Security und Zutrittskontrolle im Rechenzentrum

Serverräume und Data Center wirkungsvoll absichern

03.03.2014 von Uwe Petersen
Ein Rechenzentrum mit Servern, Storage und Netzwerk bildet oft das Herzstück eines Unternehmens. Um Angreifer abzuwehren, muss der IT-Verantwortliche vielfältige Sicherheitsmaßnahmen implementieren. Wir geben Tipps gegen Spionage, Sabotage oder Diebstahl.
Stopp: Unbefugter Zutritt verboten – der Eingang zum Rechenzentrum bedarf eines besonderen Schutzes.
Foto: Equinix

Im Data Center ist die Absicherung von Prozessen und IT-Systemen eine unerlässliche Aufgabe. Betreiber von Rechenzentren (RZ) müssen den funktionalen Rahmen für ein sicheres Rechenzentrum schaffen. Dabei bedarf schon der Eingang zum Rechenzentrum besonderer Schutzmaßnahmen.

Klare Regeln für den Zutritt

Für den Zutritt zu Rechenzentren sind strukturierte Abläufe aus Sicherheitsaspekten unerlässlich. Dabei sollte die Zugangskontrolle über mehrere, parallel eingesetzte Verfahren geregelt werden. Hierfür bieten sich die Kriterien Besitz (zum Beispiel ID-Karte), Wissen (zum Beispiel PIN-Code) und Eigenschaften (zum Beispiel Handflächen- oder Iris-Scan) an. Alle Identifikationsvorgänge - erfolgreiche wie nicht erfolgreiche – sind zu protokollieren, die Protokolle aufzubewahren.

Wichtig ist zudem, neben dem Zugang auch das Verlassen des Data Centers zu erfassen, um temporäre Zugangsberechtigungen widerrufen und bei einer nicht regelkonformen Abmeldung den erneuten späteren Zutritt verweigern zu können. Organisatorische Regelungen und Verfahrensdokumentationen belegen definierte Verantwortlichkeiten des Zutritts zum RZ, die Vergabe von Berechtigungen, die Kontrolle und Überwachung sowie die unabhängige Auditierung der Verfahren, zum Beispiel gemäß den Standards ISO 27001, ISAE 3402 und SSAE 16.

Einrichten von Sicherheitszonen

Um Sicherheitsmaßnahmen für das Data Center zielgerichtet umzusetzen, zählt das Schaffen von Sicherheitszonen zu den organisatorischen Aufgaben eines RZ-Betreibers. So lassen sich sensible von weniger sensiblen Gebieten trennen, um in sich homogene Security-Konzepte für die einzelnen Bereiche zu realisieren. Solch eine Strukturierung fasst beispielsweise zusammen:

Kontrolle innerhalb des Rechenzentrums

Alle im Blick: Videoüberwachung gehört in sensiblen Rechenzentren zur Standardausstattung.
Foto: Equinix

Basierend auf den unterschiedlichen sicherheitsrelevanten Anforderungen, die den einzelnen Sicherheitszonen zugrunde liegen, sollten RZ-Verantwortliche Maßnahmen für die Kontrolle von Personen innerhalb des Data Center organisieren. Hierzu zählen unter anderem eine möglichst flächendeckende Videoüberwachung – Videoprotokolle sind zu archivieren – sowie Zugangskontrollen für einzelne Zonen über Schleusen. Der Zutrittsschutz für besonders zu schützende IT-Bereiche kann durch eine doppelte Absicherung mit unterschiedlichen Zutrittsverfahren ausgebaut werden. Wünschenswert ist, dass Kunden in herstellerneutralen Rechenzentren Einfluss auf die Sicherungsmaßnahmen innerhalb des Rechenzentrums nehmen können, soweit sie ihren eigenen Bereich betreffen. So lässt sich gewährleisten, dass firmeninterne Security-Vorgaben eingehalten werden.

Wartung und Kontrolle des Security-Equipments

Ein häufig vernachlässigter Aspekt bezüglich der für die aktive und passive Sicherheit verwendeten Systeme ist die regelmäßige Wartung. Während Fehler und Ausfälle häufig eingesetzter Bestandteile wie Zugangslösungen oder Videoüberwachung schnell augenscheinlich sind, geraten etwa Brandwarn- oder -Löschsysteme schnell in Vergessenheit.

Entsprechend sind eindeutig definierte Wartungspläne, die alle Bestandteile einer Sicherheitsinfrastruktur erfassen, unerlässlich. Wartungsintervalle sollten dort regelmäßig vorgesehen sein und entsprechende Arbeiten sowie erledigte Veränderungen oder Reparaturen dokumentiert werden.

Schulung des RZ-Personals

Neben der technischen Security-Ausrüstung spielt das Personal eines Rechenzentrums eine wichtige Rolle beim Umsetzen von Sicherheitskonzepten. Innerhalb der Belegschaft müssen Zuständigkeiten und Verantwortlichkeiten klar definiert und - ebenso wie Alarmierungs- und Notfallpläne - nach außen transparent dargestellt sein.

RZ-Betreiber müssen dafür Sorge tragen, dass ihre Mitarbeiter durch Einarbeitung, Einweisung und Zertifizierung nachweisbar qualifiziert werden. Diese Qualifikation ist durch regelmäßige Überprüfungen zu kontrollieren sowie durch Schulungen zu vertiefen und zu aktualisieren. Hierfür bieten sich folgende Themenbereiche an:

Schutz vor Feuer im Data Center

Brandschutz in Form von Brandfrüherkennung und Brandverhinderung sowie Brandlöschanlagen bildet einen weiteren Schwerpunkt der RZ-Sicherheit. Dabei ist es zunächst wichtig, dass die einzelnen Cabinets und Bereiche wirkungsvoll voneinander abgeschottet sind, um eine Ausbreitung von Schadfeuer zu vermeiden. Kommt es zu einem Feuer, entscheidet aber nicht nur dessen Größe, sondern auch die Art der eingesetzten Brandlöschanlage über den daraus resultierenden Schaden.

Normale Sprinkleranlagen - ob nass mit vorgeflutetem Rohrsystem oder trocken mit erst unmittelbar beim Einsatz gefüllten Leitungen - eignen sich nur eingeschränkt. Schließlich kann das durch einen einfachen Kabelschmorbrand freigesetzte Löschwasser deutlich mehr Schaden am IT-Equipment auslösen als das eigentliche Feuer. Abschwächen lassen sich Löschwasserschäden durch sogenannte Highfog-Löschsysteme, die aufgrund der hochgradigen Feinzerstäubung deutlich weniger Flüssigkeit bei gleicher Löschleistung benötigen und zudem destilliertes Wasser einsetzen.

Sicherheitstechnisch sinnvoller sind allerdings Gaslöschanlagen, deren eingesetzten Löschgase wie Argon oder Inergen die Flammen durch die Verdrängung des Sauerstoffs ersticken. Andere Gase wie Kohlenstoffdioxid sind in neu errichteten Rechenzentren wegen der toxischen Wirkung verboten.

Stromversorgung: Die Notstromzentrale im Rechenzentrum sorgt dafür, dass auch bei Stromausfall alles weiterläuft.
Foto: Equinix

Abgesicherte Energieversorgung und Kühlung im Data Center

Der erste Blick bei der Beurteilung der Energieversorgung eines Rechenzentrums gilt Stromleitungszuführungen zum Gelände, die redundant ausgelegt sein sollten. Abhängig von den Nutzeranforderungen ist die Ausstattung der elektrischen Komponenten innerhalb des RZ vorzunehmen. Dazu gehören beispielsweise USV-Anlagen, Generatoren, Transformatoren, Mittel- und Niederspannungsanlagen, Klimatisierungslösungen und Stromverteiler.

Dabei ist wichtig, welches Redundanzkonzept zum Einsatz kommt. Die Basisvariante ist eine einfache Stromversorgung ohne redundant ausgelegte Komponenten (N), die allerdings aufgrund der reparatur- beziehungsweise austauschbedingten Ausfallzeiten bei einer Störung oder in Wartungsfenstern eine Unterbrechung des laufenden Betriebs erfordert.

Erfolgt die Stromversorgung über eine einzige Leitung, sind aber einzelne Komponenten redundant ausgelegt, dann spricht man von N+1. Als De-facto-Standard etabliert hat sich eine abgesicherte Energieversorgung über zwei physikalisch getrennte Stromleitungszuführungen (2N), in vielen Fällen mit zusätzlich redundant ausgelegten einzelnen Baugruppen (2N+1), oder gar 3N. Wesentlich ist zudem, dass das Sicherheitskonzept für die Energieversorgung nicht nur die primären Verbraucher, also die IT-Systeme, erfasst, sondern auch die sekundären energieabhängigen Einrichtungen, beispielsweise zur Beleuchtung oder zur Gebäudesicherheit. (hal)

Server für den Mittelstand
PowerEdge T110 II
Der PowerEdge T110 II von Dell ist ein günstiger Einstiegsserver, hat aber wie alle Tower Luft nach oben.
Dell PowerEdge T320
Der PowerEdge T110 II von Dell ist ein günstiger Einstiegsserver, hat aber wie alle Tower Luft nach oben.
Dell PowerEdge M420
Von dem 2-Sockel-Blade Dell PowerEdge M420 lassen sich bis zu 32 platzsparend in einem 10-HE-Gehäuse unterbringen. Leistungsstark ist das System mit den Xeon-E5-Prozessoren und bis zu 192 GB DDR3-Speicher auch.
Fujitsu Primergy TX100 S3p
Der Primergy TX100 S3p bietet laut Fujitsu als Tower der Einstiegsklasse ein gutes Preis-Leistungs-Verhältnis sowie eine hohe Verfügbarkeit und Datensicherheit mit optionalem SATA RAID 5/6.
Fujitsu Primergy TX150 S8
Zuverlässige und erweiterbare Serverleistung für KMUs, Zweigstellen und Virtualisierung verspricht Fujitsu für den Primergy TX150 S8 mit Xeon-E5-Prozessoren und bis zu 96 GB RAM.
Fujitsu Primergy BX400 S1
Der Blade-Server Primergy BX400 S1, hier als Floorstand, nimmt bis zu acht Server-Blades mit leistungsstarken Xeon-Prozessoren der Serien 5500 und 5600 auf.
HP ProLiant ML110 G7
Der HP ProLiant ML100 G7 ist als günstiger und platzsparender Tower im Micro-ATX-Gewand schon zu Strassenpreisen von rund 300 Euro zu haben, unterstützt aber hot-pluggable Festplatten und eine optionale redundante Stromversorgung.
Acer AT110 F2
In der Konfiguration mit 1.000 GB Festplatte, 4 GB RAM, Xeon-E3-Prozessor und DVD-Brenner wird der Micro-ATX-Tower Acer AT110 F2 online für rund 650 Euro angeboten, es geht aber auch günstiger.
Acer AT310 F2
Der Acer AT310 F2 bietet proaktive Management-Tools, sechs PCI-Steckplätze und vier Hot-Swap-Einbauschächte für Festplatten bis zu einer Gesamtkapazität von 8 TB.
IBM System x3100 M4
Bei Amazon findet man das IBM System x3100 M4 schon für knapp 476 Euro, allerdings nur mit Core-i3-Prozessor, 2 GB RAM und 250 GB Festplatte. Unterstützt werden bis zu 32 GB DDR3-Speicher und 12 TB HDD.
IBM System x3250 M4
Das IBM System x3250 M4 ist gewissermaßen die 1U-Rack-Variante des x3100 M4, mit seinen zwei Schächten fasst es aber nur bis zu 6 TB Festplattenspeicher. Erweiterbar und flexibel konfigurierbar stehen mehrere Einsatzmöglichkeiten offen.
Oracle Database Appliance
Als vollintegriertes Datenbankkomplettsystem wird die Oracle Database Appliance auch als “Baby Exadata” bezeichnet. Die Hardware ist ein 4U-Rack-Mountable-Chassis mit zwei Linus-Serverknoten von Oracle. Für KMUs interessant ist das Pay-as-you-grow-Lizenzmodell.
Huawei Tecal RH2285
Huawei bringt den Tecal RH2285 V2 in Deutschland gerade erst auf den Markt. Preise stehen daher noch nicht fest. Mit der Erweiterbarkeit auf bis zu 384 GB RAM und 38 TB HDD dürfte das 2U-Rack allerdings in einer anderen Liga spielen als die meisten anderen der hier aufgeführten Geräte.