• Author / Uploaded
• christianr19773177

Citation preview

Cómo monitorear las amenazas físicas en un centro de datos. Resumen ejecutivo Las metodologías tradicionales para el monitoreo del entorno del centro de datos y a no son suficientes. Dado que las tecnologías como los servidores Blade aumentan las demandas de enfriamiento y que las reglamentaciones como la ley Sarbanes-Oxl ey elevan los requisitos para seguridad de datos, el entorno físico del centro de datos debe ser controlado más cuidadosamente. Aunque existen protocolos que se comprenden con claridad para el monitoreo de dispositivos físicos co mo sistemas UPS, unidades de aire acondicionado para salas de cómputos y siste mas de apagado de incendios, existe un tipo de puntos de monitoreo di stribuidos que suele pasarse por alto. Este informe describe este tipo de amenazas, sugiere enfoques para la implementación de dispositivos de monitore o y brinda mejores prácticas para aprovechar la información reunida a fin de disminu ir el tiempo de inactividad.

Introducción Las técnicas más comunes que se utilizan hoy en día para monitorear el entorno de un c entro de datos datan de los días de las computadoras centralizadas, e incluyen práct icas como caminar por la habitación con termómetros y confiar en que el personal del área de informática "sienta" cómo está el ambiente en la habitación. Pero a medida que lo s centros de datos evolucionan, y el procesamiento distribuido y las tecnologías p ara servidores elevan la demanda de energía y enfriamiento, se debe analizar el en torno más cuidadosamente. El aumento en la densidad de potencia y las variaciones dinámicas de potencia son los dos aspectos principales que provocan cambios en la metodología de monitoreo d e los entornos informáticos. Los servidores Blade han aumentado enormemente las densidades de potencia y han camb iado en forma drástica las dinámicas de potencia y enfriamiento de los entornos. Las tecnologías de administración de energía exigen a los servidores y equipos de comunicación la capacidad de variar el consum o de energía (y en consecuencia la disipación de calor) en función de la carga computa cional. Este tema se trata en profundidad en el Informe Interno Nº 43 de APC: "Var iaciones dinámicas de potencia en centros de datos y salas de gestión de redes". Aunque es común que se implementen funciones de monitoreo y alerta sofisticadas en equipos físicos como sistemas UPS, unidades de aire acondicionado en las salas de cómputos (CRAC) y sistemas de apagado de incendios, otros aspectos del entorno físi co suelen pasarse por alto. El monitoreo de los equipos no es suficiente: el ent orno debe considerarse de manera holística y controlarse en forma proactiva para d etectar amenazas e intrusiones. Entre estas amenazas se incluyen las temperatura s elevadas de entrada de los servidores, las pérdidas de agua y el acceso de perso nas no autorizadas al centro de datos o acciones inadecuadas del personal del ce ntro de datos. Las instalaciones de redes remotas, como las sucursales, las salas de datos y lo s puntos de venta locales aumentan aún más la necesidad de monitoreo automatizado, d ado que resulta poco práctica y poco confiable la presencia física de personas para controlar aspectos como la temperatura o la humedad. Con la introducción de puesto s remotos de red sin supervisión, los administradores de sistemas deben contar con sistemas confiables para saber qué sucede.

Con las tecnologías de hoy, los sistemas de monitoreo se pueden configurar hasta e l más mínimo detalle para cumplir con las necesidades ambientales y de seguridad par ticulares del centro de datos; cada rack se puede considerar un pequeño "centro de datos" con sus propios requisitos, y con una estrategia de monitoreo que puede incluir diversos puntos de recopilación de datos. Este informe analiza las amenazas físicas que pueden mitigarse utilizando estrateg ias de monitoreo distribuido, y ofrece pautas y mejores prácticas para la implemen tación de sensores en el centro de datos. El informe también trata el uso de las herramientas de diseño de centros de datos para simplificar el proceso de especificación y diseño de estos sistemas de monitoreo dis tribuido. ¿Qué son las amenazas físicas distribuidas? Este informe analiza un subgrupo de amenazas, las amenazas físicas distribuidas, q ue son de particular interés porque se requiere de un diseño deliberado y experto pa ra defenderse de ellas. Describiremos brevemente el rango de amenazas a un centr o de datos como ayuda para identificar este subgrupo. Las amenazas a los centros de datos pueden dividirse en dos grandes categorías, se gún si pertenecen al campo del software informático y las redes (amenazas digitales) o al campo de la infraestructura física de soporte del centro de datos (amenazas físicas). Amenazas digitales Entre las amenazas digitales se encuentran los hackers, los virus, los cuellos d e botella en las redes y otros ataques accidentales o maliciosos a la seguridad o el flujo de datos. Las amenazas digitales son muy conocidas en la industria y en la prensa, y la mayoría de los centros de datos tienen sistemas sólidos y con man tenimiento constante, como firewalls y antivirus, para combatirlas. El Informe I nterno N° 101 de APC Principios fundamentales de la seguridad de las redes explica l as formas de protección básicas contra las amenazas digitales. Este informe no trata sobre las amenazas digitales. Amenazas físicas Entre las amenazas físicas a los equipos informáticos se encuentran los problemas de alimentación y enfriamiento, los errores humanos o actividades maliciosas, los in cendios, las pérdidas y la calidad del aire. Algunas de estas amenazas, incluyendo aquellas relacionadas con la alimentación y algunas relacionadas con el enfriamie nto y los incendios, se monitorean regularmente por medio de capacidades integra das en los dispositivos de alimentación, enfriamiento y extinción de incendios. Por ejemplo, los sistemas UPS monitorean la calidad de la energía, la carga y la integ ridad de las baterías; las unidades PDU monitorean las cargas de los circuitos; las unidades de enfriamiento monitorean las temperaturas de entra da y salida y el estado de los filtros; los sistemas de extinción de incendios (lo s que exigen los códigos de edificación) monitorean la presencia de humo o exceso de calor. Por lo general, este tipo de monitoreo sigue protocolos que se comprende n bien, automatizados por medio de sistemas de software que recolectan, registra n, interpretan y muestran la información. Las amenazas que se monitorean de esta m anera, por medio de funciones preestructuradas incluidas en los equipos, no requ

ieren un conocimiento o planificación especial por parte de los usuarios para una administración efectiva, siempre y cuando los sistemas de monitoreo e interpretación estén bien estructurados. Estas amenazas físicas monitoreadas en forma automática son una parte clave de los sistemas de administración integral, pero en este informe no se tratará este tema. Sin embargo, para cierta clase de amenazas físicas en el centro de datos y hablamos de amenazas graves , el usuario no cuenta con soluciones de monitoreo prediseñadas e integradas. Por ejemplo, los bajos niveles

de humedad son una amenaza que puede encontrarse en cualquier sector del centro de datos, de modo que la cantidad y la ubicación de los sensores de humedad es un punto clave a tener en cuenta a la hora de controlar dicha amenaza. Este tipo de amenazas pueden estar distribuidas en cualquier sector del centro de datos, en distintas ubicaciones según la disposición de la sala y la ubicación de los equipos. L as amenazas físicas distribuidas que se explican en este informe se dividen en est as categorías generales: Amenazas a los equipos informáticos relacionadas con la calidad del aire (temperat ura, humedad) Filtraciones de líquidos Presencia de personas o actividades inusuales Amenazas al personal relacionadas con la calidad del aire (sustancias extrañas sus pendidas en el aire) Humo e incendios provocados por los peligros del centro de datos Ubicación de los sensores Se pueden utilizar diversos tipos de sensores para proporcionar advertencias ant icipadas que indiquen problemas causados por las amenazas detalladas anteriormen te. Aunque la cantidad y el tipo específicos de los sensores pueden variar de acue rdo con el presupuesto, el riesgo de amenazas y el costo comercial de la vulnera bilidad, existe un grupo mínimo y esencial de sensores que es razonable para la ma yoría de los centros de datos. Recolección de datos de los sensores Una vez que se eligieron y colocaron los sensores, el paso siguiente es la recol ección y el análisis de los datos que éstos reciben. En vez de enviar todos los datos de los sensores directamente a un punto central de recolección, por lo general es mejor tener puntos de recolección distribuidos por todo el centro de datos, con fu nciones de alertas y notificaciones en cada uno de ellos. Esto no sólo elimina el riesgo del punto único de falla que se produce al utilizar un punto recolector único y central, sino que ofrece soporte al monitoreo en puntos de uso de salas de servidores remotas y salas de telecomunicaciones. Por lo general, los sensores independientes no se conectan en forma individual a la red IP. En cambio, los dispositivos recolectores interpretan los datos de lo s sensores y envían alertas al sistema central y/o directamente a la lista de noti ficaciones (ver la próxima sección). Esta arquitectura de monitoreo distribuido redu ce drásticamente el número de terminales de red requeridas y alivia la carga financi era y administrativa general del sistema. Por lo general, los dispositivos recol ectores se asignan a áreas físicas dentro del centro de datos y reciben datos de los sensores de un área limitada para reducir la complejidad del cableado de los sens

ores. Acción

inteligente

Los sensores proporcionan datos en bruto, pero también es importante interpretar e stos datos para emitir alertas y notificaciones y realizar correcciones. A medid a que las estrategias de monitoreo se vuelven más sofisticadas y los sensores prol iferan por el centro de datos bien monitoreado, es crucial que se realice un Es esencial poder filtrar, correlacionar y evaluar los datos para determinar el mejor plan de acción cuando ocurren hechos fuera de los límites. Una acción efectiva s ignifica alertar a las personas correctas, por medio del método correcto, con la i nformación correcta. La acción se realiza de uno de estos tres modos: Con alertas sobre las condiciones fuera de los límites que podrían representar una a menaza para determinados dispositivos o racks o para el centro de datos en su to talidad. Con acciones automáticas basadas en alertas y umbrales especificados. Con análisis e informes que faciliten mejoras, optimizaciones y mediciones de fall as y errores.

Alertas Se deben tener en cuenta tres parámetros para establecer alertas: los umbrales de alarma (en qué valor o valores se deben activar las alarmas), los métodos de alerta (cómo se debe enviar la alerta y a quién) y el escalamiento (¿ciertos tipos de alarmas requieren un nivel de escalamiento diferente para resolver el problema?). Umbrales de alarma: Para cada sensor, se deben determinar condiciones de funcion amiento aceptables y se deben configurar umbrales para generar alarmas cuando la s mediciones excedan esas condiciones operativas. En condiciones ideales, el sis tema de monitoreo debería ser lo suficientemente flexible para configurar múltiples umbrales por sensor para alertar en los niveles de información, de advertencia, de alarma y de falla. Además de los umbrales de un solo valor, deben existir condici ones de activación como los valores mayores que el umbral durante un tiempo especi ficado, la tasa de aumento y la tasa de disminución. En el caso de la temperatura, la alerta sobre el rango de cambio indica más rápidamente la existencia de fallas q ue una imagen del valor de temperatura. Los umbrales deben establecerse cuidadosamente para garantizar una utilidad óptima . Pueden existir distintos umbrales que generen alertas diferentes según la graved ad del incidente. Por ejemplo, un incidente del umbral de humedad puede generar un correo electrónico al administrador de sistemas, mientras que un sensor de humo puede generar una llamada automática al departamento de bomberos. Del mismo modo, distintos niveles de umbrales garantizan diferentes vías de escalamiento. Por eje mplo, el acceso no autorizado a un rack puede escalarse al administrador de sist emas mientras que un caso de ingreso por la fuerza puede escalarse al director d el área de informática. Los umbrales deben configurarse globalmente a valores predeterminados y luego aj ustarse en forma individual según las especificaciones de los equipos informáticos y la ubicación de montaje de los sensores con respecto a la ubicación de los equipos

(por ejemplo, un sensor ubicado cerca del suministro de energía de un servidor deb ería brindar una alerta a un valor mayor que un sensor ubicado cerca de una entrad a de aire de un servidor). Métodos de alerta: la información de alerta puede enviarse de varias maneras distint as, como correo electrónico, mensajes de texto, SNMP traps y mensajes a servidores HTTP. Es importante que los sistemas de alertas sean flexibles y personalizable s para que la cantidad correcta de información se envíe con éxito al destinatario dese ado. Las notificaciones de alerta deben incluir información como el nombre de sens or definido por el usuario, la ubicación del sensor y la fecha y hora de la alarma . Escalamiento de alertas: algunas alarmas pueden requerir atención inmediata. Un si stema de monitoreo inteligente debe ser capaz de escalar alarmas específicas a niv eles superiores de autoridad si el problema no se resuelve dentro del período de t iempo especificado. El escalamiento de alertas ayuda a garantizar que los proble mas se traten a tiempo, antes de que pequeños incidentes deriven en problemas mayo res. A continuación brindamos ejemplos de alertas de mayor y menor utilidad: El sensor de temperatura número 48 superó el umbral: no es muy útil, ya que no indica dónde está ubicado el sensor número 48. El servidor web X corre el riesgo de sobrecalentarse: esta información es más útil ya que se ha identificado el servidor específico. Se ha activado el sensor de una puerta: no es muy útil ya que no se identifica la puerta específica. Se abrió la puerta X en el sector Y, y se ha tomado una fotografía de la persona que la abrió: esta información es muy útil ya que se identifica la puerta y su ubicación y se incluye una fotografía del incidente. Cómo actuar en respuesta a los datos La recolección de los datos de los sensores es sólo el primer paso y si el administr ador del centro de datos sólo se basa en una respuesta manual, no se aprovechará tod o el potencial de esos datos. Existen sistemas disponibles que actúan en forma aut omática en función de alertas y umbrales especificados por el usuario. Para poder im plementar este tipo de automatización "inteligente", se deben evaluar los siguient es puntos: Acciones de alerta: en función del nivel de gravedad de una alerta, ¿qué acciones auto máticas deben llevarse a cabo? Estas acciones automáticas pueden ser notificaciones al personal o acciones correctivas como la activación de puntos de contacto seco p ara activar o desactivar dispositivos como ventiladores o bombas. Visibilidad continua en tiempo real de los datos del sensor: La capacidad de ver mediciones individuales instantáneas de los sensores es un requisito básico. Sin em bargo, la capacidad de ver tendencias de los sensores individuales en tiempo rea l brinda un panorama mucho más claro de la situación. La interpretación de estas tende

ncias permite que los administradores detecten problemas más generales y establezc an correlaciones entre los datos de sensores múltiples. Los sistemas de alerta deben brindar más información que sólo notificaciones básicas sob re transposición de umbrales. Por ejemplo, algunos sistemas de monitoreo permiten a los administradores agregar datos adicionales a las alertas. Estos datos adici onales pueden ser capturas de video, grabaciones de audio, gráficos y mapas. Un si stema de alerta variado de este tipo permite a los administradores tomar decisio nes más informadas gracias a los datos contextuales que se incluyen en la alerta. En algunos casos, se necesita depurar la información para obtener los datos que so n útiles. Por ejemplo, en un centro de datos de tráfico elevado, sería una molestia re cibir una alerta cada vez que se detecta movimiento en el centro de datos. Pueden darse casos en los que cierta información se bloquea o "enmascara" por cues tiones de seguridad. Por ejemplo, un video que incluye una toma de un teclado po dría bloquear a los individuos que ingresan contraseñas. A continuación damos algunos ejemplos de acciones e interpretaciones

inteligentes :

Si se sobrepasa un umbral de temperatura, se activa automáticamente un ventilador o una unidad CRAC. Brindar acceso remoto a racks específicos por medio de cerrojos electrónicos en las puertas según el rostro de la persona que aparece en el monitoreo por video en tie mpo real. Cuando se detecta agua en un centro de datos remoto, se enciende automáticamente u na bomba colectora. Cuando se detecta movimiento en el centro de datos después del horario normal de o peración, automáticamente se capturan imágenes de video y se alerta a los guardias de seguridad. Cuando se detecta la rotura de un vidrio luego del horario normal de operación, se notifica a los guardias de seguridad y se activa una alarma sonora. Cuando un interruptor de puerta indica que la puerta de un rack está abierta desde hace más de 30 minutos (lo que indica que la puerta no se cerró adecuadamente), se envía una ala rma al administrador para que controle la puerta. Análisis e informes Los sistemas de monitoreo inteligente deben incluir no solo un informe de las te ndencias de los datos de los sensores a corto plazo, sino también datos históricos a largo plazo. Los mejores sistemas de monitoreo deben tener acceso a las medicio nes de los sensores de semanas, meses o incluso años anteriores y brindar la posib ilidad de generar gráficos e informes de estos datos. Los gráficos deben poder prese ntar múltiples tipos de sensores en un mismo informe para su comparación y análisis. L os informes deben poder brindar mediciones de sensor bajas, altas y promedio en el período seleccionado para distintos grupos de sensores.

La información histórica a largo plazo de los sensores puede utilizarse de diversas formas; por ejemplo, para ilustrar que el centro de datos tiene su capacidad com pleta no a causa del espacio físico, sino debido a un enfriamiento inadecuado. Est a información puede utilizarse para extrapolar tendencias futuras a medida que se agregan equipos al centro de datos, y puede ayudar a predecir el momento en el q ue el centro de datos completará su capacidad. El análisis de tendencias a largo pla zo puede utilizarse a nivel del rack para comparar cómo los equipos de diferentes fabricantes en racks diferentes producen más calor o funcionan a menor temperatura , lo que podría influenciar las compras futuras. Las mediciones de los sensores que capta el sistema de monitoreo deben poder exp ortarse a formatos estándar de la industria, lo que posibilita que los datos se ut ilicen en programas de análisis y generación de informes, ya sean estandarizados o a pedido.

Método de diseño Aunque la especificación y el diseño de un sistema de monitoreo de amenazas pueden p arecer tareas complejas, el proceso puede automatizarse con herramientas para di seño de centros de datos como el InfraStruXure Designer de APC. Las herramientas d e diseño como esta permiten que el usuario ingrese una lista sencilla de preferenc ias, y pueden ubicar automáticamente la cantidad adecuada de sensores y dispositiv os recolectores. Proveen, además, un informe resumido con la lista de componentes e instrucciones de instalación para los sensores recomendados. Estas herramientas para el diseño de centros de datos utilizan algoritmos y reglas establecidas basad as en las mejores prácticas y estándares de la industria para recomendar configuraci ones específicas en función de la densidad, la disposición en planta de la sala, las p olíticas de acceso a la sala, y los requisitos de monitoreo específicos del usuario. Por ejemplo, las siguientes preferencias específicas del usuario pueden influencia r el diseño del sistema de monitoreo de amenazas, en función del nivel de acceso y t ráfico del centro de datos: Tráfico o acceso alto: Si muchas personas acceden al centro de datos, cada una con diferentes aplicaciones y funciones en el centro de datos, la herramienta de di seño sugerirá interruptores en cada rack para permitir el acceso sólo a las personas q ue necesiten acceso a los respectivos racks. Tráfico o acceso bajo: Si solo un grupo reducido y selecto de personas acceden al centro de datos, y cada una es responsable de todas las funciones de los centros de datos, la herramienta de diseño no sugerirá interruptores de rack para controlar el acceso a cada rack; en cambio, un interruptor en la puerta de la sala será suf iciente para limitar el acceso a la sala de otras personas. Conclusión Protegerse contra las amenazas físicas distribuidas es crucial para una estrategia de seguridad integral. Aunque la ubicación y la metodología de los equipos de detec ción exigen realizar evaluaciones, tomar decisiones y ocuparse del diseño, existen m ejores prácticas y herramientas de diseño disponibles para brindar asistencia para u na implementación de sensores efectiva. Además de verificar que la cantidad, la ubicación y el tipo de sensores sean correct os, también se debe contar con sistemas de software para administrar los datos rec olectados y brindar registros, análisis de tendencias, notificaciones de alertas i

nteligentes y acciones correctivas automatizadas siempre que sea posible. Comprender las técnicas para monitorear las amenazas físicas distribuidas permite al administrador de sistemas suplir las deficiencias críticas de la seguridad genera l del centro de datos, y mantener la seguridad física alineada con los cambios en la infraestructura y los objetivos de disponibilidad del centro de datos.