Com’è noto, la continuità operativa e la sicurezza dei Data Center e ciò che permette a molte aziende di portare avanti il proprio business. Il Data Center deve essere infatti in grado di assicurare il massimo livello di uptime a prescindere dalle circostanze esterne che provano a comprometterne la stabilità e l’operatività: un’interruzione della fornitura energetica, un cyber attacco, addirittura un terremoto non devono avere effetti sulla continuità operativa, o quanto meno devono essere più trasparenti possibili. Non dimentichiamo, infatti, che i Data Center ospitano e sono responsabili dell’esecuzione dei processi mission-critical per l’attività di aziende ed enti: l’ipotesi che un circuito di pagamenti, una compagnia aerea o il sistema sanitario resti offline anche solo per una manciata di secondi non è accettabile.
Per questo motivo, le aziende e i provider di servizi IT che dispongono di Data Center di proprietà intraprendono programmi di certificazione delle proprie strutture. Lo fanno per essere più competitivi sul mercato, per soddisfare le policy e la normativa in essere, ma soprattutto per evitare di incorrere in downtime che si traducono in danni per l’azienda cliente e anche, di riflesso, per il titolare del Data Center, a seconda delle condizioni contrattuali fissate dalle parti.
La Data Center security è ciò a cui dovrebbero ambire tutte le aziende e, a maggior ragione, gli outsourcer. Ma che cosa significa?
La sicurezza del data center è essenziale per proteggere i dati sensibili e critici di un’organizzazione. Come si vedrà più in dettaglio successivamente, essa ha due declinazioni:
Investire in entrambe le dimensioni della sicurezza del data center è essenziale per garantire la continuità del business, l’integrità e la riservatezza delle informazioni.
Spesso, più che di Data Center security si parla di resilienza, ovvero la capacità del data center di garantire prestazioni costanti a prescindere da un’infinità di fattori – interni ed esterni – in grado di condizionarne l’operatività. La resilienza è la massima espressione di una corretta gestione del rischio.
Data Center security e resilienza sono però due concetti diversi:
Business resilience, così proteggi asset, capitali intellettuali - ↓ Scaricare la guida ↓
Quando le aziende adottano una strategia di outsourcing del proprio ecosistema IT, devono assicurarsi che i provider siano in grado di garantire livelli di uptime molto elevati, che dipendono in buona parte – ma non esclusivamente – proprio dalla resilienza dei propri asset e dalla strategia di Data Center security in essere. L’approccio corretto è olistico: data center resilienti, competenze specialistiche (di cui il mercato è avaro), processi e certificazioni viaggiano parallelamente fornendo alle imprese tutte le certezze di cui hanno bisogno.
Come già accennato, la sicurezza del Data Center ha due anime, fisica e virtuale. Approfondiamo entrambi gli aspetti.
La sicurezza fisica di un Data Center è fondamentale per proteggere l’accesso non autorizzato alle infrastrutture e ai dati sensibili. Per garantire un livello adeguato di protezione, vengono adottati diversi strumenti e misure di sicurezza: il Data Center può essere presidiato 24/7 da guardie addette alla sicurezza, il perimetro sorvegliato da telecamere e l’accesso costantemente controllato e impedito attraverso il rafforzamento di sbarramenti (recinzioni, serrature, check point di autenticazione, scanner biometrici etc.). Questi diversi livelli di protezione fisica contribuiscono a creare una barriera robusta per il data center.
Il monitoraggio del traffico di rete è fondamentale per rilevare e prevenire potenziali intrusioni. A tal fine, vengono utilizzati sistemi avanzati come i Security Information and Event Management (SIEM), che consentono di raccogliere e analizzare i dati provenienti da diverse fonti per individuare comportamenti anomali o attività sospette. Firewall e sistemi di rilevamento delle intrusioni vengono implementati per filtrare e monitorare il traffico di rete in tempo reale.
Un buon Data Center deve adottare una serie di misure di protezione per garantire la sicurezza dei dati sensibili e critici. Di seguito, alcuni elementi chiave che un data center ben progettato dovrebbe considerare:
L’installazione di sensori di movimento, sensori di apertura porte e finestre e sistemi di rilevamento di fumo e gas può aiutare a individuare tempestivamente eventuali intrusioni o situazioni di emergenza.
Il Data Center dovrebbe essere costruito utilizzando materiali ignifughi per prevenire il propagarsi di incendi. Pareti, pavimenti e soffitti resistenti al fuoco possono fornire una barriera protettiva in caso di emergenza.
L’installazione di telecamere di sicurezza, strategicamente posizionate, consente di monitorare costantemente le aree sensibili del Data Center, dai corridoi ai singoli rack.
Il Data Center dovrebbe essere suddiviso in spazi compartimentati per limitare la diffusione di eventuali danni o intrusioni. Questo permette di isolare e contenere eventuali problemi.
Sono una forma avanzata di controllo degli accessi fisici che utilizzano caratteristiche uniche del corpo umano per verificare l’identità di una persona. Esempi tipici sono i lettori di impronte digitali e il riconoscimento facciale.
I Data Center generano una grande quantità di calore a causa dell’elaborazione dei server. È fondamentale implementare sistemi di raffreddamento efficienti, come l’uso di condizionatori d’aria ad alta capacità, sistemi di raffreddamento ad acqua o soluzioni di raffreddamento adiabatico, per mantenere una temperatura ottimale e prevenire il surriscaldamento dei dispositivi.
Oltre ai tool per la Data Center security, è fondamentale l’approccio. Limitando il discorso alla protezione fisica, questo non può che essere multi-layer, ovvero basato su livelli progressivi, che dall’area circostante il Data Center arrivano fino alla protezione del singolo rack.
Questi strati combinati creano una difesa solida contro le minacce esterne e interne, e sono:
Due nomi ricorrono con una certa costanza quando si parla di resilienza e sicurezza dei Data Center: Uptime Institute e TIA-942 (Telecommunications Industry Association). Senza entrare nel dettaglio delle singole certifiche, entrambi gli enti propongono un articolato processo di certificazione su quattro livelli (che per Uptime sono Tier mentre per TIA-942 sono Rated), di modo tale che le aziende possano predisporre la propria struttura per l’ottenimento di una certifica allineata con le esigenze del proprio business.
Inoltre, entrambi gli enti offrono certifiche diverse e progressive: per esempio, Uptime propone di partire con Design Documents, che valuta la rispondenza del progetto (quindi, prima della costruzione del DC) alle norme del Tier di riferimento, per poi passare a Constructed Facility, che valuta invece la struttura una volta ultimata, e a Operational Sustainability, che certifica l’operatività del Data Center e la rispondenza delle pratiche di gestione alle best practice esistenti.
Quali sono dunque, le differenze tra i due? Principalmente il metodo di controllo/audit e la procedura di certifica. Il concetto di base è che Uptime e TIA approcciano la sicurezza del Data Center maniera differente.
Uptime associa i propri Tier a un certo risultato operativo e un’architettura con cui ottenerlo, ma è del tutto neutrale sia nei confronti della tecnologia che dei vendor, ovvero dei prodotti usati in concreto per realizzare il DC. Da questo punto di vista, Uptime è estremamente chiara quando afferma che ogni design che soddisfi i requisiti di continuità, ridondanza e fault tolerance è accettabile e può essere valutato ai fini del rilascio di una certifica.
Uptime esegue essa stessa, tramite i suoi ingegneri, il processo di audit, la cui procedura però non è pubblica e, chiaramente, si basa sul tipo e il livello di certifica cui il Data Center ambisce.
Il grosso vantaggio di affidarsi a un Data Center certificato Uptime è l’approccio integrato in ambito di certifica: l’azienda fissa gli obiettivi, l’architettura del Data Center e li associa a un Tier, dopo di che segue anch’essa il processo di certifica che, nel caso di Constructed Facility e Operational Sustainability non si limita a una valutazione delle specifiche (la classica checklist), ma valuta proprio il comportamento del Data Center in condizioni reali.
Il mondo di TIA-942 è piuttosto lontano da quello di Uptime. TIA-942 è l’associazione, accreditata ANSI, che si occupa di definire gli standard all’interno del mondo ICT. La revisione più recente, TIA-942-B è un documento estremamente dettagliato che non si limita a identificare i tipi di certifica e i relativi livelli (sempre quattro, ma Rating anziché Tier), ma entra molto nello specifico dell’implementazione. Il ruolo di TIA-942, però, non va oltre a questo: l’associazione non certifica direttamente i Data Center, né le aziende che si possono fare carico di gestire gli audit e l’emissione dei certificati. Per questo motivo, la verifica della conformità dei Data Center è affidata ai Conformity Assessment Body (CAB), riconosciuti da TIA attraverso un programma ad hoc. Da agosto 2019, infatti, TIA ha dato il via a un programma ufficiale di auditing e certificazione sulla base dello standard TIA-942. Pur continuando a non rilasciare certifiche in forma diretta né a occuparsi del controllo di conformità, TIA-942 ha posto in essere un percorso di accreditamento per organismi di certificazione ufficiali (CABs), assicurandone così la competenza e l’assoluta imparzialità.
Vuoi visitare il nostro Data Center TIER IV di Milano? → Richiedi ora il tuo tour virtuale ←