diseño de un cpd
DESCRIPTION
Resumen del tema de diseño de centro de procesos de datos (CPDs)TRANSCRIPT
Tema 56: Diseño de centro de procesos de datos. Instalaciones (electricidad, control de acceso, control de
presencia, sistema anti-incendios, climatización, sistemas de alimentación ininterrumpida).
56.1 CENTRO DE PROCESO DE DATOS
Un Centro de proceso de datos es el conjunto de recursos físicos, lógicos y humanos necesarios para la
organización y control de las actividades informáticas de una empresa u organización.
56.2 DISEÑO DE CENTRO DE PROCESOS DE DATOS
Para llevar a cabo el diseño de un CPD se deben tener en cuenta muchas consideraciones que van desde la
ubicación geográfica, análisis de riesgos, las infraestructuras interiores… hasta las medidas de seguridad,
tanto físicas como lógicas
56.2.1 Requisitos a cumplir por el Centro de proceso de datos
En primer lugar se deben establecer los requisitos a intentar cumplir por el CPD:
Instalación de alto riesgo. Una instalación de alto riesgo es aquella que tiene las siguientes
características:
Datos o programas que contienen información confidencial de interés nacional o que poseen un
valor competitivo alto en el mercado.
Pérdida potencial considerable para la institución y, en consecuencia, una amenaza potencial alta
para su subsistencia.
Disponibilidad y monitorización “24x 7x 365”.
Fiabilidad Infalible (5 ‘nueves’). Es decir, con un 99,999% de disponibilidad, lo que traduce en una
única hora de no disponibilidad al año.
Seguridad, Redundancia y Diversificación.
Control ambiental / Prevención de Incendios.
Acceso Internet y conectividad WAN.
Rápido despliegue y reconfiguración.
Gestión continúa del negocio.
Cableado flexible, robusto y de altas prestaciones.
56.2.2. Análisis de riesgos y planes de contingencia
Para realizar un buen diseño también debemos establecer un compromiso entre la necesaria operatividad del
sistema frente a los diversos riesgos potenciales, los mecanismos y técnicas que permiten minimizar sus
efectos y costes directos e indirectos del empleo de dichas técnicas.
Primeramente deberemos determinar cuantitativa y cualitativamente los riesgos a que esté sometida la
organización. Una vez tipificados procederemos a estimar la probabilidad de ocurrencia de cada uno. Se
debe establecer un listado priorizado de elementos críticos (aplicaciones, bases de datos, software de base,
equipos centrales, periféricos, comunicaciones) según el impacto que su carencia o malfuncionamiento
causaría en la operatividad del sistema. Seguidamente debríamos seleccionar las medidas de seguridad que
permitan prevenir los daños en lo posible y corregirlos o minimizarlos una vez acaecidos, determinando los
recursos necesarios para su implantación.
Las medidas de corrección se plasman en un plan (Plan de Contingencia) que debe recoger, en forma de
planes unitarios, las respuestas a los diferentes problemas que puedan surgir, y se desglosa en:
Plan de emergencia: Guía de actuación "paso a paso" en cada fallo o daño..
Plan de Recuperación: Desarrolla las normas de actuación para reiniciar todas las actividades
normales de la organización, bien en el propio CPD, bien en otro centro de respaldo.
Plan de Respaldo: Especifica todos los elementos y procedimientos necesarios para operar en el
centro de respaldo (si existe) y mantener en el mismo información sobre todo los SI
56.2.3 Ubicación geográfica
Se deberán analizar de forma integral las características dominantes de los distintos entornos, evaluando las
ventajas y los riesgos potenciales que pudieran afectar al buen funcionamiento del CPD. Se tendrán en
cuenta el entorno natural (Climatología, Geotecnia, Hidrología), el entorno artificial (medios de emergencia,
redes de telec., centrales y plantas etc) y el entorno urbanístico (transportes, zonas urbamas). Actualmente se
ha acuñado el término "AMENITIES" para abarcar todos los servicios complementarios (Áreas de descanso,
ocio y servicios terciarios. Guardería. Aparcamiento. Clubes, Gimnasios e instalaciones deportivas ETC)
56.2.4 Infraestructuras interiores
Una vez seleccionada la ubicación física del edificio que albergará el CPD, habrá que analizar las
características especificas de las instalaciones: no facilitar indicaciones de su propósito, incluir zonas
destinadas a carga y descarga de suministros, cumplir el máximo nivel de protección exigido por la Norma
Básica de Edificación , disponer de canalizaciones protegidas de cableado de comunicaciones y de
electricidad etc.
El diseño arquitectónico de un CPD debe estar lo más cercano posible a la arquitectura inteligente. Este
hecho ha dado cabida a la domótica. Habitabilidad en horizontal, es el edificio informático óptimo (pocas
plantas, amplio espacio)
Se aplicarán las normas generales de obligado cumplimiento : Norma Básica y tecnológicas de la
Edificación., Ordenanzas Municipales., Reglamentos electrotécnicos etc. Se tendrán en cuenta : Acceso a
almacenas, muelles de carga/descarga, acceso a la Sala de Informática, salidas de emergencia, Falso techo y
suelo tenológico
56.2.5 Seguridad física
La seguridad física consiste en el conjunto de mecanismos y normas encaminados a proteger las personas,
instalaciones, equipos centrales y periféricos y los elementos de comunicaciones contra daños eventuales.
Se instalará un sistema informatizado para la gestión y el control integral de todas las alarmas procedentes
del equipamiento informático, de las infraestructuras y de las instalaciones específicas de seguridad del
CPD.
Dicho sistema, recibirá las señales de alarma, dispondrá de la gestión de las mismas y de la posibilidad de
realizar desde el mismo la modificación de ciertos parámetros u operaciones de parada, arranque o maniobra
del equipamiento de las salas de informática o del recinto del CPD: Red de incendios , Arranque, paro o
maniobra del entorno industrial del CPD, Control de accesos y movimientos, Control de los stocks de
almacenes. Estado de las baterías de los SAIs y control de los grupos electrógenos., Control de
climatización, sobrepresión y renovación ambiental. Red de detección de humedad.
Todos los medios de detección deben integrarse en el Sistema de Gestión de la Seguridad para que los
gestione y avise de la anomalía y su gravedad, inicie acciones de corrección automáticas y controle las
actuaciones (qué, quién, cómo, dónde y cuándo).
Hay que subrayar que los sistemas de detección deben funcionar incluso con el suministro eléctrico de
emergencia.
56.2.5.1 Control de acceso y movimientos
Se refiere a las medidas que podemos establecer para evitar un acceso indebido al conjunto del CPD. Por
ello se deben adoptar todas las medidas cuyo coste esté justificado. Entre ellas:
Servicio de seguridad
Barreras, puertas de seguridad, ausencia de ventanas.
Vídeo vigilancia y alarmas volumétricas: controladas por una centralita en la cabina de seguridad.
56.2.5.2 Planificación del acceso
Los responsables de las áreas controladas deben mantener unos controles de acceso efectivos y
proporcionales al valor de los activos a proteger para que puedan cumplir con unos requisitos de
auditabilidad mínimos. Los objetivos son:
Permitir el acceso únicamente a las personas autorizadas por el responsable del área.
Registrar las entradas y/o salidas (quién, por dónde y cuándo).
La entrada en las Áreas de Acceso Limitado (AAL) tiene que efectuarse desde un área interna, nunca desde
un área pública. Cada área de acceso limitado debe tener identificado formalmente un responsable o
propietario cuyas responsabilidades son:
Aprobar y mantener actualizada la relación de personas con autorización de acceso permanente.
Aprobar accesos temporales a estas áreas.
Las Áreas de Acceso Restringido (AAR) no deben tener ventanas al exterior y la entrada en las mismas tiene
que efectuarse desde un área interna o un Área de acceso limitado, nunca desde un Área pública. Tienen que
tener barreras de aislamiento de suelo y techo, incluyendo el falso suelo y el falso techo, o bien detectores
volumétricos de intrusos.
Cada área de acceso restringido debe tener identificado formalmente un responsable o propietario cuyas
responsabilidades son:
Aprobar y mantener actualizada la relación de las personas con autorización de acceso permanente,
generalmente, porque el trabajo a realizar requiere su presencia dentro del área. La lista de acceso
debe ser actualizada siempre que haya cambios que así lo aconsejen y revisada formalmente, al
menos, cada seis meses.
Aprobar los accesos temporales a estas áreas, incluyendo los accesos del personal que, estando
destinado en el área, accede fuera de su jornada laboral. Las autorizaciones temporales deben
contener (Nombre de quien autoriza si no es el propietario, nombre de la persona autorizada, Razón
social o motivo, Fecha y hora de acceso y la firma.,Fecha y hora de salida y la firma.)
56.2.6 Seguridad lógica
La seguridad lógica consiste en el conjunto de operaciones y técnicas orientadas a la protección de la
información contra la destrucción, modificación indebida, divulgación no autorizada o retraso en su
gestación.
La infraestructura del CPD debe incluir medidas de seguridad que protejan frente a ataques a través de las
redes a las que ésta esté conectado.
Es común que el acceso a internet sea un recurso crítico para la Organización, por lo que se recomienda
contratar dos proveedores de acceso distintos y establecer una configuración en alta disponibilidad de todos
los elementos de red que se encuentren en la ruta hacia Internet (cortafuegos, routers, switches, etc.). Esto es
especialmente crítico si la organización proporciona servicios on-line, tales como comercio electrónico o
hosting web.
Si es necesario implementar medidas adicionales de seguridad perimetral como IDS/IPS, filtrado de
contenidos o antivirus de correo electrónico y/o navegación web, así como mecanismos de acceso remoto
(VPN), el cortafuegos corporativo –o incluso el proxy, si se dispone de él– es el lugar idóneo para ello. De
este modo se centraliza la administración de estas medidas y se reducen los posibles puntos de fallo.
Es muy conveniente realizar una segregación de redes. Es decir, conviene realizar una división de la red
interna de la Organización en distintas subredes, interconectadas entre sí por cortafuegos que establezcan los
flujos de información permitidos entre cada una.
56.3 INSTALACIONES
56.3.1 Instalaciones eléctricas
Los cuadros de mandos se instalarán en lugares fácilmente accesibles, con espacio holgado (previendo las
posibles ampliaciones), correcta y claramente etiquetados.
Se evitará la electricidad estática empleando los revestimientos más adecuados, instalando las tomas de
tierra convenientes y manteniendo la humedad en el rango adecuado.
Los recursos informáticos son sensibles a las variaciones de tensión y de frecuencia de la corriente eléctrica.
Los requerimientos básicos para el suministro de energía eléctrica son dos: Calidad y Continuidad.
Relacionado con la Calidad se puede destacar que:
Las variaciones de frecuencia deben corregirse con equipos estabilizadores
Las variaciones de tensión deben ser manejadas por un Sistema de Alimentación Ininterrumpida
(SAI en inglés UPS)
En relación con la continuidad del suministro eléctrico debe tenerse en cuenta que las caídas de tensión
pueden ser manejadas por un SAI (UPS), pero sólo por tiempo limitado, ya que el desgaste de sus
acumuladores es muy rápido y su recarga muy lenta para utilizarlo en cortes sucesivos y nunca como única
alternativa.
Las soluciones habituales se basan en una de las siguientes o en la combinación de varias de ellas:
Conexión conmutada a dos compañías suministradoras.
Conexión conmutada a dos estaciones transformadoras de la misma compañía pero situadas en rutas
de suministro diferentes.
Capacidad de transformación de corriente asegurada mediante equipos redundantes.
Equipos electrógenos de combustión.
56.3.2 Control de acceso
Este control se basa en medidas de identificación unívoca de las personas que acceden al CPD. El servicio
de seguridad debe llevar un registro de las entradas y salidas al centro. Las visitas autorizadas deben llevar
obligatoriamente una tarjeta identificativa o etiqueta en lugar visible que indique claramente que es una
visita a las áreas a las que puede acceder y el tiempo de validez.
El personal propio debe portar una tarjeta identificativa con fotografía.
En centros de alta seguridad pueden requerirse medidas auxiliares de identificación ( Huellas dactilares,
Fondo de ojo (retina).,Introducción de códigos de acceso)
56.3.2.1 Niveles de seguridad de acceso
Las instalaciones de la empresa deben clasificarse en varias áreas o zonas que, dependiendo de su utilización
y los bienes contenidos, estarán sometidas a unos u otros controles de acceso. Las instalaciones pueden
clasificarse de acuerdo con los criterios y denominaciones siguientes:
Áreas Públicas: espacios en los que no hay- ningún tipo de restricción de acceso a empleados o
personas ajenas a la empresa.
Áreas Privadas: espacios reservados habitualmente a los empleados y personas ajenas a la empresa
con autorización por motivos de negocio. En ellos puede haber recursos informáticos con un valor
bajo.
Áreas de Acceso Limitado (AAL): espacios cuyo acceso está reservado a un grupo reducido de
empleados y personas ajenas a la empresa autorizadas por un acuerdo escrito. Pueden concentrarse
en ellos recursos informáticos que, en su conjunto, tiene un valor medio.
Áreas de Acceso Restringido (AAR): espacios cuyo acceso está reservado a un grupo muy reducido
de empleados y personas ajenas de la empresa autorizadas por un acuerdo escrito, que tengan
necesidad de acceder por razones de negocio. En ellos se encuentran recursos informáticos que, en
conjunto, tienen un alto valor o contienen activos de información críticos para las actividades del
negocio.
A las dos últimas se les denomina Áreas Controladas. Tienen que permanecer cerradas, incluso cuando estén
atendidas, y sus accesos controlados. En las áreas controladas, todos los empleados y las personas ajenas a la
empresa con autorización para acceder por razones de negocio tienen que llevar permanentemente y en lugar
visible un identificador:
Todo identificador, especialmente los que permiten el acceso a áreas controladas, es personal y debe ser
considerado como una contraseña de acceso físico y no compartirlo con nadie, para evitar verse envuelto en
algún incidente de seguridad no deseado.
56.3.3 Sistemas anti-incendios
El fuego causa el mayor número de accidentes en los CPDs. Por ello es imprescindible controlar puntos
zonales y además realizar un estudio en función de los agentes extintores.
Se procederá a estudiar como medidas:
El acceso de los bomberos a cualquier zona del edificio previendo las tomas de agua a presión
convenientes.
La resistencia al fuego de los materiales de construcción
El mecanismo más adecuado para cortar la alimentación eléctrica en caso de incendio.
Los mecanismos idóneos para evitar que los conductos de refrigeración y ventilación actúen como
chimeneas y contribuyan a propagar el incendio, parándose automáticamente el aire acondicionado
en caso de incendio.
La compartimentación del edificio, aislando aquellas zonas que contengan materiales fácilmente
combustibles, que se limitarán al máximo.
La instalación de puertas ignífugas dotadas de los mecanismos que aseguren su cierre de forma
automática.
La prohibición de fumar, colocando carteles claramente visibles, en las zonas de mayor riesgo.
El mobiliario, fabricado con materiales resistentes al fuego.
Los contenedores de papel, materiales plásticos, etc., deberán tener una tapa metálica, que
permanecerá cerrada de forma automática.
La construcción de recintos de protección combinada o la disposición de armarios ignífugos.
La instalación de un sistema de alarmas cruzadas y centralizadas en el Sistema lntegral de Gestión de
la Seguridad, para la detección o extinción de incendios en el CPD.
En caso de incendio, su extinción puede realizarse con medios manuales o automáticos. Los medios
manuales se basan en extintores portátiles, mangueras, etc. Los medios automáticos se basan en la
inundación del área mediante agua, CO2 u otros agentes extintores. El más recomendable es el basado en
agua, por su bajo coste y su nulo impacto en el entorno. Los sistemas automáticos basados en el agua deben
tener un mecanismo de preacción que, en caso de llegar a un estado de alerta o alarma, sustituye el aire de la
conducción por agua.
La actuación de estos sistemas de extinción debe ser combinada con la previa desconexión del suministro de
energía eléctrica del área afectada.
56.3.4 Climatización
Con la evolución tecnológica ya existen en el mercado recursos informáticos que reducen (prácticamente
eliminan) los tradicionales requerimientos de aire acondicionado. Sin embargo, debido al parque existente
en España y a su antigüedad media, se deben tener en cuenta las siguientes consideraciones: Se recomiendan
equipos de climatización específicos para salas informáticas con control microprocesador de temperatura y
humedad. Estos equipos deben ser del tipo servicios total y capaz de producir frío, calor y humectar o
deshumectar de forma automática. Las unidades de climatización se deberán calcular para un
funcionamiento continuo 24h/días y los 365 días del año
56.3.5 Sistemas de alimentación ininterrumpida
También denominados SAI (UPS, “Uninterruptible Power Supply”), es un dispositivo que gracias a sus
baterías, puede proporcionar energía eléctrica tras un apagón a todos los dispositivos que tenga conectados.
Otra de las funciones de los SAI es la de mejorar la calidad de la energía eléctrica que llega a las cargas,
filtrando subidas y bajadas de tensión y eliminando armónicos de la red en el caso de usar corriente alterna.
Existen dos tipos de de SAI:
SAI de corriente continua (activo). Las cargas conectadas a los SAI requieren una alimentación de
corriente continua, por lo tanto éstos transformarán la corriente alterna de la red comercial a corriente
continua y la usarán para alimentar a la carga y almacenarla en sus baterías. Por lo tanto no necesitan
convertidores entre las baterías y las cargas.
SAI de corriente alterna (pasivo). Estos SAI generan como salida una señal alterna, por lo que
necesitan un inversor para transformar la señal continua obtenida de las baterías en una señal alterna.
56.3.6 Otras características a tener en cuenta
56.3.6.1 Recinto de protección combinada
Son recintos de protección combinada aquellos compartimentos dentro de los CPD capaces de garantizar
una custodia segura de los soportes magnéticos de respaldo ante los agentes más peligrosos que puedan
atacarlos.
56.3.6.2 Instalaciones de agua
Se evitará, en lo posible las canalizaciones de agua en la sala de ordenadores (sobre todo por falso techo,
falso suelo o visibles).
El cableado debe estar impermeabilizado cuando discurra por zonas con riesgo de humedad o inundación. Si
no es posible separar los conductos de agua del resto de instalaciones, se preverá dotar al techo, por donde
discurran las tuberías, de la inclinación oportuna para evacuar el agua hacia los puntos de drenaje
establecidos, evitando su acumulación.
Si existen en el edificio o adosados a él depósitos de agua u otro tipo de líquido, se asegurará la
estanqueidad de los mismos.
En el caso de salas de informática situadas en sótanos se reforzará la estanqueidad de paredes, pisos, techos,
puertas y ventanas. Se preverá la instalación de bombas automáticas para evacuar eventuales inundaciones,
que deben alimentarse con un sistema eléctrico aislado del resto de la sala para permitir su funcionamiento
independiente.
56.4 CLASIFICACIÓN DE LOS CPD
El estándar TIA-942 describe los requisitos que debe cumplir la infraestructura de un centro de proceso de
datos. Se establecen cuatro niveles de disponibilidad:
Tier I: Centro de proceso de datos (CPD) Básico. La tasa de disponibilidad máxima del CPD es del
99.671% del tiempo, es decir, el nivel Tier I del estándar TIA-942 consigue reducir el tiempo de
parada del CPD a lo largo de un año a 29 horas como máximo.
Un CPD Tier I puede admitir interrupciones tanto planeadas como no planeadas. Cuenta con
sistemas de aire acondicionado y distribución de energía, pero puede no tener piso técnico, SAI o
generador eléctrico. Si los posee pueden tener varios puntos únicos de fallo. La carga máxima de los
sistemas en situaciones críticas es del 100%. La infraestructura del CPD deberá estar fuera de
servicio al menos una vez al año por razones de mantenimiento y/o reparaciones. Los errores de
operación o fallas en los componentes de su infraestructura causarán la interrupción del CPD.
Tier II: Componentes Redundantes. La tasa de disponibilidad máxima del CPD es del 99.749% del
tiempo, es decir, el nivel Tier II del estándar TIA - 942 consigue reducir el tiempo de parada del
CPD a lo largo de un año a 22 horas como máximo. Un CPD con componentes redundantes son
ligeramente menos susceptibles a interrupciones, tanto planeadas como las no planeadas. Estos CPD
cuentan con suelo técnico, SAI y generadores eléctricos, pero está conectado a una sola línea de
distribución eléctrica. Su diseño es (N+1), lo que significa que existe al menos un duplicado de cada
componente de la infraestructura. La carga máxima de los sistemas en situaciones críticas es del
100%. El mantenimiento en la línea de distribución eléctrica o en otros componentes de la
infraestructura, pueden causar una interrupción del servicio.
Tier III: Mantenimiento Concurrente. La tasa de disponibilidad máxima del CPD es del 99.982% del
tiempo, es decir, el nivel Tier III del estándar TIA -942 consigue reducir el tiempo de parada del
CPD a lo largo de un año a 1,5 horas como máximo. Las capacidades de un CPD de este nivel le
permiten realizar cualquier actividad planeada sobre cualquier componente de la infraestructura sin
interrupciones en la operación. Las actividades planeadas incluyen mantenimiento preventivo,
reparaciones o reemplazo de componentes, agregar o eliminar componentes, realizar pruebas de
sistemas o subsistemas, entre otros. Para infraestructuras que utilizan sistemas de enfriamiento por
agua, significa doble conjunto de tuberías. Debe existir suficiente capacidad y doble línea de
distribución de los componentes, de forma tal que sea posible realizar mantenimiento o pruebas en
una línea y mientras que la otra atienda la totalidad de la carga. En este nivel, actividades no
planeadas como errores de operación o fallos espontáneas en la infraestructura pueden todavía causar
una interrupción del CPD. La carga máxima en los sistemas en situaciones críticas es de 90%.
Muchos CPD Tier III son diseñados para actualizarse a Tier IV, cuando los requerimientos del
negocio justifiquen el costo.
Tier IV: Tolerante a Fallos. La tasa de disponibilidad máxima del CPD es del 99.995% del tiempo,
es decir, el nivel Tier IV del estándar TIA- 942 consigue reducir el tiempo de parada del CPD a lo
largo de un año a 26 minutos como máximo.
Un CPD de este nivel provee capacidad para realizar cualquier actividad planeada sin
interrupciones en el servicio, pero además la funcionalidad tolerante a fallos le permite a la
infraestructura continuar operando aún ante un evento crítico no planeado. Esto requiere dos líneas
de distribución simultáneamente activas, típico en una configuración System+System.
Eléctricamente esto significa dos sistemas de SAI independientes, cada sistema con un nivel de
redundancia N+1. La carga máxima de los sistemas en situaciones críticas es de 90%. Persiste un
nivel de exposición a fallos, por el inicio una alarma de incendio o porque una persona inicie un
procedimiento de apagado de emergencia (EPO), los cuales deben existir para cumplir con los
códigos de seguridad contra incendios o eléctricos.