou videoanalýzou na bázi AI totiž může takovýto kamerový systém sám obsluhu centra upozorňovat na nestandardní jevy. Např. přelezení plotu narušitelem, pohyb v oblasti, kde by se nikdo neměl vyskytovat apod. V mnoha případech může být přínosné použití kamer s termální technologií, která zajišťuje přesnou detekci i za nepříznivých povětrnostních (mlha, déšť) nebo světelných podmínek (tma, ostré protisvětlo apod.) Nebo ještě lépe použití bispektrálních kamer – ty kombinují konvenční technologii s termální, a nabízejí tak efektivní mix výhod z obou světů.

Datové centrum je samozřejmě potřeba chránit i zevnitř. Kamery pro vnitřní ochranu tak svým záběrem pokrývají chodby a přístupové body, stejně jako místnosti s technologiemi. Jedním z jejich úkolů je poskytnutí obrazové verifikace osob vstupujících do chráněných prostor, ale samozřejmě i zajištění obrazových informací o pohybu osob po objektu. Na kamery pro tyto účely se nekladou žádné speciální požadavky, měly by ale poskytovat obraz v dostatečně vysokém rozlišení s věrnou prezentací barev a rychlou reakcí při změně světelných podmínek (rozsvícené – zhasnuté světlo). Přidanou hodnotou mohou být kamery s AI videoanalýzou, která umí do systému poskytovat v podobě metadat další informace o osobě jako např. barva oblečení, čepice, brýle, pohlaví apod.

Třetí oblastí, kde mohou v datovém centru kamery najít své uplatnění, je ochrana samotných datových rozváděčů. Zde tedy z pohledu identifikace a monitoringu osoby pracující u konkrétní skříně. Pokud je kamera navíc vybavena schopností identifikace osoby, může jít o další bezpečnostní prvek systému přístupu a identifikace. Pro tuto oblast jsou vhodné tzv. modulární kamery, které obsahují řídicí jednotku, samostatný malý kamerový modul a propojovací kabel. Podle typu kamery a výrobce mohou být k jedné řídicí jednotce připojeny až čtyři kamerové moduly. V ideálním případě je jeden rozvaděč vybaven dvěma kamerovými moduly, které mohou zaznamenat a případně identifikovat osobu po otevření předních nebo zadních dveří rozváděče.

Systémy kontroly vstupu

Řízené vpouštění jen autorizovaných osob do chráněných prostor je ze zřejmých důvodů celkem samozřejmou součástí podobných řešení. I když má co do četnosti použití nejčastěji podobu klasických bezkontaktních karet, vyplatí se zvážit nasazení i dalších současných dostupných technologií, nabízejících vyšší jistotu identifikace oprávněných osob.

Pokud už je nasazena některá z technologií bezkontaktních karet, mělo by jít o řešení pracující se zabezpečenou komunikací a vzájemnou autentizací karty a čtečky – to dnes nabízí hned několik systémů pracujících na frekvenci 13,56 MHz. Důvodem je eliminace možností neoprávněného kopírování karet, které je u nejlevnějších bezkontaktních řešení bez větších problémů dnes dostupné. A i při nasazení bezpečné bezkontaktní technologie je alespoň na nejdůležitějších místech datového centra žádoucí zkombinovat požadavek na vstup kartou ještě s kódem (PIN), které zase částečně brání zneužití náhodně nalezené nebo odcizené bezkontaktní karty.

Fyzickou kartu už ale dnes můžete bez problémů nahradit kartou virtuální, která je bezpečně uložena v mobilním telefonu uživatele, podobně jako máte uloženy (v tokenizované podobě) mobilní platební karty. Velkou výhodou tohoto řešení je, že virtuální kartu může provozovatel datového centra poslat zákazníkovi i na dálku, např. e-mailem, aniž se s ním musí fyzicky potkat. Dále výrazně menší riziko zneužití i bez PIN klávesnic na přístupových čtečkách, protože už použití samotného telefonu má většina uživatelů podmíněno biometrickou nebo jinou identifikací vlastní osoby.

A tím se dostáváme ke třetí oblasti, která se dá při požadavcích na vysokou bezpečnost přístupů využít – biometrickým čtečkám. Fungují typicky bez nutnosti použití jakéhokoliv doplňkového fyzického identifikátoru (i když i ten může být v některých případech žádoucí) a na výběr u nich máte hned několik technologií snímání charakteristik uživatelů – od klasických otisků prstů přes vyhodnocení tváře (geometrie obličeje – stručně jsme se jí vlastně dotkli už v kapitole o kamerových systémech při identifikaci osob u vstupů nebo datových skříní) až třeba k vyhodnocování krevního řečiště dlaně. Poslední jmenovaná metoda je pro použití v objektech typu datových center obzvláště zajímavá. Jednoduchá na použití, obecně bezkontaktní, rychlá při vyhodnocení a hlavně extrémně bezpečná – pracuje s pěti miliony referenčních bodů v řečišti dlaně a s pravděpodobností chybného vpuštění neoprávněné osoby 0,00008 %.

Poplachová zabezpečovací signalizace

Bez ohledu na konkrétní provedení z řady dostupných řešení nedílná součást bezpečnostní skládačky u jakéhokoliv datového centra. Technologie, která bývá pro řadu běžných uživatelů „neviditelná“, protože se s jejími prvky setkávají jen velmi omezeně – ať už jde o dveřní kontakty sledující vstup do chráněných prostor nebo pohybová čidla na stěnách a stropech. Ale technologie o to důležitější, protože dokáže signalizovat neoprávněný vstup do chráněných prostor v době, kdy je příslušná oblast střežena.

Autorizované zapnutí a vypnutí střežení je možné udělat hned několika způsoby. Nejjednodušší, ale jednou z méně

bezpečných je cesta zadání kódu (PIN) na klávesnici. Vyšší bezpečnosti můžete dosáhnout kombinací přístupové karty a kódu. A zde se logicky nabízí možnost propojení se systémem kontroly vstupu. Pokud už byla vstupující osoba bezpečně identifikována jako oprávněný uživatel, proč tuto identifikaci rovnou nevyužít i pro automatizované vypnutí střežení? Nebo případně zpřístupnění tlačítek na table pro výběr ovládání střežení jednotlivých prostor centra? A integrace mezi systémy mohou jít samozřejmě dále – třeba v případě poplachu zapnutí nahrávání z kamer vyšší snímkovací rychlostí nebo natočení přehledové otočné kamery na místo, kde byl poplach detekován.

Důležitá je v případě poplachové zabezpečovací signalizace i přehlednost rozhraní pro běžného uživatele. Ať už je v podobě přehledného a snadno pochopitelného zobrazení na grafické klávesnici nebo pomocí tlačítkového tabla s jednoduchou intuitivní signalizací, co je střeženo, a kde je naopak střežení vypnuto.

Požární signalizace, detekce kouře

Jedním z bezesporu největších strašáků v technikou nabitém datovém centru je oheň. Ten i v jiných objektech dokážete detekovat pomocí různých typů požárních hlásičů podle specifik místa a požadavků na signalizaci. Ovšem detekovat požár až po jeho vypuknutí může být v objektu typu datového centra už pozdě. Tady se bude určitě hodit možnost detekce už prvních příznaků v rané fázi jeho vzniku, tedy detekce kouře. Mimo jiné i proto, že chemikálie přenášené kouřem se mohou usazovat na citlivých elektronických zařízeních a při jejich pozdějším vystavení běžné vzdušné vlhkosti být zdrojem koroze. Navíc systémy vzduchotechniky v takovýchto objektech přispívají k šíření požáru a jeho projevů od místa vzniku do okolních prostor.

A zde mohou přijít ke slovu nasávací systémy.Typomocí nasávacího potrubí, roztaženého v chráněných prostorách, ženou  vzduch do centrální nasávací jednotky, kde dochází k detekci látek představujících nejranější stadia požáru. A to i v prostorách se zvýšeným prouděním vzduchu, což datová centra bezesporu jsou.

Moderní nasávací systémy dokážou bezpečně rozlišovat mezi různými druhy kouře a částic ve vzduchu, což může být důležité hlavně v městských aglomeracích nebo průmyslových areálech se zvýšenou mírou znečištění ovzduší prachem, kouřem z výfukových plynů nebo sazemi.

Detekce parametrů prostředí

Ale nemusí hned hořet, aby nastal v objektu typu datového centra vážný problém. Nebezpečím pro umístěné datové technologie totiž může být i vysoká teplota, příliš vysoká, nebo naopak příliš nízká vlhkost vzduchu, případně odvěký soupeř zmiňovaného ohně – tedy voda. Hlavně ta uniklá z poškozených vodovodních potrubí nebo klimatizačních jednotek, která se navíc před zvědavými zraky ráda skrývá ve dvojitých podlahách datových sálů.

Eliminaci těchto rizik nabízejí systémy pro sledování parametrů prostředí. Tedy čidla teploty, vlhkosti, ideálně s kontinuálním měřením průběhu hodnot, aby bylo možné reagovat už na raná stadia problému, ne až jeho plné propuknutí. Dnes vám kromě lokální signalizace problému nabízejí i celou řadu dalších doplňkových kanálů, jak obsluhu centra upozornit na problém – e-mailem, SMS, prozvoněním telefonu nebo některým z řady podporovaných komunikačních protokolů, kterým mohou tyto údaje předávat i do jiných systémů, s nimiž jsou integrovány.

Pokud jsme zmínili vodu, speciálně pro prostory typu datových center je více než vhodná její detekce pomocí plošných detekčních kabelů. Ideálně takových, které můžete volně pokládat, ohýbat nebo s nimi třeba i omotat rizikové vodovodní nebo klimatizační potrubí.

Integrace systémů

A pokud už budeme mít datové centrum chráněné zmíněnými systémy, nemůžete minout logickou otázku, zda by se nemohly vzájemně datově propojit a z hlediska monitoringu i jednoduchého ovládání centralizovat. Odpověď je pochopitelně kladná. Pokud pomineme výrobci připravené přímé vazby mezi konkrétními systémy, pak máte na výběr z řady dostupných nadstavbových řešení, která vám takovýto dohled centralizují a zajistí provádění vzájemných interakcí mezi systémy (záznam z kamer v případě poplachu, automatické střežení při odchodu poslední osoby, detailní živý pohled z kamery při detekci kouře apod.) A v neposlední řadě  nabídnou pro obsluhu celé řady systémů jediné unifikované rozhraní, např. i s možností zobrazení pokynů pro řešení vzácných mimořádných stavů.

bitcoin_skoleni

Ať jsou tedy vaše datová centra v bezpečí a vy můžete žít s klidnou myslí, že všechna předpokládatelná rizika jste kombinací zmíněných systémů už předem úspěšně eliminovali.

Kamil Štětina, produktový manažer dohledových a přístupových systémů, ADI Global.

Čtěte dále

IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
Arrow Electronics v EMEA spouští Cloud Amplification Program
Arrow Electronics v EMEA spouští Cloud Amplification Program
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi