ÍNDICE
Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física
Auditoría de centros de procesamiento de datos. Parte 2: Seguridad lógica
Buenas,
¿Te han encargado una revisión de un data center y no sabes por dónde empezar? ¿Vas a contratar servicios de terceros en una operación de outsourcing y no terminas de fiarte? ¿Te has leído unos checklist de cloud computing y te saben a poco? Estás de suerte. Quizás lo que aquí te cuente te sirva de algo.
Aunque a definición adecuada quizás sea centro de procesamiento de datos (CPD), o por lo menos es la a mí me suena mejor, emplearemos indistintamente data center o centro de datos para referirnos a ese espacio singular donde se almacena una cantidad determinada de equipamiento informático y electrónico destinada a dar soporte a servicios de negocio determinados.
En estos data centers, indistintamente de que sean públicos, privados o mixtos, se dan una serie de condiciones tanto físicas como lógicas, así como procedimientales y técnicas, que definen la seguridad de dicha infraestructura. Auditarlos puede ser una tarea compleja, porque son instalaciones complejas, luego en este artículo no tiene mucho sentido ver todas y cada una de las distintas posibilidades y desarrollar un plan de auditoría para cada una de las facetas. Así que en vez de desarrollar punto a punto un programa de trabajo, lo que haré será detallar lo que suele hacerse mal en un centro de datos, de modo que estas pistas te sirvan de ayuda para poder orientar tu trabajo.
Hablaremos de las siguientes categorías: Seguridad física, seguridad lógica, gestión energética y problemas contractuales. En principio tengo previsto dedicar un artículo a seguridad física, otro a lógica y por último uno donde hablaré un poco de gestión energética y asuntos contractuales.
Seguridad física
Entran dentro de esta categoría todas las medidas para asegurar la integridad física de los equipos almacenados. Desde la verja exterior hasta los mecanismos de extinción de incendios. Como podéis imaginar, es un tema complejo dado que son muchos los factores que intervienen. Los CPD suelen, y digo suelen, tener buenas características de seguridad física, ya que si son suficientemente serios, se diseñan con la seguridad en mente. No obstante suele ser común encontrarse sorpresas en las siguientes áreas:
- Control de acceso. Especialmente en las zonas «cero», es decir, aquellos compartimentos del data center que albergan la infraestructura más valiosa. En una infraestructura de este tipo es deseable siempre tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso que genere los registros adecuados y los conserve convenientemente es motivo de incidencia. Se van implantando poco a poco sistemas biométricos y siguen siendo válidos los mecanismos de acceso con tarjetas inteligentes. No os cortéis a la hora de pedir logs de los sistemas de control, y no os extrañe que surjan problemas. Por increíble que parezca, este es un tema donde siempre aparecen incidencias.
- Pruebas de mecanismos de detección y alarma. Todos los responsables de seguridad física te enseñarán extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento. Pero no todos pueden enseñarte pruebas fehacientes de que estos sistemas están siendo probados regularmente y que funcionan como es debido. En muchos países, y por motivos de legislación, es obligatorio realizar pruebas periódicas de los sistemas, pero no asumáis que esto pasa en todos los sitios y que las pruebas son exhaustivas. Dedicad un poco de tiempo a esto
- Acceso de mercancías y personal de proveedores. No sería la primera vez que llegar a las zonas cero del CPD es imposible si se pretende la intrusión a través de las vías de acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos especiales para equipamiento y proveedores. Como comprenderéis, si te compras un z114 o un z196, no vas a meterlo por el torno de acceso de los empleados y a maniobrarlo por los pasillos. Para esto existen accesos especiales, generalmente un muelle de carga y descarga donde las mercancías son gestionadas. Recorred este acceso y miradlo con lupa, yo me he encontrado de todo aquí: desde fulanos con destornillador en mano caminando solos por la zona cero a puertas del muelle abiertas de par en par y con gente metiendo y sacando cajas, por citar algunos ejemplos.
- Ausencia de seguridad perimetral o seguridad perimetral insuficiente. Aunque suene a broma, es algo que puede suceder. No es la primera vez que un CPD tiene medidas internas de seguridad físicas excepcionales y que luego, al darse uno una vuelta por allí, descubre que todo está protegido por una verja que un niño de 7 años puede saltarse, o que hay una ventana abierta por la que entrar y quitarse de encima la mayoría de controles de acceso. Si has quedado a las 9 para auditar, procura estar allí a las 8 u 8.30 y date una vuelta por fuera. Las sorpresas están al acecho
- Gestión de energía y continuidad. Es un tema amplio de tratar, y en definitiva engloba todo lo que tiene que ver con el aprovisionamiento energético del CPD. Un CPD es un sitio donde se consume muchisima energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos. Por norma general el CPD suele tener dos o más acometidas de proveedores de energía eléctrica independientes, para no depender exclusivamente de un único proveedor, y es frecuente que internamente se hagan abastecimientos a zonas teniendo en cuenta si requieren máxima resiliencia eléctrica o no. Cuando todo va mal y se pierde completamente el fluido eléctrico, es normal contar con una batería de generadores diesel para garantizar el suministro en caso de contingencia eléctrica grave. Yo sugiero que os presenten pruebas fehacientes de que estos generadores se prueban periódicamente, y que no os tiemble el pulso pidiendo evidencias de carga en los depósitos de combustible. Un esquema unifilar que muestre la redundancia eléctrica suele ayudar igualmente. Como no vamos a andar apagando servidores para ver si aquello funciona, solicitad acceso a un rack con tomas independientes eléctricas y pedid una visita a la sala de cuadros eléctricos para determinar si eso verdaderamente opera con acometidas independientes o no.
- Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o destinados al uso de múltiples clientes. En estos casos es de esperar que cada cliente tenga su infraestructura en una jaula y que la cerradura esté, lógicamente, cerrada. Mal asunto si al visitar nuestra infraestructura fuera posible tirar de un cable de la competencia.
- El CPD jardín botánico. Dícese de aquel en el que el exterior, más que un data center, parece que es un vivero de plantas con vegetación tan espesa que allí podría esconderse un tigre de bengala alegremente. Uno no sabe si está en un centro de datos o en un parque zoológico. Cuidado con este detalle, que puede parecer nimio pero es fuente de problemas. Aparte del hecho de que la vegetación en el perímetro puede servir para que además del tigre se escondan los amigos de lo ajeno, el exceso de vegetación puede ser dañino para la infraestructura, no sólo los cimientos y cerramientos, sino para las conducciones eléctricas, de agua, etc. Adicionalmente, denota falta de cuidado y probablemente es una pista que deba hacer sospechar que allí se están ahorrando costes de una manera equivocada.
- El data center IKEA / el cuartillo de los de informática. Este es el caso que nos encontramos cuando visitamos un centro que sobre el papel debería ser eso, un CPD, pero que en realidad no es otra cosa que un aparador Sjövik de la conocida firma sueca con servidores apilados y cables, o en el mejor de los casos, una pequeña sala al fondo del pasillo, que en vez de tener infraestructura de CPD es en realidad el cuarto de los del departamento de informática, y donde guardan todos sus preciados tesoros, esos que son tan necesarios y útiles en el día a día, como monitores de CRT, equipos 386, impresoras matriciales, cartuchos llenos de polvo, discos duros metidos en cajas de zapatos y ese largo etcétera típicamente asociable a los tipos del área de informática con síndrome de diógenes.
- El data center «Feria de Torremolinos». Es el nombre que le doy al típico CPD en el cual el orden del cableado recuerda más al de una atracción de feria cuando la ves por detrás que a una sala de cómputo. Cables por todos sitios, racks interconectados por el techo con catenarias, puertas de rack aciertas o que directamente, no existen, armarios que con las pisadas se balancean, cableado sin código alguno de colores, servidores alojados en los racks sin ningún tipo de orden y etiqueado … la lista se puede hacer muy larga. Un CPD tiene que ser un sitio con orden, limpieza y donde de un plumazo se puedan localizar máquinas por grupos o servicios sin tener que hacer una investigación previa.
- El data center tropical. Aquel en el que nada más entrar se siente el calor del trópico. Sólo falta que te pongan un daikiri con una sombrilla de papel y que te dejen tender la toalla. En un data center suele hacer frío, porque hay que refrigerarlo y mantener una condición óptima de temperatura. Que al entrar sintamos calor, o que al pasear notemos que la temperatura no es constante es indicar de problemas en la refrigeración. Esto es una incidencia severa, ya que los efectos de la temperatura son manifiestos: menores rendimientos, mayores costes de operación y máquinas cuyo ciclo de vida se ve acortado innecesariamente.
- El CPD «Cueva de Nerja», o aquel en el que para acceder al suelo técnico o a los falsos techos se requiere un máster en espeleología. Tanto suelos como techos deben ser fácilmente accesibles. Yo suelo pedir que levanten el suelo y no tengo reparos en colarme allí para ver qué se cuece en el suelo. Es un indicador perfecto de mantenimiento y para ver con tus propios ojos la infraestrcutrura de seguridad, como los detectores de inundación. Es un sitio donde no es conveniente encontrarse migajas de pan, un papel albal arrugado y una lata de cocacola dejadas atrás por algún técnico de mantenimiento que no tenía mejor sitio donde desayunar. No te olvides la linterna en casa.
- El CPD «Thyssen-Bornemisza» o aquel donde los clientes se pasean alegremente como si eso fuera un museo, cámara de vídeo y/o fotos en mano y con un responsable de CPD que no tiene reparos en hacer un tour guiado explicando a los clientes potenciales lo que allí hay guardado. No hay necesidad de que nadie filme ni fotografíe tu infraestructura, que además de revelar datos técnicos, frecuentemente tiene etiquetadas direcciones IP, descripciones de servicios y nombres de máquinas, y que por desgracia, puede eventualmente contener contraseñas de emergencia pegadas a las consolas de los racks. Hay que ser muy estricto con estos controles y con su verificación.
- El CPD «Biblioteca de Turín». Es aquel que además de CPD, es lugar de archivo de toneladas y toneladas de papel. Es típico en pequeños edificios donde la infraesructura de CPD es una sala más, y donde por motivos de espacio se suele compartir la sala para archivar documentación. Yo no he venido aquí a pedir prestado el Código Da Vinci, de modo que este tipo de situaciones es fuente de incidencia. El riesgo eléctrico y el papel no son buenos compañeros por lo general.
Otros problemas: Algunos modelos de CPD que puedes encontrarte
Dónde encontrar información exhaustiva sobre seguridad física
Existen numerosas fuentes aunque yo tampoco conozco ninguna que aglutine en un único documento todo lo que puede y debe ser auditado, en términos de seguridad física. Quien quiera documentarse en profundidad o realizar su propio programa de trabajo puede recurrir a NIST, que tiene mucha información al respecto, y podéis encontrar referencias a mejores prácticas de seguridad en al menos los siguientes documentos
NIST FIPS 200 Security Controls for Federal Information Systems
NIST SP 800-100 Information Security Handbook for Managers
NIST SP 800-96 PIV Card / Reader Interoperability Guidelines
NIST SP 800-92 Guide to Computer Security Log Management
NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
NIST SP 800-78 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
NIST SP 800-76 Biometric Data Specification for Personal Identity Verification
NIST SP 800-73 Rev 1 Integrated Circuit Card for Personal Identification Verification
NIST SP 800-66 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule
NIST SP 800-58 Security Considerations for Voice Over IP Systems
NIST SP 800-24 PBX Vulnerability Analysis: Finding Holes in Your PBX Before Someone Else Does
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook
En la próxima entrega veremos los problemas usuales en la seguridad lógica, tanto de la propia operación del centro como de los servicios allí alojados.
Un saludo,
Algo no puede estar bien dentro de mi cuando, al leer un artículo de auditoría de CPDs, acabo llorando de la risa (El CPD Cueva de Nerja me ha llegado dentro :-)).
Buen srtículo y Feliz Navidad :-))
Muy interesante el artículo, Sergio, pero no veo muy claro el punto de «Ausencia de compartimentación». Si tienes los sistemas virtualizados sobre un cluster donde las máquinas ocupan múltiples racks, ¿es realmente un punto flojo la ausencia de compartimentación? ¿Un cliente se atrevería a tirar de algún cable en estas circunstancias?
Saludos
Qué bueno Sergio ;D Me lo guardo por aquí a buen recaudo, además, me has sacado una sonrisa -;)
Una prueba que siempre acostumbro a hacer es pedir que el Director General de la compañia me acompañe de forma improvisada y sin previo aviso para efectuar una visita el CPD….. sólo me he encontrado un único CPD en el que nos prohibieron la entrada (por muy director general que esté en la puerta) por no estar preavisados… al resto siempre he accedido sin problemas…….
Muy interesante Sergio.. y como dice @daboblog muy buena la clasificación de algunos modelos de CPD… imposible aguntar la sonrisa ;-)).
¿TIA 942?
http://www.ventasdeseguridad.com/2007080347/articulos/analisis-tecnologico/el-estandar-tia-942.html
En línea con el comentario de nleb sobre «ANSI-TIA 942-2010 Telecommunications. Infrastructure Standard for Data Centers» pero de un modo más completo (TIA se centra fundamentalmente en la estructura y arquitectura de las salas) en relación a prácticamente todos los aspectos de Data Center existe la publicación «ANSI-BICSI 002-2011 Data Center Design and Implementation Best Practices».
«ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security management» puede aportar buenas prácticas de referencia (controles del 9 fundamentalmente).
ASIS dispone de información útil (p.ej. ASIS GDL FPSM-2009 Facilities Physical Security Measures)
«SANDIA LABORATORIES Barrier Technology Handbook» es otro documento interesante para comprobar la fortaleza en base a test de laboratorio de algunas medidas físicas.
En cualquier caso, esta documentación sirve de apoyo pero luego hay que añadir una última tuerca y estudiar documentación concreta en función de las diversas soluciones implantadas para cada una de las capas perimetrales establecidas.
Me quedo con la clasificación de DC indicada por Sergio en el post para sacar algunas sonrisas entre los asistentes a mis próximos cursos sobre DC
Hola Sergio,
Como siempre…gran entrada!! :-) Me ha gustado especialmente la catalogación de los tipos de Data Center…jajaja
En relación a este tema, me gustaría resaltar otra visión, que es la de la Administración Pública.
Muchos de los aspectos que indicas son específicamente tratados en el Real Decreto 3/2010 por el que se aprueba el Esquema Nacional de Seguridad (ENS)…que tanta, tantísima importancia y necesidad hacía en nuestro ordenamiento jurídico, para lograr trasladar tantos procesos y medidas de control y protección que durante tantos años llevamos aplicando el sector privado (y en el público, por no tener otra normativa que aplicar)
Algún día tienes que publicar tú visión respecto al ENS…será una gozada poder leerte
Un abrazo Sergio.
Agustín,
Gracias por la aportación. Revisaré tanto ASIS como el documento de Sandia Labs. Y me alegro que te guste la clasificación expuesta :)
Un abrazo,