Разработанный в 2012 году английской компанией CENELEC отраслевой стандарт EN-50600 представляет собой пять логически связанных разделов, формализующих создание, функционирование и управление ЦОД на территории Европейского Союза. Стандарт постоянно обновляется и существует в трех официальных языковых версиях — английский, французский и немецкий языки. Он обязателен для всех европейских стран за исключением Украины и СНГ. EN-50600 во многом перекликается с международным стандартом ISO/IEC TS 22237, являясь на данный момент практически его копией в первых трех разделах. Будучи членом ISO и IEC, Россия, как и другие страны-участницы, вправе следовать данному стандарту или отказаться от его применения. Допускается применение стандарта в модифицированном виде, отражающем особенности российских требований к объекту стандартизации в соответствии с ГОСТ Р 1.7-2014.
Стандарт EN-50600 в своем роде является самым всеобъемлющим документом, описывающим все аспекты ЦОД на основе анализа рисков и влияния на бизнес. В документе формализуется классификация ЦОД по трем основным параметрам: готовность, безопасность, энергоэффективность. При этом готовность и безопасность классифицируется от первого до четвертого уровня, а энергоэффективность — от первого до третьего, т.е. ЦОД в соответствии с EN-50600 может иметь разные уровни: например, готовность уровня 3, безопасность уровня 4 и энергоэффективность уровня 2.
Вынося за скобки параметры готовности и энергоэффективности, рассмотрим далее, как решение AGRG ЦОД помогает привести проектируемый или уже готовый дата-центр к уровню 4 по параметру безопасности в соответствии со стандартом EN-50600.
Информация по части физической безопасности ЦОД, а также рекомендуемые подходы к построению технических систем защиты ЦОД изложены во втором разделе пятой главы стандарта EN-50600 — в документе BS EN 50600-2-5:2016. Как и во всех остальных разделах стандарта, разработчики данного документа не затрагивают конкретные решения, оборудование или технологии, оставив этот вопрос на усмотрение проектировщиков, а лишь излагают концептуальные принципы технической защиты ЦОД. BS EN 50600-2-5:2016 можно приобрести на официальном сайте CENELEC, сторонних ресурсах или, как вариант, запросить у менеджера нашей компании вместе с прайс-листом на решение AGRG ЦОД.
BS EN 50600-2-5:2016, описывающий систему физической безопасности ЦОД, базируется на системе оценок рисков (Risk assessment) несанкционированного доступа как на территорию дата-центра, так и в помещения, отдельные комнаты, а также непосредственно к информации в серверных стойках и шкафах. Владельцы и проектировщики ЦОД должны сами провести комплексную оценку рисков в соответствии со стандартом BS EN 31010:2010. Доступ к помещениям, оборудованию и системам должен быть ограничен необходимым оперативным минимумом, что относится к аспектам пространства, времени, персонала и информации.
Построение СКУД и физической охраны следует осуществлять в соответствии с принципом «луковая кожура» (Onion Skin) или согласно модели «глубоко эшелонированной защиты» (Defence in Depth), т.е. должен использоваться эффект матрешки (см. рисунок 1) — несколько методов безопасности для снижения риска, на случай если определенный компонент безопасности скомпрометирован или сломан.
Рисунок 1.
Все указанные принципы вполне реализуются стандартными решениями СКУД, что позволяет привести физическую охрану дата-центра в соответствие уровню 3 физической безопасности с точки зрения доступа: системы охраны периметра дата-центра – уровень 1, СКУД на КПП и входы в здание – уровень 2, контроль доступа в помещения и отдельные комнаты – уровень 3.
Однако в стандарте EN-50600 освещается также уровень 4 в отношении систем контроля доступа в ЦОД. В частности, в разделе 6.2.7 документа BS EN 50600-2-5:2016 прописано положение о том, что все двери телекоммуникационных шкафов должны быть закрыты и защищены от несанкционированного доступа в соответствии с оценкой рисков и угроз, а в разделе 5.3 приводятся примеры с уровнями защиты от несанкционированного доступа в ЦОД, где так же фигурирует четвертый уровень защиты доступа непосредственно в серверную стойку или шкаф машинного зала.
Таблица 1. Пример классов защиты для помещений дата-центра
(перевод таблицы из стандарта BS EN 50600-2-5:2016, раздел 5.3)
|
Защита, уровень 1 |
Защита, уровень 2 |
Защита, уровень 3 |
Защита, уровень 4 |
|
Периметр и вход на территорию дата-центра |
Шлюзовые зоны и внешние помещения дата-центра, Внешние входы Складские помещения Комната ИБП Комнаты для тестирования Офисные помещения |
Входы в помещения* Входы в здания** Машинные залы Диспетчерская Помещение охраны дата-центра |
Телекоммуникационные шкафы и стойки в машинном зале дата-центра |
|
*СКУД в помещениях, находящихся на территории дата-центра **СКУД в зонах с более низким классом защиты |
|||
Таким образом, в случае необходимости приведения ЦОД к соответствию английскому стандарту EN-50600 в части авторизованного доступа уровня 4 можно обратить внимание на решение AGRG ЦОД, которое является последним рубежом физической защиты доступа непосредственно к серверам в стойках и телекоммуникационных шкафах. AGRG ЦОД полностью интегрировано со СКУД Sigur, поэтому служба безопасности дата-центра может легко настроить политики доступа для разных групп сотрудников, посетителей и клиентов не только на уровне турникетов при входе и считывателей доступа в помещения, но и на уровне доступа в шкафы машинных залов дата-центра.
Использование политик доступа так же является требованием стандарта EN-50600, поэтому продуманная механика СКУД на основе анализа рисков, в т.ч. рисков копирования и утечки информации, – актуальный аспект сегодняшней реальности.
Крупные коммерческие дата-центры наряду с хостингом и арендой оборудования, когда доступ контрагента осуществляется только в удаленном режиме, все чаще предлагают услугу colocation (колокейшн), подразумевающую размещение оборудование клиента в отдельном шкафу машинного зала ЦОД. Дата-центрам, предоставляющим данную услугу, жизненно важен контроль доступа и протоколирование событий для каждой отдельной двери шкафа машинного зала.
Поскольку колокейшн предполагает свободный доступ клиента к собственному оборудованию в любой момент, нередко возникает ситуация, когда в машинном зале одновременно присутствует несколько посетителей со стороны. Кроме того, там же могут находиться сотрудники самого дата-центра, дежурные инженеры, работники подрядных или партнерских организаций и т.п. При выполнении своих служебных обязанностей всем перечисленным категориям технического персонала придется открывать телекоммуникационные шкафы, получая таким образом бесконтрольный физический доступ к серверам, что, очевидно, представляет собой потенциальную угрозу копирования и утечки информации.
Решение AGRG ЦОД призвано регламентировать подобные рабочие сценарии. Оно позволяет протоколировать все события доступа к серверным шкафам, при необходимости организовывать подтвержденный доступ или доступ в сопровождении, получать сгенерированные отчеты за любой промежуток времени и тем самым купировать потенциальную утечку информации, доводя СКУД вашего ЦОД до уровня 4 по стандарту EN-50600.
