«Журнал сетевых решений/LAN», № 10, 2013

«Журнал сетевых решений/LAN», № 10, 2013

21.11.2013

Сергей Мищук, технический директор DataLine, и Вячеслав Вовкогон, специалист по информационной безопасности DataLine, поделились с "Журналом сетевых решений/LAN" своими соображениями об обеспечении физической безопасности в дата-цетре.

ЦОД за семью замками

Наи­бо­лее сба­лан­си­ро­ван­ный спо­соб обес­пе­чить фи­зи­че­скую за­щи­ту ЦОД — ре­а­ли­зо­вать мно­го­уров­не­вую за­щи­ту с несколь­ки­ми пе­ри­мет­ра­ми без­опас­но­сти. Как и при эше­ло­ни­ро­ван­ной обо­роне, про­рыв од­но­го уров­ня не будет озна­чать про­ры­ва си­сте­мы без­опас­но­сти. При этом внут­рен­ние пе­ри­мет­ры не менее важны, чем внешние.

Без­опас­ность дан­ных — одна из глав­ных забот лю­бо­го вла­дель­ца ЦОД, ведь по сути он пред­став­ля­ет не что иное, как один боль­шой банк дан­ных. На обес­пе­че­ние за­щи­щен­но­го до­сту­па к дан­ным и их на­деж­ное хра­не­ние тра­тят­ся де­сят­ки тысяч дол­ла­ров: меж­се­те­вые экра­ны, шлюзы VPN, си­сте­мы об­на­ру­же­ния втор­же­ний при­зва­ны сде­лать сеть непро­ни­ца­е­мой для про­ник­но­ве­ния извне, а кла­сте­ры, ре­зер­ви­ро­ва­ние, уста­нов­ка ИБП и ди­зель-ге­не­ра­то­ров вме­сте с дру­ги­ми ме­ра­ми по­вы­ше­ния на­деж­но­сти и го­тов­но­сти — ни­ве­ли­ро­вать по­след­ствия от любых тех­ни­че­ских сбоев. Ка­жет­ся, ни­че­го не за­бы­ли? Как на­счет пары креп­ких ребят с ло­ми­ка­ми? «В Рос­сии на­учи­лись стро­ить ЦОД c за­щи­щен­ны­ми се­тя­ми и вы­со­ко­на­деж­ным обо­ру­до­ва­ни­ем, — го­во­рит Алек­сандр Нилов, ме­не­джер Rittal по про­дук­ции для ИТ-ин­фра­струк­ту­ры, — но недо­оце­ни­ва­ют фи­зи­че­ские риски».

Ос­нов­ная за­да­ча фи­зи­че­ской без­опас­но­сти ЦОД (но от­нюдь не един­ствен­ная) — предот­вра­тить про­ник­но­ве­ние в зда­ние людей, ко­то­рые не долж­ны там на­хо­дить­ся, а если им все же удаст­ся это сде­лать, как можно быст­рее их иден­ти­фи­ци­ро­вать. Дру­гая, не менее важ­ная — за­щи­тить обо­ру­до­ва­ние от воз­дей­ствия внеш­них тех­но­ген­ных и при­род­ных фак­то­ров. За ре­ше­ние этих задач при­хо­дит­ся брать­ся за­дол­го до ор­га­ни­за­ции самой пло­щад­ки. Соб­ствен­но, опре­де­лен­ные тре­бо­ва­ния при­хо­дит­ся учи­ты­вать уже при вы­бо­ре места. Так, в со­от­вет­ствии с кри­те­ри­я­ми вы­бо­ра места под ЦОД, из­ло­жен­ны­ми в TIA 942 Data Center Site Selection Criteria, от­ве­ден­ное под него зда­ние нель­зя рас­по­ла­гать на рав­нине, где слу­ча­ют­ся на­вод­не­ния, в сей­смо­опас­ных рай­о­нах, на холме с ве­ро­ят­ны­ми ополз­ня­ми, вниз по те­че­нию от пло­ти­ны, ближе 0,4 км к аэро­пор­ту, хи­ми­че­ско­му за­во­ду, свал­ке, по­бе­ре­жью, реке, дамбе. В ра­ди­у­се 0,8 км от ЦОД не долж­но на­хо­дить­ся во­ен­ной базы, а в 1,6 км — атом­ной стан­ции, скла­дов с бо­е­при­па­са­ми или обо­рон­ных пред­при­я­тий (ви­ди­мо, они опас­нее во­ен­ных баз). Да, и ни­ка­ких ино­стран­ных ди­пмис­сий по­бли­зо­сти, ко­то­рые по опас­но­сти по­став­ле­ны в один ряд с кри­ми­но­ген­ны­ми рай­о­на­ми: неиз­вест­но еще, от кого угро­за боль­ше — от ди­пло­ма­тов под при­кры­ти­ем или от по­тен­ци­аль­ных преступников.

И это толь­ко часть фак­то­ров, ко­то­рые при­хо­дит­ся учи­ты­вать уже при вы­бо­ре пло­щад­ки! Спра­вед­ли­во­сти ради стоит ска­зать, что да­ле­ко не все они необ­хо­ди­мы, если ЦОД не пре­тен­ду­ет на вы­со­кий уро­вень клас­си­фи­ка­ции по си­сте­ме Tier (см. Таб­ли­цу 1). Вме­сте с тем неко­то­рые из этих мер (на­при­мер, уда­лен­ность не менее 800 м от ав­то­ма­ги­стра­лей для ЦОД Tier IV) весь­ма про­бле­ма­тич­но вы­пол­нить в усло­ви­ях Моск­вы (впро­чем, пока ни один рос­сий­ский ЦОД не пре­тен­ду­ет на со­от­вет­ствие этому уров­ню). В общем слу­чае, как ука­зы­ва­ет Сер­гей Ту­ту­кин, на­чаль­ник от­де­ла си­стем­ных про­грамм­ных раз­ра­бо­ток ком­па­нии «Тех­но­серв», меры за­щи­ты ЦОД, в том числе и фи­зи­че­ской, долж­ны фор­ми­ро­вать­ся на на­чаль­ной ста­дии про­ек­ти­ро­ва­ния ЦОД, ис­хо­дя из па­ра­мет­ров си­сте­мы — уров­ня кон­фи­ден­ци­аль­но­сти (ком­мер­че­ской цен­но­сти) об­ра­ба­ты­ва­е­мой ин­фор­ма­ции, мо­де­ли угроз и оцен­ки рис­ков (оцен­ки по­след­ствий в слу­чае ре­а­ли­за­ции угроз).

ПЕ­РИ­МЕТ­РЫ БЕЗОПАСНОСТИ

Без­опас­ность часто упо­доб­ля­ют лу­ко­ви­це. С одной сто­ро­ны, от нее мно­гим хо­чет­ся пла­кать, а с дру­гой — она такая же мно­го­слой­ная. Это же срав­не­ние при­ме­ни­мо и к фи­зи­че­ской за­щи­те цен­тра об­ра­бот­ки дан­ных, пред­по­ла­га­ю­щей ор­га­ни­за­цию несколь­ких пе­ри­мет­ров без­опас­но­сти, од­на­ко, как будет по­ка­за­но даль­ше (см. раз­дел «НИЧТО НЕ ЗАБЫТО?»), при­ни­ма­е­мые меры неред­ко ока­зы­ва­ют­ся недо­ста­точ­ны­ми. В таком слу­чае, как го­во­рит­ся, пла­ка­ли ваши де­неж­ки. Со­глас­но ис­сле­до­ва­нию «Цена утери дан­ных» (2012 Cost of Data Breach), сред­ний раз­мер ущер­ба для аме­ри­кан­ских ком­па­ний из раз­ных сек­то­ров эко­но­ми­ки со­став­ля­ет 5,5 млн дол­ла­ров. При этом глав­ной при­чи­ной таких по­терь яв­ля­ют­ся не зло­на­ме­рен­ные атаки (37%), а пре­не­бре­же­ние эле­мен­тар­ны­ми пра­ви­ла­ми без­опас­но­сти со сто­ро­ны со­труд­ни­ков (39%).

Наи­бо­лее сба­лан­си­ро­ван­ный спо­соб обес­пе­чить фи­зи­че­скую без­опас­ность ЦОД — ре­а­ли­зо­вать мно­го­уров­не­вую за­щи­ту (с несколь­ки­ми пе­ри­мет­ра­ми без­опас­но­сти). Как и при эше­ло­ни­ро­ван­ной обо­роне, про­рыв од­но­го уров­ня не будет озна­чать про­ры­ва си­сте­мы без­опас­но­сти. При этом внут­рен­ние пе­ри­мет­ры без­опас­но­сти не менее важны, чем внеш­ние: они поз­во­ля­ют умень­шить риск ре­а­ли­за­ции внут­рен­них угроз вслед­ствие как непред­на­ме­рен­ных, так и зло­на­ме­рен­ных дей­ствий со­труд­ни­ков. Со­глас­но опро­су Cyber-ark, из 600 фи­нан­со­вых ра­бот­ни­ков, от­ве­чав­ших на во­про­сы в Нью-Йор­ке и Лон­доне, 25% ре­спон­ден­тов при­зна­ли, что они не пре­ми­нут вос­поль­зо­вать­ся слу­жеб­ной ин­фор­ма­ци­ей в соб­ствен­ных целях, несмот­ря на любые по­след­ствия, при этом боль­шин­ство осо­зна­ет неза­кон­ность своих дей­ствий. Так что опа­се­ния ра­бо­то­да­те­лей — а 69% из них видят наи­боль­шую угро­зу без­опас­но­сти в дей­стви­ях соб­ствен­но­го пер­со­на­ла — вы­гля­дят вполне обоснованными.

Если необ­хо­ди­мость ор­га­ни­за­ции кон­тро­ля до­сту­па осо­зна­ют все вла­дель­цы цен­тров об­ра­бот­ки дан­ных, то раз­гра­ни­че­ни­ем до­сту­па внут­ри ЦОД мно­гие пре­не­бре­га­ют. Как ука­зы­ва­ет Алек­сандр Нилов, очень часто можно встре­тить сле­ду­ю­щую си­ту­а­цию: ЦОД имеет охра­ня­е­мый пе­ри­метр, до­ступ на объ­ект стро­го огра­ни­чен, но вот про­ход в ма­шин­ный зал от­крыт для всего об­слу­жи­ва­ю­ще­го пер­со­на­ла, и любой со­труд­ник, сам не зная того, может со­здать опас­ную си­ту­а­цию, ко­то­рая при­ве­дет к оста­нов­ке ЦОД. И ведь это не пу­стые предо­сте­ре­же­ния. Ва­лен­тин Фосс, ди­рек­тор по мар­ке­тин­гу и про­да­жам ком­па­нии «Ути­лекс», рас­ска­зал в ка­че­стве при­ме­ра по­учи­тель­ную ис­то­рию. На одном из объ­ек­тов вне­штат­ный элек­трик, при­гла­шен­ный в ЦОД для про­ве­де­ния ка­ких-то незна­чи­тель­ных работ, был остав­лен без при­смот­ра. Из чи­сто­го лю­бо­пыт­ства он нажал на кноп­ку ава­рий­но­го по­жа­ро­ту­ше­ния (она крас­ная и очень боль­шая). В ре­зуль­та­те была по­вре­жде­на часть обо­ру­до­ва­ния, не го­во­ря уж о вне­пла­но­вой оста­нов­ке ра­бо­ты всего ЦОД.

Таким об­ра­зом, если об­слу­жи­ва­ю­щий пер­со­нал (а в слу­чае ком­мер­че­ско­го ЦОД и сами кли­ен­ты) будет иметь сво­бод­ный до­ступ в ма­шин­ный зал, то ве­ро­ят­ность на­не­се­ния вреда дан­ным очень вы­со­ка, даже несмот­ря на на­ли­чие мно­го­уров­не­вой си­сте­мы без­опас­но­сти. Как ука­зы­ва­ет Ан­дрей Ка­сья­нен­ко, за­ме­сти­тель ге­не­раль­но­го ди­рек­то­ра ком­па­нии Caravan, из­бе­жать этого по­мо­жет толь­ко про­ду­ман­ная по­ли­ти­ка огра­ни­че­ния до­сту­па. При этом си­сте­ма до­сту­па долж­на слу­жить ин­стру­мен­том для ре­а­ли­за­ции этой по­ли­ти­ки. В про­тив­ном слу­чае вся мно­го­уров­не­вая си­сте­ма без­опас­но­сти те­ря­ет смысл. Между тем, как ука­зы­ва­ет Ва­лен­тин Фосс, при раз­ра­бот­ке ком­плек­сов фи­зи­че­ской за­щи­ты ЦОД за­ча­стую не уде­ля­ет­ся долж­но­го вни­ма­ния сквоз­но­му про­цес­су под­го­тов­ки пер­со­на­ла и управ­ле­ния им, для чего нужны долж­ност­ные ин­струк­ции, раз­гра­ни­че­ние прав до­сту­па и мно­гое дру­гое. Пре­не­бре­же­ние любой из со­став­ля­ю­щих может при­ве­сти к неожи­дан­ным и крайне нега­тив­ным последствиям.

Сколь­ко пе­ри­мет­ров без­опас­но­сти необ­хо­ди­мо, и каких имен­но? Ответ, есте­ствен­но, за­ви­сит от тре­бо­ва­ний, предъ­яв­ля­е­мых к пло­щад­ке, с уче­том оцен­ки ве­ро­ят­но­сти ре­а­ли­за­ции угроз, при­ем­ле­мо­го ва­ри­ан­та об­ра­бот­ки рис­ков и при­ня­той по­ли­ти­ки бе-

зопас­но­сти. Как ука­зы­ва­ет Ста­ни­слав За­ржец­кий, ге­не­раль­ный ди­рек­тор Exclusive Solutions («Эксол»), опре­де­лить, сколь­ко уров­ней кон­тро­ля до­сту­па долж­но быть, можно толь­ко при усло­вии рас­смот­ре­ния со­во­куп­но­сти фак­то­ров, таких как место рас­по­ло­же­ния и сте­пень важ­но­сти ЦОД, риски по фак­то­рам ван­да­лиз­ма (пред­на­ме­рен­но­го и слу­чай­но­го) и несанк­ци­о­ни­ро­ван­но­го до­сту­па. Иде­аль­ной он счи­та­ет си­сте­му с че­тырь­мя уров­ня­ми кон­тро­ля до­сту­па — на внеш­нем пе­ри­мет­ре, при входе в зда­ние, в ма­шин­ный зал и на уровне стой­ки. На прак­ти­ке чаще всего встре­ча­ет­ся двух­уров­не­вая си­сте­ма (зда­ние/зал). До­ста­точ­ным же, по его мне­нию, яв­ля­ет­ся ча­стич­ное огра­ни­че­ние до­сту­па по трем уров­ням (зда­ние/зал/стой­ка). Вя­че­слав Во­вко­гон, спе­ци­а­лист по ин­фор­ма­ци­он­ной без­опас­но­сти DataLine, вы­де­ля­ет несколь­ко иные три уров­ня: пе­ри­метр (входы, въез­ды, при­ле­га­ю­щая тер­ри­то­рия); бу­фер­ные зоны с про­пуск­ным пунк­том при входе в зда­ние, охра­ня­е­мый въезд в раз­гру­зоч­ную зону; залы и ин­же­нер­ные по­ме­ще­ния (как при­мер). Для неко­то­рых ком­мер­че­ских ЦОД может по­тре­бо­вать­ся еще один: ограж­де­ние стоек.

В слу­чае же вы­со­ких тре­бо­ва­ний к без­опас­но­сти уров­ней может быть го­раз­до боль­ше. Так, Фред Ди­керм­эн, ви­це-пре­зи­дент, на­чаль­ник экс­плу­а­та­ции ЦОД DataSpace1, вы­де­ля­ет по мень­шей мере пять зон: внеш­ний пе­ри­метр, внут­рен­ний пе­ри­метр, вход в зда­ние (сво­бод­ный до­ступ в при­ем­ную, но за­кры­тый до­ступ во внут­рен­нее лобби), места раз­ме­ще­ния кри­ти­че­ско­го ин­фра­струк­тур­но­го обо­ру­до­ва­ния, ком­на­ты служ­бы без­опас­но­сти (пункт охра­ны, сту­дия мо­ни­то­рин­га). По­ми­мо этого, ком­мер­че­ским ЦОД могут по­на­до­бить­ся еще три зоны — для ма­шин­ных залов, про­странств внут­ри залов и от­дель­ных стоек. Таким об­ра­зом, всего при­дет­ся со­здать 8 зон!

Все эти де­ле­ния до­ста­точ­но услов­ны и в общем слу­чае могут быть све­де­ны к че­ты­рем ти­по­вым (см. Ри­су­нок 1) путем объ­еди­не­ния в груп­пы до­пол­ни­тель­ных зон без­опас­но­сти. К тому же фи­зи­че­ская без­опас­ность ЦОД — это не толь­ко и не столь­ко опре­де­лен­ное ко­ли­че­ство пе­ри­мет­ров за­щи­ты, сколь­ко про­ду­ман­ная стра­те­гия за­щи­ты дан­ных в со­от­вет­ствии с кон­крет­ной мо­де­лью угроз, на что ре­зон­но ука­зы­ва­ет Ан­дрей Касьяненко.

НИЧТО НЕ ЗАБЫТО?

На каж­дом уровне могут быть ре­а­ли­зо­ва­ны самые раз­ные сред­ства без­опас­но­сти. Так, на­при­мер, за­да­ча внеш­не­го пе­ри­мет­ра со­сто­ит в пре­ду­пре­жде­нии, об­на­ру­же­нии и пре­се­че­нии про­ник­но­ве­ния на тер­ри­то­рию объ­ек­та. Для этого может ис­поль­зо­вать­ся мно­же­ство раз­но­об­раз­ных мер: от самых эле­мен­тар­ных — на­при­мер, от­сут­ствие вы­вес­ки о на­зна­че­нии объ­ек­та и непри­тя­за­тель­ный (не при­вле­ка­ю­щий вни­ма­ния) внеш­ний вид, до весь­ма изощ­рен­ных — таких как гид­рав­ли­че­ские вы­движ­ные пре­пят­ствия для ав­то­мо­би­лей и про­ти­во­под­коп­ные сооружения.

А самой рас­про­стра­нен­ной мерой яв­ля­ет­ся, ко­неч­но, ви­део­на­блю­де­ние — чем боль­ше камер уста­нов­ле­но, тем лучше, при­чем про­смат­ри­вать­ся долж­ны не толь­ко тер­ри­то­рия, входы и вы­хо­ды, но и внут­рен­ние по­ме­ще­ния, вплоть до от­дель­ных стоек, то есть такой кон­троль ре­а­ли­зу­ет­ся на всех че­ты­рех ос­нов­ных уров­нях. Тем не менее, как ука­зы­ва­ет Сер­гей Мищук, тех­ни­че­ский ди­рек­тор DataLine, в кор­по­ра­тив­ных ЦОД неред­ко ис­поль­зу­ет­ся несо­вер­шен­ная си­сте­ма ви­део­на­блю­де­ния, в том числе из со­об­ра­же­ний эко­но­мии: малое ко­ли­че­ство ви­део­ка­мер, недо­ста­точ­ная ча­сто­та кад­ров или глу­би­на хра­не­ния видео.

Во мно­гих рос­сий­ских ком­мер­че­ских ЦОД, как счи­та­ет Фред Ди­керм­эн, по­вы­шен­ное вни­ма­ние уде­ля­ет­ся за­щи­те внут­рен­не­го пе­ри­мет­ра (до­сту­пу в зда­ние) в ущерб охране внеш­не­го. За­ча­стую это вы­зва­но объ­ек­тив­ны­ми при­чи­на­ми — к со­жа­ле­нию, в Москве выбор пло­ща­док огра­ни­чен, не все­гда воз­мож­но ор­га­ни­зо­вать ЦОД в от­дель­но сто­я­щем зда­нии, по­это­му и ре­а­ли­зо­вать пол­но­цен­ные меры для охра­ны внеш­не­го пе­ри­мет­ра в усло­ви­ях плот­ной го­род­ской за­строй­ки не все­гда возможно.

Не менее важны раз­гра­ни­че­ние и кон­троль до­сту­па внут­ри зда­ния. В ком­мер­че­ских ЦОД при до­сту­пе в наи­бо­лее кри­тич­ные по­ме­ще­ния любой че­ло­век дол­жен прой­ти по край­ней мере три про­вер­ки: на внеш­нем входе (для про­хо­да в при­ем­ную), на внут­рен­нем (до­ступ из при­ем­ной во внут­рен­нюю часть цен­тра), на входе в вы­чис­ли­тель­ные залы (здесь долж­ны быть уста­нов­ле­ны шлю­зо­вые ка­би­ны без­опас­но­сти или их ана­ло­ги) и при до­сту­пе к кон­крет­но­му ма­шин­но­му залу, где на­хо­дят­ся стой­ки с обо­ру­до­ва­ни­ем клиента.

На деле же внут­рен­ней без­опас­но­стью, по мне­нию Фреда Ди­керм­эна, неред­ко пре­не­бре­га­ют — во вся­ком слу­чае, уде­ля­ют ей недо­ста­точ­но вни­ма­ния. По­лу­чив до­ступ внутрь ЦОД, со­труд­ни­ки и по­се­ти­те­ли могут пе­ре­ме­щать­ся по по­ме­ще­ни­ям без над­зо­ра. Как ука­зы­ва­ет Сер­гей Мищук, на прак­ти­ке редко осу­ществ­ля­ет­ся стро­гое раз­де­ле­ние зон до­сту­па для вла­дель­цев ИТ-обо­ру­до­ва­ния и пред­ста­ви­те­лей сер­вис­ных ор­га­ни­за­ций, об­слу­жи­ва­ю­щих ин­же­нер­ные си­сте­мы. За­ча­стую это опять же вы­зва­но объ­ек­тив­ны­ми при­чи­на­ми, по­сколь­ку под ЦОД при­спо­саб­ли­ва­ет­ся су­ще­ству­ю­щее зда­ние. В ре­зуль­та­те до­ступ в зал при­хо­дит­ся предо­став­лять, на­при­мер, пред­ста­ви­те­лям сер­вис­ных служб, об­слу­жи­ва­ю­щих кон­ди­ци­о­не­ры, рас­по­ло­жен­ные в ма­шин­ных залах.

Од­на­ко если кон­тро­лю до­сту­па в целом уде­ля­ет­ся до­ста­точ­но вни­ма­ния, то дру­ги­ми ме­ра­ми фи­зи­че­ской без­опас­но­сти пре­не­бре­га­ют. Как под­чер­ки­ва­ет Ан­дрей Ка­сья­нен­ко, фи­зи­че­ская без­опас­ность — это ком­плекс мер, ко­то­рый на­прав­лен не толь­ко на пре­ду­пре­жде­ние несанк­ци­о­ни­ро­ван­но­го до­сту­па, но и на за­щи­ту от за­топ­ле­ния или зем­ле­тря­се­ния. Из­вест­но много слу­ча­ев, когда по­те­ря ин­фор­ма­ции про­ис­хо­ди­ла имен­но вслед­ствие при­род­ных яв­ле­ний. Недо­ста­точ­ное вни­ма­ние обес­пе­че­нию ка­та­стро­фо­устой­чи­во­сти (про­ти­во­сто­я­ние угро­зам со сто­ро­ны окру­жа­ю­щей среды) Сер­гей Ту­ту­кин объ­яс­ня­ет тем, что такие про­ек­ты весь­ма до­ро­ги в реализации.

ОГОНЬ, ВОДА И СТЕНЫ

В цен­трах об­ра­бот­ки дан­ных (ЦОД) необ­хо­ди­мо за­щи­тить не толь­ко сами дан­ные, но и си­сте­мы ИТ в целом от внеш­них воз­дей­ствий, таких как огонь или вода. Само по­ня­тие обес­пе­че­ния фи­зи­че­ской без­опас­но­сти ЦОД под­ра­зу­ме­ва­ет за­щи­ту ИТ-ре­сур­сов не толь­ко от несанк­ци­о­ни­ро­ван­но­го до­сту­па в по­ме­ще­ния, ван­да­лиз­ма и дру­гих по­доб­ных дей­ствий, но и от огня, воды, от жид­ко­сти для ту­ше­ния по­жа­ра, кор­ро­зий­ных газов, элек­тро­маг­нит­но­го из­лу­че­ния, взры­вов, па­да­ю­щих об­лом­ков, пыли. «Если оце­нить риски от фи­зи­че­ско­го воз­дей­ствия, взяв все фак­то­ры за 100%, — го­во­рит Ста­ни­слав За­ржец­кий, — то 80% при­хо­дит­ся на огонь и воду. Имен­но они на­но­сят непо­пра­ви­мый ущерб оборудованию».

Пра­виль­ная ор­га­ни­за­ция и ис­поль­зо­ва­ние си­сте­мы мо­ни­то­рин­га ЦОД поз­во­ля­ют по­лу­чить ин­фор­ма­цию о про­ис­хо­дя­щих неже­ла­тель­ных со­бы­ти­ях (воз­го­ра­ние, про­теч­ка, за­дым­ле­ние). Для этого ЦОД осна­ща­ют­ся си­сте­ма­ми кон­тро­ля фи­зи­че­ских па­ра­мет­ров среды, выход ко­то­рых за пре­дель­но до­пу­сти­мые зна­че­ния может нега­тив­но ска­зать­ся на ста­биль­но­сти ра­бо­ты обо­ру­до­ва­ния и свя­зан­ных с ним биз­нес-про­цес­сов. «Кон­троль тем­пе­ра­ту­ры и влаж­но­сти, об­на­ру­же­ние про­те­чек и за­дым­ле­ния по­мо­га­ют пре­ду­пре­дить сбои в ра­бо­те ин­же­нер­но­го обо­ру­до­ва­ния вслед­ствие про­теч­ки, от­ка­за си­стем охла­жде­ния, из­бы­точ­но­го увлаж­не­ния и мно­го­го дру­го­го», — рас­ска­зы­ва­ет Павел По­но­ма­рев, си­стем­ный ин­же­нер под­раз­де­ле­ния IT Business ком­па­нии Schneider Electric.

Кон­троль и мо­ни­то­ринг по­мо­гут свое­вре­мен­но опо­ве­стить об­слу­жи­ва­ю­щий пер­со­нал о воз­ник­но­ве­нии нештат­ной си­ту­а­ции, но сами эти меры не поз­во­лят предот­вра­тить воз­дей­ствие воды и огня на ИТ-си­сте­мы. «Угро­за для дан­ных может ис­хо­дить не толь­ко от зло­умыш­лен­ни­ков, но и, к при­ме­ру, от воды, сте­ка­ю­щей с по­тол­ка, — ука­зы­ва­ет Ан­дрей Ка­сья­нен­ко. — Имен­но по­это­му к числу важ­ных си­стем ЦОД, по­ми­мо си­сте­мы управ­ле­ния до­сту­пом в по­ме­ще­ния, сле­ду­ет от­но­сить и си­сте­му за­щи­ты от про­те­чек, си­сте­му по­жа­ро­ту­ше­ния и про­чие сред­ства защиты».

Си­ту­а­ция усу­губ­ля­ет­ся тем, что толь­ко 20% по­жа­ров про­ис­хо­дят внут­ри сер­вер­ных по­ме­ще­ний, тогда как 80% — на при­ле­га­ю­щих к объ­ек­ту тер­ри­то­ри­ях. По­это­му при вы­бо­ре под­хо­дя­ще­го места для ИТ-обо­ру­до­ва­ния Алек­сандр Нилов, со­ве­ту­ет об­ра­щать вни­ма­ние на то, чтобы со­сед­ние с за­щи­ща­е­мы­ми по­ме­ще­ни­я­ми ком­на­ты от­ли­ча­лись мак­си­маль­но низ­ким уров­нем угро­зы воз­ник­но­ве­ния по­жа­ра. Кроме того, во из­бе­жа­ние про­те­чек и за­топ­ле­ний эта­жом выше не долж­ны рас­по­ла­гать­ся кухни и санузлы.

По­учи­те­лен пе­чаль­ный при­мер аэро­пор­та Франк­фур­та-на-Майне. Из-за на­ру­ше­ния си­сте­мы во­до­снаб­же­ния в те­че­ние 4 ч внутрь зда­ния ли­лась вода — всего на­бра­лось около 3000 л. Ин­фор­ма­ци­он­ный центр аэро­пор­та по­стра­дал на­столь­ко, что его при­ш­лось со­зда­вать прак­ти­че­ски за­но­во. Убыт­ки со­ста­ви­ли 1,5 млн евро.

Кроме того, по­тен­ци­аль­ную опас­ность для обо­ру­до­ва­ния в ЦОД несут рас­по­ло­жен­ные по со­сед­ству пред­при­я­тия, где про­из­вод­ствен­ные про­цес­сы со­про­вож­да­ют­ся вы­со­ки­ми пус­ко­вы­ми то­ка­ми, по­сколь­ку по­след­ние могут слу­жить ис­точ­ни­ком силь­ных элек­тро­маг­нит­ных импульсов.

РУ­КО­ВО­ДЯ­ЩИЙ И НАПРАВЛЯЮЩИЙ

Чем же ру­ко­вод­ство­вать­ся при ре­а­ли­за­ции мер фи­зи­че­ской за­щи­ты ЦОД? В любом ком­мер­че­ском и кор­по­ра­тив­ном ЦОД, не го­во­ря уже о го­су­дар­ствен­ных объ­ек­тах, хра­нят­ся пер­со­наль­ные дан­ные. По­это­му необ­хо­ди­мые меры по их фи­зи­че­ской за­щи­те вы­те­ка­ют в числе про­че­го из тре­бо­ва­ния ФЗ № 151. «Кон­крет­ный набор таких мер за­ви­сит от уров­ня кон­фи­ден­ци­аль­но­сти, уста­нов­лен­но­го для об­ра­ба­ты­ва­е­мых дан­ных, — от­ме­ча­ет Сер­гей Ту­ту­кин. — Ис­хо­дя из этого вы­би­ра­ет­ся класс за­щи­щен­но­сти ЦОД (как АС) по нор­мам ФЗ и ФСТЭК и обес­пе­чи­ва­ет­ся необ­хо­ди­мая за­щи­та, в том числе и физическая».

По со­сто­я­нию на сен­тябрь 2013 года, меры за­щи­ты пер­со­наль­ных дан­ных для боль­шин­ства опе­ра­то­ров пер­со­наль­ных дан­ных опре­де­ля­ют­ся по­ста­нов­ле­ни­ем пра­ви­тель­ства № 1119 и при­ка­зом ФСТЭК № 21. Вя­че­слав Во­вко­гон вы­де­ля­ет в них сле­ду­ю­щие тре­бо­ва­ния в от­но­ше­нии фи­зи­че­ской безопасности:

ор­га­ни­за­ция ре­жи­ма обес­пе­че­ния без­опас­но­сти по­ме­ще­ний (ПП РФ № 1119 п.13 а);
кон­троль фи­зи­че­ско­го до­сту­па и ис­клю­че­ние несанк­ци­о­ни­ро­ван­но­го до­сту­па к ин­фра­струк­ту­ре ИСПДн, в том числе к по­ме­ще­ни­ям и со­ору­же­ни­ям (При­ло­же­ние При­ка­за ФСТЭК № 21 п. ЗТС.3);
кон­троль вноса и вы­но­са обо­ру­до­ва­ния, в том числе ма­шин­ных но­си­те­лей пер­со­наль­ных дан­ных (При­ло­же­ние При­ка­за ФСТЭК № 21 п. ЗНИ.1, п. ЗНИ.2).

Иными сло­ва­ми, за­клю­ча­ет он, кор­рект­ное по­стро­е­ние и до­ку­мен­ти­ро­ва­ние про­цес­сов ви­део­на­блю­де­ния, кон­тро­ля до­сту­па и вы­но­са обо­ру­до­ва­ния поз­во­ля­ют со­б­лю­сти все необ­хо­ди­мые тре­бо­ва­ния ФЗ № 152 по обес­пе­че­нию фи­зи­че­ской безопасности.

«Ком­плекс мер по за­щи­те пер­со­наль­ных дан­ных услов­но можно раз­де­лить на два на­прав­ле­ния: со­зда­ние ор­га­ни­за­ци­он­но-рас­по­ря­ди­тель­ных до­ку­мен­тов и внед­ре­ние тех­ни­че­ских средств за­щи­ты. Что ка­са­ет­ся по­след­них, то из сло­жив­шей­ся прак­ти­ки обя­за­тель­ны­ми сле­ду­ет при­знать круг­ло­су­точ­ное при­сут­ствие в ЦОД и на его тер­ри­то­рии спе­ци­аль­но обу­чен­ной во­ору­жен­ной охра­ны, а также уста­нов­ку камер ви­део­на­блю­де­ния, рас­по­ло­жен­ных по внеш­не­му пе­ри­мет­ру ЦОД и внут­ри него (для кон­тро­ля всех ко­ри­до­ров ЦОД, вход­ных две­рей и дру­гой кри­ти­че­ской ин­фра­струк­ту­ры)». — объ­яс­ня­ет Денис Гвоз­дев, на­чаль­ник юри­ди­че­ско­го де­пар­та­мен­та DataSpace.

Ста­ни­слав За­ржец­кий об­ра­ща­ет вни­ма­ние на сле­ду­ю­щий мо­мент. Ос­нов­ное вни­ма­ние в кон­тек­сте дан­но­го за­ко­на уде­ля­ет­ся несанк­ци­о­ни­ро­ван­но­му до­сту­пу к ин­фор­ма­ции. Но на ор­га­ни­за­ции, вла­де­ю­щие пер­со­наль­ны­ми дан­ны­ми граж­дан, на­кла­ды­ва­ет­ся от­вет­ствен­ность и за со­хран­ность этих дан­ных. Они могут быть уни­что­же­ны как по вине че­ло­ве­ка, так и вслед­ствие сти­хий­ных бед­ствий. По­это­му необ­хо­ди­мо при­ни­мать меры за­щи­ты от фак­то­ров риска со сто­ро­ны всех видов угроз. В ка­че­стве ил­лю­стра­ции он при­во­дит сле­ду­ю­щий при­мер. Каж­дое ме­ди­цин­ское учре­жде­ние хра­нит пер­со­наль­ные дан­ные своих па­ци­ен­тов. В Ев­ро­пе ИТ-обо­ру­до­ва­ние, на ко­то­ром хра­нят­ся и об­ра­ба­ты­ва­ют­ся такие дан­ные, тре­бу­ет­ся по­ме­щать в спе­ци­а­ли­зи­ро­ван­ные сейфы — толь­ко такой спо­соб поз­во­лит в мак­си­маль­но воз­мож­ной сте­пе­ни за­щи­тить данные.

«Можно ска­зать, что в рос­сий­ской за­ко­но­да­тель­ной базе от­сут­ству­ют тре­бо­ва­ния и нормы в об­ла­сти фи­зи­че­ской за­щи­ты ин­фор­ма­ции. Мы по-преж­не­му поль­зу­ем­ся нор­ма­тив­ны­ми ба­за­ми, раз­ра­бо­тан­ны­ми для обо­ру­до­ва­ния про­шло­го века, — вы­ра­жа­ет со­жа­ле­ние Ста­ни­слав За­ржец­кий. — Ис­клю­че­ни­ем можно на­звать, по­жа­луй, ГОСТ Р № 52919-2008 «Ме­то­ды и сред­ства фи­зи­че­ской за­щи­ты. Клас­си­фи­ка­ция и ме­то­ды ис­пы­та­ний на ог­не­стой­кость. Часть 2. Ком­на­ты и кон­тей­не­ры дан­ных». Но в нем опи­сы­ва­ют­ся толь­ко тре­бо­ва­ния к кон­струк­ци­ям ЦОД для за­щи­ты от огня. По осталь­ным па­ра­мет­рам за­ко­но­да­тель­ство безмолвствует».

Впро­чем, такая си­ту­а­ция ха­рак­тер­на не толь­ко для Рос­сии. Необ­хо­ди­мые меры фи­зи­че­ской за­щи­ты за­ча­стую от­дель­но не вы­де­ля­ют­ся, а прямо или кос­вен­но сле­ду­ют из дру­гих стан­дар­тов и нор­ма­ти­вов, таких как TIA-942, Sarbanes-Oxley Act, SSAE 16/SAS 70. Как за­ме­ча­ет Фред Ди­керм­эн, в целом SAS 70, ISO 27000 и дру­гие стан­дар­ты ин­фор­ма­ци­он­ной без­опас­но­сти более струк­ту­ри­ро­ва­ны и це­лост­ны в своем под­хо­де к без­опас­но­сти, что в итоге поз­во­ля­ет до­бить­ся луч­ших ре­зуль­та­тов. Сле­дуя меж­ду­на­род­ным стан­дар­там, рос­сий­ским ЦОД будет легче обес­пе­чить им со­от­вет­ствие, когда это по­тре­бу­ет­ся, на­при­мер, при вы­хо­де ком­па­нии-вла­дель­ца на меж­ду­на­род­ную биржу, да и ино­стран­ные за­каз­чи­ки на­вер­ня­ка пред­по­чтут ком­мер­че­ские ЦОД, со­от­вет­ству­ю­щие зна­ко­мым им стан­дар­там. Это осо­бен­но спра­вед­ли­во в от­но­ше­нии бан­ков и фи­нан­со­вых ин­сти­ту­тов, ко­то­рые вы­нуж­де­ны сле­до­вать тре­бо­ва­ни­ям меж­ду­на­род­ных и аме­ри­кан­ских стан­дар­тов на ин­фор­ма­ци­он­ную безопасность.

Дей­стви­тель­но, такие стан­дар­ты, как TIA 942 и PСI DSS, со­дер­жат более де­таль­ное опи­са­ние раз­лич­ных норм, со­гла­ша­ет­ся Вя­че­слав Во­вко­гон. Сле­до­ва­ние им ведет к по­вы­ше­нию про­зрач­но­сти про­цес­сов ЦОД, но за­тра­ты при этом воз­рас­та­ют. Это одна из при­чин того, что, хотя боль­шин­ство рос­сий­ских ЦОД в той или иной форме про­во­дят оцен­ку рис­ков для вы­пол­не­ния усло­вий Sarbanes-Oxley Section 404, немно­гие ре­ша­ют­ся на про­ве­де­ние внеш­них ауди­тов, под­твер­жда­ю­щих адек­ват­ность при­ня­тых в кон­крет­ном ЦОД оце­ноч­ных ме­то­дик (на­при­мер, как часть сер­ти­фи­ка­ции по стан­дар­ту ISO/IEC 27001). В целом же, за­клю­ча­ет он, тре­бо­ва­ния ука­зан­ных до­ку­мен­тов в части фи­зи­че­ской без­опас­но­сти вполне адек­ват­ны рос­сий­ской прак­ти­ке и нор­ма­тив­ным актам.

ЗА­ЩИ­ТА КОМ­МЕР­ЧЕ­СКИХ И КОР­ПО­РА­ТИВ­НЫХ ЦОД

До сих пор при об­суж­де­нии необ­хо­ди­мых мер фи­зи­че­ской за­щи­ты мы в боль­шин­стве слу­ча­ев явно не вы­де­ля­ли, к каким ЦОД они от­но­сят­ся. По сло­вам Фреда Ди­керм­эна, кор­по­ра­тив­ный ЦОД может рас­смат­ри­вать­ся как ком­мер­че­ский ЦОД, об­слу­жи­ва­ю­щий един­ствен­но­го кли­ен­та. В таком слу­чае мень­ше тре­бо­ва­ний предъ­яв­ля­ет­ся к внут­рен­не­му зо­ни­ро­ва­нию. Что же ка­са­ет­ся соб­ствен­но КЦОД, то им при­хо­дит­ся пред­при­ни­мать необ­хо­ди­мые меры для предот­вра­ще­ния слу­чай­но­го или на­ме­рен­но­го про­ник­но­ве­ния пред­ста­ви­те­лей од­но­го за­каз­чи­ка в зону, где на­хо­дит­ся обо­ру­до­ва­ние другого.

Пред­ва­ри­тель­ная про­вер­ка лиц, за­пра­ши­ва­ю­щих до­ступ в кор­по­ра­тив­ный ЦОД, ока­зы­ва­ет­ся менее обре­ме­ни­тель­ной, по­сколь­ку число таких людей, как пра­ви­ло, огра­ни­чи­ва­ет­ся со­труд­ни­ка­ми ком­па­нии-вла­дель­ца или пред­ста­ви­те­ля­ми вен­до­ров/под­ряд­чи­ков. В КЦОД такая про­вер­ка услож­ня­ет­ся, ведь у каж­до­го кли­ен­та свой штат со­труд­ни­ков, свои по­став­щи­ки и под­ряд­чи­ки — и им всем может по­на­до­бить­ся до­ступ к оборудованию.

Как пра­ви­ло, КЦОД рас­счи­та­ны на об­слу­жи­ва­ние самых раз­ных ор­га­ни­за­ций, и при­ни­ма­е­мые в них меры без­опас­но­сти носят более уни­вер­саль­ный ха­рак­тер. В ре­зуль­та­те, от­ме­ча­ет Сер­гей Мищук, они, с одной сто­ро­ны, могут не удо­вле­тво­рять неко­то­рым спе­ци­фи­че­ским тре­бо­ва­ни­ям одних кли­ен­тов (на­при­мер, по стой­ко­сти две­рей к взло­му), с дру­гой — быть слиш­ком жест­ки­ми для дру­гих, по­сколь­ку в итоге для них со­зда­ют­ся опре­де­лен­ные неудоб­ства. Вла­дель­цу кор­по­ра­тив­но­го ЦОД не надо ори­ен­ти­ро­вать­ся на сред­не­ста­ти­сти­че­ские по­треб­но­сти, он волен ре­а­ли­зо­вать те меры фи­зи­че­ской за­щи­ты, какие со­чтет нуж­ным. По­это­му и при­ме­ня­е­мые сред­ства более спе­ци­фич­ны: они опре­де­ля­ют­ся внут­рен­ни­ми ре­гла­мен­та­ми и тре­бо­ва­ни­я­ми ре­гу­ля­то­ров, так что уро­вень за­щи­щен­но­сти ва­рьи­ру­ет­ся чрез­вы­чай­но широко.

Как уточ­ня­ет Сер­гей Ту­ту­кин, в слу­чае КЦОД под­ход к фи­зи­че­ской за­щи­те за­ви­сит от того, раз­ме­ща­ет ли за­каз­чик свое обо­ру­до­ва­ние или арен­ду­ет мощ­но­сти. В по­след­нем слу­чае, как пра­ви­ло, осо­бых от­ли­чий от кор­по­ра­тив­ных ЦОД нет. А вот при раз­ме­ще­нии обо­ру­до­ва­ния по­на­до­бит­ся до­пол­ни­тель­ный пе­ри­метр за­щи­ты на уровне стой­ки / груп­пы стоек и, со­от­вет­ствен­но, при­ме­ня­ют­ся до­пол­ни­тель­ные сред­ства за­щи­ты — от элек­тро­ме­ха­ни­че­ских (элек­тро­маг­нит­ных) зам­ков на две­рях стоек до вы­де­ле­ния груп­пы стоек с уста­нов­кой ре­шет­ча­то­го ограж­де­ния. В кор­по­ра­тив­ном же ЦОД ИТ-служ­ба об­слу­жи­ва­ет все сер­ве­ры и СХД, сле­до­ва­тель­но, «пе­ри­метр» фи­зи­че­ской за­щи­ты про­хо­дит по пе­ри­мет­ру ма­шин­но­го зала.

ГДЕ ТОНКО

К со­жа­ле­нию, в Рос­сии нет тре­бо­ва­ний в от­но­ше­нии пуб­лич­но­го рас­кры­тия ин­фор­ма­ции об ин­ци­ден­тах и со­от­вет­ству­ю­щих санк­ций за их умал­чи­ва­ние, как нет и су­деб­ной прак­ти­ки по ком­пен­са­ции за утеч­ки ин­фор­ма­ции — в 99% слу­ча­ев ор­га­ни­за­ции ста­ра­ют­ся не афи­ши­ро­вать по­доб­ные факты. Од­на­ко вряд ли си­ту­а­ция с обес­пе­че­ни­ем без­опас­но­сти у нас лучше, чем в дру­гих стра­нах, по­это­му за­ча­стую, на­при­мер при оцен­ке ущер­ба, при­хо­дит­ся ори­ен­ти­ро­вать­ся на дан­ные, по­лу­чен­ные за­пад­ны­ми ор­га­ни­за­ци­я­ми. И хотя в сред­нем по­те­ри в ре­зуль­та­те раз­лич­ных ин­ци­ден­тов, ви­ди­мо, мень­ше, для круп­ных рос­сий­ских ком­па­ний и го­су­дар­ствен­ных ор­га­ни­за­ций цифры ока­зы­ва­ют­ся со­по­ста­ви­мы. Так, Ста­ни­слав За­ржец­кий упо­ми­на­ет о слу­чае вы­хо­да из строя прак­ти­че­ски всего ЦОД (обо­ру­до­ва­ния и дан­ных) в ре­зуль­та­те за­топ­ле­ния водой, из-за чего фе­де­раль­ное пред­при­я­тие по­нес­ло убыт­ки, ко­то­рые были оце­не­ны в 3,5 млн дол­ла­ров. А ло­каль­ный пожар в дру­гом фе­де­раль­ном ЦОД при­вел к его оста­нов­ке на трое суток и сни­же­нию до 20% эф­фек­тив­но­сти ра­бо­ты го­су­дар­ствен­но­го ве­дом­ства, ко­то­ро­му этот ЦОД при­над­ле­жал. Ко­неч­но, от всех ка­та­строф за­щи­тить­ся невоз­мож­но, но ведь, как го­во­рит­ся, где тонко, там и рвется.

Дмит­рий Ганьжа — глав­ный ре­дак­тор «Жур­на­ла се­те­вых решений/LAN».

Полная версия статьи