Resultados 1 al 2 de 2

Tema: Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física

  1. #1 Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.721
    Descargas
    147
    Uploads
    194
    ¿Te han encargado una revisión de un data center y no sabes por dónde empezar? ¿Vas a contratar servicios de terceros en una operación de outsourcing y no terminas de fiarte? ¿Te has leído unos checklist de cloud computing y te saben a poco? Estás de suerte. Quizás lo que aquí te cuente te sirva de algo.

    Aunque a definición adecuada quizás sea centro de procesamiento de datos (CPD), o por lo menos es la a mí me suena mejor, emplearemos indistintamente data center o centro de datos para referirnos a ese espacio singular donde se almacena una cantidad determinada de equipamiento informático y electrónico destinada a dar soporte a servicios de negocio determinados.

    En estos data centers, indistintamente de que sean públicos, privados o mixtos, se dan una serie de condiciones tanto físicas como lógicas, así como procedimientales y técnicas, que definen la seguridad de dicha infraestructura. Auditarlos puede ser una tarea compleja, porque son instalaciones complejas, luego en este artículo no tiene mucho sentido ver todas y cada una de las distintas posibilidades y desarrollar un plan de auditoría para cada una de las facetas. Así que en vez de desarrollar punto a punto un programa de trabajo, lo que haré será detallar lo que suele hacerse mal en un centro de datos, de modo que estas pistas te sirvan de ayuda para poder orientar tu trabajo.

    Hablaremos de las siguientes categorías: Seguridad física, seguridad lógica, gestión energética y problemas contractuales. En principio tengo previsto dedicar un artículo a seguridad física, otro a lógica y por último uno donde hablaré un poco de gestión energética y asuntos contractuales.

    Seguridad física



    Entran dentro de esta categoría todas las medidas para asegurar la integridad física de los equipos almacenados. Desde la verja exterior hasta los mecanismos de extinción de incendios. Como podéis imaginar, es un tema complejo dado que son muchos los factores que intervienen. Los CPD suelen, y digo suelen, tener buenas características de seguridad física, ya que si son suficientemente serios, se diseñan con la seguridad en mente. No obstante suele ser común encontrarse sorpresas en las siguientes áreas:
    • Control de acceso. Especialmente en las zonas "cero", es decir, aquellos compartimentos del data center que albergan la infraestructura más valiosa. En una infraestructura de este tipo es deseable siempre tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso que genere los registros adecuados y los conserve convenientemente es motivo de incidencia. Se van implantando poco a poco sistemas biométricos y siguen siendo válidos los mecanismos de acceso con tarjetas inteligentes. No os cortéis a la hora de pedir logs de los sistemas de control, y no os extrañe que surjan problemas. Por increíble que parezca, este es un tema donde siempre aparecen incidencias.
    • Pruebas de mecanismos de detección y alarma. Todos los responsables de seguridad física te enseñarán extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento. Pero no todos pueden enseñarte pruebas fehacientes de que estos sistemas están siendo probados regularmente y que funcionan como es debido. En muchos países, y por motivos de legislación, es obligatorio realizar pruebas periódicas de los sistemas, pero no asumáis que esto pasa en todos los sitios y que las pruebas son exhaustivas. Dedicad un poco de tiempo a esto
    • Acceso de mercancías y personal de proveedores. No sería la primera vez que llegar a las zonas cero del CPD es imposible si se pretende la intrusión a través de las vías de acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos especiales para equipamiento y proveedores. Como comprenderéis, si te compras un z114 o un z196, no vas a meterlo por el torno de acceso de los empleados y a maniobrarlo por los pasillos. Para esto existen accesos especiales, generalmente un muelle de carga y descarga donde las mercancías son gestionadas. Recorred este acceso y miradlo con lupa, yo me he encontrado de todo aquí: desde fulanos con destornillador en mano caminando solos por la zona cero a puertas del muelle abiertas de par en par y con gente metiendo y sacando cajas, por citar algunos ejemplos.
    • Ausencia de seguridad perimetral o seguridad perimetral insuficiente. Aunque suene a broma, es algo que puede suceder. No es la primera vez que un CPD tiene medidas internas de seguridad físicas excepcionales y que luego, al darse uno una vuelta por allí, descubre que todo está protegido por una verja que un niño de 7 años puede saltarse, o que hay una ventana abierta por la que entrar y quitarse de encima la mayoría de controles de acceso. Si has quedado a las 9 para auditar, procura estar allí a las 8 u 8.30 y date una vuelta por fuera. Las sorpresas están al acecho
    • Gestión de energía y continuidad. Es un tema amplio de tratar, y en definitiva engloba todo lo que tiene que ver con el aprovisionamiento energético del CPD. Un CPD es un sitio donde se consume muchisima energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos. Por norma general el CPD suele tener dos o más acometidas de proveedores de energía eléctrica independientes, para no depender exclusivamente de un único proveedor, y es frecuente que internamente se hagan abastecimientos a zonas teniendo en cuenta si requieren máxima resiliencia eléctrica o no. Cuando todo va mal y se pierde completamente el fluido eléctrico, es normal contar con una batería de generadores diesel para garantizar el suministro en caso de contingencia eléctrica grave. Yo sugiero que os presenten pruebas fehacientes de que estos generadores se prueban periódicamente, y que no os tiemble el pulso pidiendo evidencias de carga en los depósitos de combustible. Un esquema unifilar que muestre la redundancia eléctrica suele ayudar igualmente. Como no vamos a andar apagando servidores para ver si aquello funciona, solicitad acceso a un rack con tomas independientes eléctricas y pedid una visita a la sala de cuadros eléctricos para determinar si eso verdaderamente opera con acometidas independientes o no.
    • Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o destinados al uso de múltiples clientes. En estos casos es de esperar que cada cliente tenga su infraestructura en una jaula y que la cerradura esté, lógicamente, cerrada. Mal asunto si al visitar nuestra infraestructura fuera posible tirar de un cable de la competencia.
    Otros problemas: Algunos modelos de CPD que puedes encontrarte

    • El CPD jardín botánico. Dícese de aquel en el que el exterior, más que un data center, parece que es un vivero de plantas con vegetación tan espesa que allí podría esconderse un tigre de bengala alegremente. Uno no sabe si está en un centro de datos o en un parque zoológico. Cuidado con este detalle, que puede parecer nimio pero es fuente de problemas. Aparte del hecho de que la vegetación en el perímetro puede servir para que además del tigre se escondan los amigos de lo ajeno, el exceso de vegetación puede ser dañino para la infraestructura, no sólo los cimientos y cerramientos, sino para las conducciones eléctricas, de agua, etc. Adicionalmente, denota falta de cuidado y probablemente es una pista que deba hacer sospechar que allí se están ahorrando costes de una manera equivocada.
    • El data center IKEA / el cuartillo de los de informática. Este es el caso que nos encontramos cuando visitamos un centro que sobre el papel debería ser eso, un CPD, pero que en realidad no es otra cosa que un aparador Sjövik de la conocida firma sueca con servidores apilados y cables, o en el mejor de los casos, una pequeña sala al fondo del pasillo, que en vez de tener infraestructura de CPD es en realidad el cuarto de los del departamento de informática, y donde guardan todos sus preciados tesoros, esos que son tan necesarios y útiles en el día a día, como monitores de CRT, equipos 386, impresoras matriciales, cartuchos llenos de polvo, discos duros metidos en cajas de zapatos y ese largo etcétera típicamente asociable a los tipos del área de informática con síndrome de diógenes.
    • El data center "Feria de Torremolinos". Es el nombre que le doy al típico CPD en el cual el orden del cableado recuerda más al de una atracción de feria cuando la ves por detrás que a una sala de cómputo. Cables por todos sitios, racks interconectados por el techo con catenarias, puertas de rack aciertas o que directamente, no existen, armarios que con las pisadas se balancean, cableado sin código alguno de colores, servidores alojados en los racks sin ningún tipo de orden y etiqueado ... la lista se puede hacer muy larga. Un CPD tiene que ser un sitio con orden, limpieza y donde de un plumazo se puedan localizar máquinas por grupos o servicios sin tener que hacer una investigación previa.
    • El data center tropical. Aquel en el que nada más entrar se siente el calor del trópico. Sólo falta que te pongan un daikiri con una sombrilla de papel y que te dejen tender la toalla. En un data center suele hacer frío, porque hay que refrigerarlo y mantener una condición óptima de temperatura. Que al entrar sintamos calor, o que al pasear notemos que la temperatura no es constante es indicar de problemas en la refrigeración. Esto es una incidencia severa, ya que los efectos de la temperatura son manifiestos: menores rendimientos, mayores costes de operación y máquinas cuyo ciclo de vida se ve acortado innecesariamente.
    • El CPD "Cueva de Nerja", o aquel en el que para acceder al suelo técnico o a los falsos techos se requiere un máster en espeleología. Tanto suelos como techos deben ser fácilmente accesibles. Yo suelo pedir que levanten el suelo y no tengo reparos en colarme allí para ver qué se cuece en el suelo. Es un indicador perfecto de mantenimiento y para ver con tus propios ojos la infraestrcutrura de seguridad, como los detectores de inundación. Es un sitio donde no es conveniente encontrarse migajas de pan, un papel albal arrugado y una lata de cocacola dejadas atrás por algún técnico de mantenimiento que no tenía mejor sitio donde desayunar. No te olvides la linterna en casa.
    • El CPD "Thyssen-Bornemisza" o aquel donde los clientes se pasean alegremente como si eso fuera un museo, cámara de vídeo y/o fotos en mano y con un responsable de CPD que no tiene reparos en hacer un tour guiado explicando a los clientes potenciales lo que allí hay guardado. No hay necesidad de que nadie filme ni fotografíe tu infraestructura, que además de revelar datos técnicos, frecuentemente tiene etiquetadas direcciones IP, descripciones de servicios y nombres de máquinas, y que por desgracia, puede eventualmente contener contraseñas de emergencia pegadas a las consolas de los racks. Hay que ser muy estricto con estos controles y con su verificación.
    • El CPD "Biblioteca de Turín". Es aquel que además de CPD, es lugar de archivo de toneladas y toneladas de papel. Es típico en pequeños edificios donde la infraesructura de CPD es una sala más, y donde por motivos de espacio se suele compartir la sala para archivar documentación. Yo no he venido aquí a pedir prestado el Código Da Vinci, de modo que este tipo de situaciones es fuente de incidencia. El riesgo eléctrico y el papel no son buenos compañeros por lo general.
    Dónde encontrar información exhaustiva sobre seguridad física


    Existen numerosas fuentes aunque yo tampoco conozco ninguna que aglutine en un único documento todo lo que puede y debe ser auditado, en términos de seguridad física.

    Quien quiera documentarse en profundidad o realizar su propio programa de trabajo puede recurrir a NIST, que tiene mucha información al respecto, y podéis encontrar referencias a mejores prácticas de seguridad en al menos los siguientes documentos

    NIST FIPS 200 Security Controls for Federal Information Systems
    NIST SP 800-100 Information Security Handbook for Managers
    NIST SP 800-96 PIV Card / Reader Interoperability Guidelines
    NIST SP 800-92 Guide to Computer Security Log Management
    NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
    NIST SP 800-78 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
    NIST SP 800-76 Biometric Data Specification for Personal Identity Verification
    NIST SP 800-73 Rev 1 Integrated Circuit Card for Personal Identification Verification
    NIST SP 800-66 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule
    NIST SP 800-58 Security Considerations for Voice Over IP Systems
    NIST SP 800-24 PBX Vulnerability Analysis: Finding Holes in Your PBX Before Someone Else Does
    NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
    NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook

    En la próxima entrega veremos los problemas usuales en la seguridad lógica, tanto de la propia operación del centro como de los servicios allí alojados.

    Un saludo,

    Publicado por Sergio Hernando en http://www.sahw.com/wp/archivos/2011/12/18/auditoria-de-centros-de-procesamiento-de-datos-parte-1-seguridad-fisica/
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.721
    Descargas
    147
    Uploads
    194
    Me ha encantado la lista de "modelos de CPD" jejeje
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

Marcadores
Marcadores
Permisos de publicación
  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •