Swiss Infosec AG - Newsfaelle: Wie steht es um die Sicherheit Ihres RZ?, Diese Checkliste hilft Ihnen, den Sicherheitsstand zu erkennen

Wie steht es um die Sicherheit Ihres RZ?

Diese Checkliste hilft Ihnen, den Sicherheitsstand zu erkennen

Gebäudesicherheit, Klimatisierung, Effizienz, Skalierbarkeit, Störungsmanagement – dies sind nur einige der Kriterien, die bei der Konzeption eines sicheren Rechenzentrums Beachtung finden müssen. Es bedarf eines ganzheitlichen Konzepts, um eine den Bedürfnissen entsprechende Sicherheit zu gewährleisten. Um die eigenen Ansprüche besser evaluieren zu können, stellen wir eine Checkliste zur Rechenzentrums-Sicherheit bereit.
Im Gegensatz zum aktuellen Wirtschaftswachstum verzeichnet das weltweite Datenaufkommen enorme Zuwachsraten. Der Bedarf an Rechenzentrumsfläche, Leitungskapazitäten und Datenspeicher steigt stetig. Nicht nur aufgrund von Complianceregelungen und nationalen und internationalen Gesetzen und Richtlinien sind Unternehmen und Organisationen zur Datenspeicherung gezwungen und müssen dafür Sorge tragen, dass ihre Daten ein sicheres Zuhause haben. Zudem müssen die Produktivsysteme ausfallfrei arbeiten, da ein Systemausfall Umsatzverlust bedeutet und im schlimmsten Fall die Existenz des Unternehmens bedrohen kann.

Kritische Elemente und optimale Abstimmung der Faktoren
Bei der Auswahl oder beim Um- und Ausbau eines Rechenzentrums steht vor allem die physische Sicherheit im Vordergrund. Als wesentliche Bestandteile der physischen Sicherheit sind Stromversorgung, Klimatisierung, Kommunikationsanbindung, Brandschutz, Gebäudesicherheit und restriktive Zutrittsregelungen zu nennen. Diese dürfen jedoch niemals losgelöst voneinander betrachtet werden, da sie voneinander abhängig und im Zusammenspiel auch als kritische Elemente anzusehen sind. So reicht eine perfekt funktionierende USV nicht aus, wenn beim Umschalten von Netz- auf Batteriebetrieb die Elektronik versagt und die Anlagen nicht kompatibel sind.
Es bedarf also eines ganzheitlichen Konzepts und einer Verzahnung der einzelnen Bereiche und Systeme, um eine den Bedürfnissen entsprechende Sicherheit zu gewährleisten. Existierende Notfallpläne dürfen bei der Betrachtung eines Rechenzentrums nicht ignoriert werden. Für eine eigene Evaluierung soll die folgende Checkliste als Hilfestellung dienen.

1. Punkt: Gebäudesicherheit und Zutrittsregelung
Rechenzentren müssen gewährleisten, dass IT-Systeme stets verfügbar sind und die Vertraulichkeit, Verfügbarkeit und Integrität der dort gelagerten Daten sichergestellt ist. Voraussetzung hierfür: eine ausgefeilte Zutrittskontrolle, die jeden Zutritt genauestens kontrolliert und protokolliert. Nur so haben Benutzer die Gewissheit darüber, welche Personen sich zu welcher Zeit im Rechenzentrum aufhielten. Damit auch wirklich nur autorisierte Personen Zutritt erlangen, hat sich in der Praxis eine Kombination aus Schlüsselkarten, biometrischen Zugangssystemen in Verbindung mit Personenvereinzelungsanlagen und Kameraüberwachung als zuverlässiges Zutrittssystem bewährt. Die einzelnen Punkte der Checkliste lauten hier:

Wie wird sichergestellt, dass nur Befugte Zugang zum Rechenzentrum haben (zum Beispiel Absicherung durch mehrstufige Sicherheitssysteme, Abfrage von biometrischen Merkmalen zur eindeutigen Erkennung, Dokumentation der Zu- und Austritte von Personen, Personenvereinzelungsanlagen)?

Ist das Gebäude entsprechend gesichert und überwacht? Die Kombination aus Sicherheitspersonal vor Ort und einer Kameraüberwachung aller kritischen und wichtigen Innen- und Aussenbereiche mit anschliessender Langzeitarchivierung der Bilddaten hat sich in der Praxis bewährt.

Sind einbruchsichere Türen und Fenster sowie Einbruchmeldeanlagen im Rechenzentrum vorhanden?

Haben autorisierte Mitarbeiter und Zulieferer ohne Vorankündigung rund um die Uhr an 365 Tagen im Jahr Zutritt zum Rechenzentrum – etwa durch Vorhalten der Zugangsdaten im System? Rechenzentren müssen zwar sicher sein, doch darf die Sicherheit nicht alles behindern.

Kann ein unbefugter Zugang zu Ihrer Technik im Inneren des Rechenzentrums unter anderem von anderen Kunden des Rechenzentrumsanbieters vermieden werden? Gibt es hier zusätzliche Kamera- oder getrennte Zugangssysteme und Bewegungsmelder?

Sind sensible Leckagesysteme, die ein Eintreten von Wasser in den Rechenzentrumskern erkennen, vorhanden?

2. Punkt: Brandschutz
Brände führen immer wieder zu verheerenden und Existenz bedrohenden wirtschaftlichen Folgen für Unternehmen und zu einem unwiederbringlichen Verlust geschäftskritischer Daten. Deshalb ist es wichtig, Brände frühzeitig zu erkennen. Zur Branderkennung bieten sich sogenannte Brandfrühesterkennungssysteme an, die mit Hilfe von Lasern die Luft im Rechenzentrum permanent prüfen und bereits bei einem geringen Anteil an Russpartikeln, die beispielsweise durch ein schmorendes Kabel freigesetzt werden können, Alarm schlagen. Die Punkte der Checkliste lauten hier:

Ist das Rechenzentrum in verschiedene Brandabschnitte unterteilt? Gibt es Room-In-Room-Lösungen, sind Brandschutzwände vorhanden und Brandbekämpfungssysteme nach neuestem Stand der Technik installiert?

Sind Brandschutztüren und -fenster installiert und wurde auf Brandabschottung der Trassen geachtet?

Werden Brandschutzvorschriften im Allgemeinen eingehalten – wie wird mit Brandlasten umgegangen?

Existieren Handfeuerlöscher?

Gibt es ein Brandfrühesterkennungssystem? Sind Sensoren und Detektoren auch im Doppelboden installiert, die auf Temperaturanstieg sowie auf Rauch- und Schwelgase reagieren?

Wie werden intern Sicherheitsdienst und Feuerwehr im Brandfall informiert?

Wird im Brandfall Löschgas verwendet, das der Technik nicht schadet?

Sind Entgasungs-, Ventilations- und Druckentlastungs-Systeme vorhanden?

Kann der Betrieb auf Kundenwunsch redundant ausgelegt bzw. überhaupt Brandprävention kundenspezifisch geregelt werden? Kann also der IT-Betrieb aufrechterhalten werden, wenn ein Abschnitt oder ein Raum brennt?

Ist das Brandbekämpfungssystem im Allgemeinen redundant ausgelegt?

Können Systeme auch im Brandfall weiter betrieben werden?

3. Punkt: Unterbrechungsfreie Stromversorgung (USV)
Damit geschäftskritische Anwendungen und digitale Geschäftsprozesse auf den Produktivsystemen im Rechenzentrum reibungslos abgebildet werden können und keine Daten verloren gehen, muss auch bei Ausfällen des öffentlichen Stromnetzes für eine unterbrechungsfreie Stromversorgung gesorgt sein. Die Punkte der Checkliste lauten hier:

Hat das Rechenzentrum eine Blitzschutzvorrichtung, einen Überspannungsschutz und liegt bei den Aussenleitungen eine galvanische Trennung vor?

Ist eine USV vorhanden und welche Verfügbarkeit ergibt sich aus der Konfiguration?

Welchen Zeitraum kann die USV unter Volllast überbrücken?

Gibt es (redundante) Netzersatzanlagen, die im Falle eines länger andauernden Stromausfalls die Versorgung übernehmen können?

Wie lange reicht der Treibstoffvorrat und existieren Lieferverträge mit Treibstofflieferanten, um im Bedarfsfall sofort Diesel nachgeliefert zu bekommen?

Erfolgt der Übergang der Stromversorgung unterbrechungsfrei? Und zwar vom Normal- auf Notbetrieb und umgekehrt? Ist die Kompatibilität der Systeme gewährleistet oder existieren mehrere Systeme unterschiedlicher Hersteller nebeneinander?

Läuft die Krisenumschaltung vollautomatisch?

Ist die Stromverfügbarkeit in den Service Level Agreements verbindlich geregelt?

Werden regelmässig Wartungsarbeiten durchgeführt und die Notstromversorgung überwacht, kontrolliert und getestet?

Bestehen langfristige Verträge über mögliche Kapazitätserweiterungen mit städtischen, kantonalen oder regionalen Energieversorgern oder Pläne eigener Kraftwerke vor Ort? Ist eine zusätzliche Versorgung durch das bestehende Netz überhaupt möglich?

4. Punkt: Klimatisierung (Kühlung und Luftfeuchtigkeit)
Da der grösste Teil der zugeführten Energie von den Geräten in Form von Wärme wieder abgegeben wird, spielt – neben der Stromversorgung – die Klimatisierung eine wichtige Rolle. Vor allem im Sommer kann es eine grosse Herausforderung sein, im Rechenzentrum Temperatur und Luftfeuchtigkeit im Idealbereich zu halten. Die immer leistungsfähigere Hardware und deren steigender Strombedarf lassen herkömmliche Klimatisierungskonzepte oftmals an ihre Grenzen stossen. Sowohl bei der Stromversorgung als auch bei der Klimatisierung müssen Überkapazitäten vorhanden sein, damit bei einem (Teil-)Ausfall der Infrastruktur sowie bei Wartungsarbeiten entstehende Versorgungslücken durch die Zuschaltung weiterer Anlagen kompensiert werden können. Die Punkte der Checkliste:
Ist das Klimatisierungssystem von den Geräten bis hin zum Kaltwasserversorgungsnetz redundant aufgebaut?

Sind Überwachungs- und Früherkennungssysteme installiert, die die Temperatur und die Luftfeuchtigkeit jederzeit messen und protokollieren?

Sind Verfügbarkeiten und Servicebedingungen in SLAs geregelt?

Laufen Alarme und Warnungen an einer zentralen Stelle auf, die 24x7 besetzt ist, damit etwa bei Überhitzung schnell reagiert werden kann?

Werden umweltfreundliche Kühlsysteme mit Freikühlungsfunktion verwendet?

Ist die Kühlungskapazität der IT-Dichte angemessen?

Sind die Anlagen auf weiteres Wachstum ausgelegt beziehungsweise stehen noch Kapazitäten zur Verfügung?

Ist die Infrastruktur so ausgelegt, dass Luftströme optimal geleitet werden können? (keine Kabelbündel im Doppelboden usw.)?

Können vorhandene Klimatisierungssysteme auf den Bedarf des Kunden abgestimmt werden?

5. Punkt: Netzwerkanbindung Als essenzieller Bestandteil für den externen Datenaustausch sollte die Netzwerkanbindung redundant aufgebaut sein. Optimal ist eine zusätzliche Anbindung, die durch einen zweiten Netzbetreiber mit einer alternativen Kabelführung oder auf drahtlosen Übertragungswegen, wie Richtfunk oder Satellit, realisiert wird. Die Checklisten-Punkte sind hier:
Stehen mindestens zwei separate Hauseinführungen von zwei unterschiedlichen Netzbetreibern zur Verfügung?

Kann man mit Datenaustauschknoten/Carriern in Verbindung treten?

Ist Carrier-Neutralität gewährleistet?

Haben alle grossen Netzbetreiber ihre Anschlusspunkte in dem ausgewählten Rechenzentrum?

Sind kurze Latenzzeiten gewährleistet?

6. Punkt: Skalierbarkeit
Da ein Unternehmen oder eine Organisation nie genau planen und somit wissen kann, wann eine Expansion der IT- und Telekommunikationssysteme eintreten wird, ist es unerlässlich, dass das vorhandene Rechenzentrum skalierbar ist und nicht von einem Tag auf den anderen an seine Kapazitätsgrenzen stösst. Die Punkte der Checkliste:
Kann die Rechenzentrumsfläche insgesamt nach aktuellen Sicherheits- und Verfügbarkeitsstandards erweitert werden?

Inwieweit kann an jedem Punkt des Rechenzentrums die Gerätekapazität aufgestockt werden?

Existieren Baupläne beziehungsweise Erweiterungspläne für die nächsten zehn Jahre?

7. Punkt: Energieeffizienz
Rechenzentrumsanbieter können sich nicht hinter dem Argument verstecken, dass sie selbst nicht viel in Richtung Green IT tun können und ihre Energiebilanz von der Hardware und dem Stromverbrauch ihrer Kunden abhängig ist. Colocation-Anbieter können durchaus mit der richtigen Architektur und Klimatisierung für einen effizienteren Betrieb sorgen. Einige Anbieter sind sogar Mitglied bei "The Green Grid", einem Konsortium, das sich weltweit für eine Verbesserung der Energieeffizienz in Rechenzentren stark macht. Genau wie bei einer Zertifizierung nach ISO-Standard 27001, kann man bei Rechenzentrumsanbietern darauf achten, ob sie bei Organisationen wie "The Green Grid" aktiv sind. Die einzelnen Punkte:
Bietet der Rechenzentrumsanbieter Beratung bei Virtualisierung und Konsolidierung Ihrer Systeme?

Werden energiesparende Klimatisierungsgeräte mit Freikühlungsfunktion eingesetzt und zum Beispiel Luftströme aus Warm- und Kaltluft vollständig getrennt? Stehen auch Nachrüst-Systeme zur Trennung von Warm- und Kaltluft bei bestehenden älteren Serverschränken zur Verfügung?

Bestehen nachhaltige Raumkonzepte und sind die Serverräume durch ein Room-in-Room-Konzept von äusseren klimatischen Bedingungen abgeschottet und unabhängig?

Sind das Gebäude selbst als auch die Versorgungsinfrastruktur in Bezug auf Energieeffizienz aufeinander abgestimmt und bestehen auch darüber hinaus nachhaltige Verhaltensregeln für Angestellte sowie ein nachhaltiges (Kapazitäts-) Management und Wartungskonzepte?

8. Punkt: Störungsmanagement
Auch Massnahmen für den Notfall dürfen nicht ausser Acht gelassen werden. In sogenannten Business Continuity-Plänen oder Disaster Recovery-Plänen muss beschrieben werden, wie im Krisenfall der Geschäftsbetrieb in kritischen Unternehmensbereichen wieder aufgenommen oder fortgesetzt werden kann. Die Punkte der Checkliste lauten hier:
Wie wird bei Zwischenfällen oder gar Krisen reagiert?

Liegen eine entsprechende Dokumentation und die Notfallpläne zur Einsichtnahme vor?

Werden das Verhalten im Notfall und eventuelle Krisenszenarien regelmässig geprobt und durchgespielt?

Welche Szenarien können den Fortbestand Ihres Unternehmens gefährden?

Haben Sie im Unternehmen einen Verantwortlichen, der für Datensicherheit zuständig ist und auch in Notfallsituationen mit dem Rechenzentrumsanbieter zusammenarbeiten und vor Ort sein kann?

Stellt der Anbieter eigene Büros für Ihr Personal zur Verfügung?

Ist darüber hinaus bei Ihnen dokumentiert, welche Bereiche der IT im Ernstfall zuerst wiederhergestellt werden müssen?

Quelle: It-administrator.de; Peter Knapp; 28.01.2010

Zurück