Serwery pod kluczem

W trakcie jednego z wielu audytów bezpieczeństwa moim oczom ukazało się pomieszczenie, w którym nowoczesne urządzenia serwerowe ustawione były na starannie wykonanych półkach drewnianych w stylu rustykalnym. Pokusiłem się wtedy o dyskusję na temat sensowności wykorzystania zamykanych szaf serwerowych wyposażonych w mechanizm monitorowania otwarcia, wentylację oraz inne systemy zabezpieczeń. Jak wynikało z tej dyskusji, zdaniem osób odpowiedzialnych za system IT w firmie, tego typu zabezpieczenia nie są nikomu do niczego potrzebne, a do tego są drogie. Trudno jednak zgodzić się z takimi opiniami.

Ochrona dostępu fizycznego, kontrola środowiska pracy systemów oraz ochrona przed ogniem i wodą stanowią kluczowe elementy systemu bezpieczeństwa, który w opisanym wyżej przypadku po prostu nie istniał, bo uznano, że nie jest nikomu do niczego potrzebny. Zaprojektowanie skutecznego systemu bezpieczeństwa fizycznego opartego na modelu warstwowym i strefie bezpieczeństwa, kontroli i monitorowaniu pomieszczeń oraz systemach przeciwpożarowych wymaga jeszcze jednego wysiłku - zapewnienia bezpieczeństwa samych systemów. Brak przemyślanej konstrukcji takich zabezpieczeń może bowiem spowodować, że cały wysiłek któregoś dnia pójdzie na marne.

Urządzenia serwerowe wymagają pracy w kontrolowanych warunkach, ale ponad wszystko do ich sprawnej i nieprzerwanej pracy niezbędna jest możliwość ograniczenia dostępu osób nieuprawnionych. Jest to ostatnie ogniwo systemu zabezpieczeń fizycznych, które w pewnych warunkach może się okazać jego kluczowym elementem. Dlatego też warto umieścić urządzenia serwerowe i sieciowe w zamykanych szafach o odpowiedniej konstrukcji. Zapewniają one, że osoba nieuprawniona nie uzyska bezpośredniego dostępu do urządzeń, a jeśli to się stanie, system monitorowania otwarcia zarejestruje takie zdarzenie. Jednocześnie szafy serwerowe pozwalają na efektywną wentylację urządzeń oraz monitorowanie warunków środowiska pracy systemów w ich bezpośredniej bliskości.

W centrach przetwarzania danych, gdzie systemom stawia się wyjątkowo wysokie wymogi dostępności, warte rozważenia są aktywne systemy monitorowania oparte na minikamerach oraz zdalne zarządzanie parametrami pracy urządzeń, np. zdalne zarządzanie ich zasilaniem.

Zabezpieczone okablowanie

Równie ważne jak ochrona samych serwerów jest przemyślane podejście do ochrony okablowania teleinformatycznego. Nie ma przecież prostszej metody na unieruchomienie systemów jak przerwanie jego ciągłości. To samo dotyczy zagrożeń pożarowych tego elementu infrastruktury. Dlatego też okablowanie należy prowadzić w sposób ograniczający możliwość jego łatwego przecięcia lub zniszczenia przez ogień. W tym celu stosuje się odpowiednie systemy do układania kabli wykonane jako zamknięta półka kablowa lub korytko siatkowe. Dodatkowo, tam gdzie okablowanie teleinformatyczne biegnie razem z okablowaniem energetycznym, stosować należy poprzeczki działowe, które zapewniają dobre ekranowanie elektryczne i pożarowe.

Dane w sejfie

Gdzie w większości firm przechowywane są taśmy zawierające bezcenne kopie zapasowe danych? Otóż moje wieloletnie obserwacje wskazują, że najczęściej wykorzystywanym do tego celu miejscem jest... półka lub szafka zamocowana na ścianie w pomieszczeniu serwerowym. I w ten właśnie sposób wiele firm rujnuje cały system bezpieczeństwa, narażając się na to, że często jedyne kopie zapasowe danych w przypadku pożaru znikną wraz z danymi podstawowymi. Gdzie w takim razie powinny być przechowywane dane zapasowe lub dokumentacja systemów? Bezwzględnie w sejfie. Pamiętać należy jednak o tym, że nie każdy sejf się do tego celu nadaje.

Sejfy, które spełniają choćby podstawowe normy bezpieczeństwa niezbędne do tego, żeby można było w nich przechowywać dane, muszą zapewniać zarówno ochronę dostępu, jak i ochronę przeciwpożarową. Pamiętać należy przy tym, że żaden sejf nie uchroni danych przed zniszczeniem, jeśli będzie wystawiony na działanie wysokiej temperatury przez długi czas. Dlatego też dobór sejfu i jego lokalizacja powinny wynikać z analizy pozostałych komponentów systemu bezpieczeństwa fizycznego. Większość sejfów zapewnia ochronę przed ogniem od 60 do 120 min. W praktyce powinien to być czas wystarczający do ugaszenia pożaru. Nie należy mieć większych oczekiwań, chyba że przeznaczenie sejfu jest zgoła inne i ma on służyć do zamknięcia całego systemu, a nie tylko nośników danych. W takich przypadkach sejf, oprócz ochrony fizycznej, zawiera kompletny zestaw elementów do zapewnienia odpowiednich warunków pracy i parametrów środowiska, w tym klimatyzację, detektory ognia i wilgotności oraz odpowiedni system zasilania. Rozwiązania takie doskonale sprawdzają się w małych i średnich firmach, które ze względu na ograniczenia nie mogą sobie pozwolić na wygospodarowanie odrębnego pomieszczenia serwerowego.

Autor jest prezesem polskiego oddziału ISACA (http://www.isaca.org.pl ). Posiada uprawnienia certyfikowanego specjalisty ds. bezpieczeństwa informacji (CISSP), certyfikowanego audytora systemów informatycznych (CISA), certyfikowanego audytora wewnętrznego (CIA).