Разработанный в 2012 году английской компанией CENELEC отраслевой стандарт EN-50600 представляет собой пять логически связанных разделов, формализующих создание, функционирование и управление ЦОД на территории Европейского Союза. Стандарт постоянно обновляется и существует в трех официальных языковых версиях — английский, французский и немецкий языки. Он обязателен для всех европейских стран за исключением Украины и СНГ. EN-50600 во многом перекликается с международным стандартом ISO/IEC TS 22237, являясь на данный момент практически его копией в первых трех разделах. Будучи членом ISO и IEC, Россия, как и другие страны-участницы, вправе следовать данному стандарту или отказаться от его применения. Допускается применение стандарта в модифицированном виде, отражающем особенности российских требований к объекту стандартизации в соответствии с ГОСТ Р 1.7-2014.
Стандарт EN-50600 в своем роде является самым всеобъемлющим документом, описывающим все аспекты ЦОД на основе анализа рисков и влияния на бизнес. В документе формализуется классификация ЦОД по трем основным параметрам: готовность, безопасность, энергоэффективность. При этом готовность и безопасность классифицируется от первого до четвертого уровня, а энергоэффективность — от первого до третьего, т.е. ЦОД в соответствии с EN-50600 может иметь разные уровни: например, готовность уровня 3, безопасность уровня 4 и энергоэффективность уровня 2.
Вынося за скобки параметры готовности и энергоэффективности, рассмотрим далее, как решение AGRG ЦОД помогает привести проектируемый или уже готовый дата-центр к уровню 4 по параметру безопасности в соответствии со стандартом EN-50600.
![AGRG ЦОД, дата-центр с защитой по стандарту EN-50600](/sites/default/files/en-50600-3.jpg)
Информация по части физической безопасности ЦОД, а также рекомендуемые подходы к построению технических систем защиты ЦОД изложены во втором разделе пятой главы стандарта EN-50600 — в документе BS EN 50600-2-5:2016. Как и во всех остальных разделах стандарта, разработчики данного документа не затрагивают конкретные решения, оборудование или технологии, оставив этот вопрос на усмотрение проектировщиков, а лишь излагают концептуальные принципы технической защиты ЦОД. BS EN 50600-2-5:2016 можно приобрести на официальном сайте CENELEC, сторонних ресурсах или, как вариант, запросить у менеджера нашей компании вместе с прайс-листом на решение AGRG ЦОД.
BS EN 50600-2-5:2016, описывающий систему физической безопасности ЦОД, базируется на системе оценок рисков (Risk assessment) несанкционированного доступа как на территорию дата-центра, так и в помещения, отдельные комнаты, а также непосредственно к информации в серверных стойках и шкафах. Владельцы и проектировщики ЦОД должны сами провести комплексную оценку рисков в соответствии со стандартом BS EN 31010:2010. Доступ к помещениям, оборудованию и системам должен быть ограничен необходимым оперативным минимумом, что относится к аспектам пространства, времени, персонала и информации.
Построение СКУД и физической охраны следует осуществлять в соответствии с принципом «луковая кожура» (Onion Skin) или согласно модели «глубоко эшелонированной защиты» (Defence in Depth), т.е. должен использоваться эффект матрешки (см. рисунок 1) — несколько методов безопасности для снижения риска, на случай если определенный компонент безопасности скомпрометирован или сломан.
![Принцип Onion Skin или Defence in Depth по стандарту EN-50600](/sites/default/files/en-50600-1.jpg)
Рисунок 1.
Все указанные принципы вполне реализуются стандартными решениями СКУД, что позволяет привести физическую охрану дата-центра в соответствие уровню 3 физической безопасности с точки зрения доступа: системы охраны периметра дата-центра – уровень 1, СКУД на КПП и входы в здание – уровень 2, контроль доступа в помещения и отдельные комнаты – уровень 3.
Однако в стандарте EN-50600 освещается также уровень 4 в отношении систем контроля доступа в ЦОД. В частности, в разделе 6.2.7 документа BS EN 50600-2-5:2016 прописано положение о том, что все двери телекоммуникационных шкафов должны быть закрыты и защищены от несанкционированного доступа в соответствии с оценкой рисков и угроз, а в разделе 5.3 приводятся примеры с уровнями защиты от несанкционированного доступа в ЦОД, где так же фигурирует четвертый уровень защиты доступа непосредственно в серверную стойку или шкаф машинного зала.
Таблица 1. Пример классов защиты для помещений дата-центра
(перевод таблицы из стандарта BS EN 50600-2-5:2016, раздел 5.3)
Защита, уровень 1 |
Защита, уровень 2 |
Защита, уровень 3 |
Защита, уровень 4 |
Периметр и вход на территорию дата-центра |
Шлюзовые зоны и внешние помещения дата-центра, Внешние входы Складские помещения Комната ИБП Комнаты для тестирования Офисные помещения |
Входы в помещения* Входы в здания** Машинные залы Диспетчерская Помещение охраны дата-центра |
Телекоммуникационные шкафы и стойки в машинном зале дата-центра |
*СКУД в помещениях, находящихся на территории дата-центра **СКУД в зонах с более низким классом защиты |
Таким образом, в случае необходимости приведения ЦОД к соответствию английскому стандарту EN-50600 в части авторизованного доступа уровня 4 можно обратить внимание на решение AGRG ЦОД, которое является последним рубежом физической защиты доступа непосредственно к серверам в стойках и телекоммуникационных шкафах. AGRG ЦОД полностью интегрировано со СКУД Sigur, поэтому служба безопасности дата-центра может легко настроить политики доступа для разных групп сотрудников, посетителей и клиентов не только на уровне турникетов при входе и считывателей доступа в помещения, но и на уровне доступа в шкафы машинных залов дата-центра.
Использование политик доступа так же является требованием стандарта EN-50600, поэтому продуманная механика СКУД на основе анализа рисков, в т.ч. рисков копирования и утечки информации, – актуальный аспект сегодняшней реальности.
Крупные коммерческие дата-центры наряду с хостингом и арендой оборудования, когда доступ контрагента осуществляется только в удаленном режиме, все чаще предлагают услугу colocation (колокейшн), подразумевающую размещение оборудование клиента в отдельном шкафу машинного зала ЦОД. Дата-центрам, предоставляющим данную услугу, жизненно важен контроль доступа и протоколирование событий для каждой отдельной двери шкафа машинного зала.
![Протоколирование событий для каждой двери шкафа машинного зала](/sites/default/files/en-50600-4.jpg)
Поскольку колокейшн предполагает свободный доступ клиента к собственному оборудованию в любой момент, нередко возникает ситуация, когда в машинном зале одновременно присутствует несколько посетителей со стороны. Кроме того, там же могут находиться сотрудники самого дата-центра, дежурные инженеры, работники подрядных или партнерских организаций и т.п. При выполнении своих служебных обязанностей всем перечисленным категориям технического персонала придется открывать телекоммуникационные шкафы, получая таким образом бесконтрольный физический доступ к серверам, что, очевидно, представляет собой потенциальную угрозу копирования и утечки информации.
Решение AGRG ЦОД призвано регламентировать подобные рабочие сценарии. Оно позволяет протоколировать все события доступа к серверным шкафам, при необходимости организовывать подтвержденный доступ или доступ в сопровождении, получать сгенерированные отчеты за любой промежуток времени и тем самым купировать потенциальную утечку информации, доводя СКУД вашего ЦОД до уровня 4 по стандарту EN-50600.