Na czym polegają standardy bezpieczeństwa centrów danych używane przez dostawców usług chmurowych? Jak rozumieć oznaczenia literowe, liczbowe, poziomy i czym różnią się poszczególne kategorie? Omawiamy i wyjaśniamy.
Artykuł jest częścią zaplanowanego na cały rok cyklu artykułów oraz webinarów sponsorowanych przez firmę Aruba Cloud – dostawcę usług chmurowych z centrum przetwarzania w Polsce. Przed nami jeszcze pięć artykułów i kilka webinarów, a w poprzednich artykułach i webinarach opisałem:
-
- architekturę modelu cloud computingu wg NIST SP 800-145,
- ryzyka natury organizacyjno-prawnej i zarządzania zgodnością na przykładzie pojęcia GRC – Governance, Risk management and Compliance,
- standardy bezpieczeństwa jakie powinna spełniać usługa chmurowa i jak możemy sprawdzić, czy te standardy faktycznie spełnia,
- zarządzanie tożsamością w chmurze i standardy SAML, OpenID, OAuth,
- wdrożenie i zarządzanie uprawnieniami w chmurze,
- przygotowania do wielkiej awarii.
Standardy i klasyfikacje
Dzisiaj omówię podstawowe i najczęściej stosowane przez dostawców pojęcia w zakresie prezentowania bezpieczeństwa centrów danych i co one w praktyce oznaczają. Najbardziej rozpoznawalne są standardy dla centrów danych wypracowane przez Uptime Institute oraz Stowarzyszenie Przemysłu Telekomunikacyjnego (Telecommunications Industry Association, TIA) i właśnie na tych skoncentruję się w artykule. Dodatkowo omówię jeszcze inne standardy, na które powołują się dostawcy m.in. SSAE 16 (dawny SAS 70), ISAE 3402, SOC1 i SOC2.
Klasyfikacja Tier
Najczęściej wykorzystywanym pojęciem w kontekście charakteryzowania obiektów data center jest klasyfikacja Tier. Służy do określenia poziomu bezpieczeństwa (fizycznego i środowiskowego) i niezawodności infrastruktury centrum danych. Im wyższy poziom, tym bardziej niezawodne i bezpieczne data center.
The Uptime Institute był pierwszą organizacją, która oficjalnie użyła zwrotu „tier” do klasyfikacji poziomu dostępności centrum danych. Instytut w roku 2001 opublikował dokument „Industry Standard Tier Classifications Define Site Infrastructure Performance” opisujący wytyczne konfiguracji infrastruktury technicznej oraz określający za pomocą wartości procentowej minimalny poziom dostępności systemu dla każdej z klas Tier I, II, III, IV.
Dwa dokumenty opracowane przez Uptime Institute określają kryteria dla poszczególnych klas. „Data Center Site Infrastructure Tier Standard: Topology” – określa główne założenia dla poszczególnych klas Tier. Kolejny poziom jest rozszerzeniem poprzedniego.
Tier I: Podstawowa infrastruktura bez redundancji, systemy podtrzymania zasilania (UPS, agregat prądotwórczy). Planowane prace utrzymaniowe wymagają wyłączenia większości lub wszystkich systemów. Całość systemu posiada wiele punktów awarii mających wpływ na dostępność systemów. Oczekiwana dostępność 99,671%.
Tier II: Podstawowa redundancja. Systemy zasilania posiadają redundantne komponenty pracujące równolegle w systemie n+1 oraz instalację chłodniczą pracującą w tym samym systemie. Takie rozwiązanie posiada zamienne urządzenia pozwalające na utrzymanie funkcjonalności w przypadku awarii elementów zasilających posiadających elektronikę. System tak jak poprzedni nie umożliwia wykonywania bezprzerwowych konserwacji, serwisów systemów, jak i posiada wiele punktów awarii. Uszkodzenie jednego z urządzeń nie powoduje zatrzymania pracy Data Center. Oczekiwana dostępność 99,741%.
Tier III: Niezależna infrastruktura. Całość infrastruktury jest redundantna. Posiada wiele aktywnych instalacji zasilających. W praktyce oznacza zasilanie układu z podstawowego źródła a zapasowego źródło służy do ewentualnych serwisów i konserwowania. Założeniem tego systemu jest utrzymanie tylko jednej linii zasilania aktywnej, druga może być uruchomiona lub uruchamiana podczas prac konserwacyjnych i serwisowych. W przypadku braku podstawowego źródła zasilania cały układ podtrzymywany jest z zasilaczy UPS i załączany jest agregat. Dubluje się instalacje energetyczną przez dodatkowe rozdzielnie lub wyłączniki jak i pozostałą infrastrukturę niezbędną do poprawnego działania systemów IT. Ilość błędów i usterek jest ograniczona do kilku miejsc co znacznie podnosi dostępność całości systemu. Uszkodzenie jednego z urządzeń nie powoduje zatrzymania pracy Data Center. Oczekiwana dostępność 99,982%.
Tier IV: Infrastruktura odporna na awarie. Odporność na pojedyncze, nieplanowane zdarzenia, takie jak pożar, wyciek czy eksplozja. Są to dwa systemy zbudowane równolegle i działające równolegle. Cały redundantny układ podstawowy i rezerwowy posiada redundantne elementy, które działają jednocześnie. Możliwe osiągnięcie braku pojedynczego punktu awarii. Uszkodzenie jakiegokolwiek z elementów nie powoduje zatrzymania pracy Data Center. Oczekiwana dostępność 99,995%.
Należy pamiętać, że poziomy dostępności są estymacją. Wiele ekspertów podnosiło fakt braku danych do określenia takich poziomów dostępności. Jest wiele obiektów Tier I lub Tier II, które działają bez żadnej przerwy już ponad 10 lat i dłużej zapewniając dostępność o wartość 99,999%.
Tier I | Tier II | Tier III | Tier IV | |
Źródło zasilania IT | System | System | System | System + system |
Zasilanie z sieci energetycznych | niewymagane | niewymagane | niewymagane | niewymagane |
Tory zasilania | 1 | 1 | 1 podstawowy + 1 rezerwowy | 2 tory jednocześnie aktywne |
Redundancja dla całości kluczowej infrastruktury | N | N+1 | N+1 | Minimum N+1 |
Brak ograniczeń uruchomieniowych dla agregatów prądotwórczych | Nie | Nie | Tak | Tak |
Kompartamentalizacja | Nie | Nie | Nie | Tak |
Równoczesność serwisowania/konserwowania | Nie | Nie | Tak | Tak |
Ciągłe chłodzenie | Nie | Nie | Nie | Tak |
Odporność na błędy (pojedyncze zdarzenia) | Nie | Nie | Nie | Tak, automatyczna odpowiedź na błąd |
Pojedyncze punkty awarii | Liczne + błędy ludzkie | Liczne + błędy ludzkie | Kilka + błędy ludzkie | Brak + pożar, EPO |
Tabelarycznie wytyczne Uptime – źródło http://blog.datacenterworld.pl
Dodatkowe kryteria dla klasyfikacji są opisane w dokumencie ” Data Center Site Infrastructure Tier Standard: Operational Sustainability”. Dokument określa czynności i procedury jakie należy stosować, aby zapewnić wymaganą niezawodność operacyjną centrum danych odpowiedniej klasy Tier. Jak wynika z dokumentu, poziom dostępności i niezawodności data center jest wynikiem połączenia wytycznych topologii określonego Tier oraz sposobu zarządzania infrastrukturą. Wymagane procedury i czynności zestawione są w formie tabel (od strony 8 dokumentu) i dotyczą 3 obszarów:
- Zarządzanie i operacje – zatrudnienie, kwalifikacje, organizacja pracy, procedury związane z zarządzaniem i utrzymaniem centrum danych (program prewencyjnego zarządzania, zasady utrzymania czystości, zarządzanie systemami, zasady wsparcia i kontaktu z dostawcami, planowanie czasu życia komponentów itp.), programy szkoleń, planowanie działań (np. zarządzanie dostępną pojemnością centrum danych).
- Charakterystyka budynku – czynności przed uruchomieniem systemu (procedury odbioru testowanie instalacji i urządzeń itp.), przeznaczenie budynku (dedykowany na potrzeby centrum danych czy wydzielona przestrzeń), zabezpieczenie budynku, kontrola dostępu, możliwości rozwoju (przestrzeni, wydajności, pojemności).
- Lokalizacja obiektu – zagrożenia związane z naturalnymi kataklizmami, lokalizacja która mogłaby mieć wpływ na bezpieczeństwo obiektu (odległość portu lotniczego, autostrady itp.).
Norma TIA-942
W roku 2005 organizacja Telecommunications Industry Association (TIA) opublikowała normę TIA-942 o nazwie „Telecommunications Infrastructure Standard for Data Centers”, która jest najbardziej popularnym standardem wykorzystywanym do projektowania centrów danych. Klasyfikacja Tier została zapożyczona od The Uptime Institute i fakt ten jest kilkakrotnie wspominany w treści normy. Klasy nie są tym samym i różnią się od siebie fundamentalnie. Dlatego też The Uptime Instytute klasy Tier oznacza rzymskimi cyframi I, II, III, IV (Tier I, Tier II, Tier III, Tier IV) natomiast TIA-942 oznacza cyframi arabskimi 1, 2, 3, 4 (Tier 1, Tier 2, Tier 3, Tier 4). Należy o tym pamiętać w przy odróżnianiu klasyfikacji. 18 marca 2014 roku wraz z podpisaniem porozumienia pomiędzy TIA oraz Uptime Institute, strony uzgodniły jasny podział pomiędzy wytycznymi i markami w celu unikania nieścisłości i błędów w interpretacji wytycznych. Po porozumieniu nastąpiła zmiana ANSI/TIA-942 i wydana aktualizacja nazwana ANSI/TIA-942:2014. Porozumienie uregulowało, że słowo Tier będzie używane tylko i wyłącznie przez Uptime Institute a tym samym w ANSI/TIA-942 pojęcie zostało usunięte i zastąpione słowami Rated lub Rating.
TIA-942 definiuje szereg wytycznych dla czterech klas dotyczących m. in.:
- telekomunikacji,
- konstrukcji budynku,
- zadaszenia,
- elementów budynku,
- pomieszczeń,
- dróg transportowych,
- miejsc magazynowych i przechowywania paliwa,
- bezpieczeństwa fizycznego budynku,
- odporności ścian,
- systemów bezpieczeństwa,
- instalacji elektrycznych i jej komponentów,
- instalacji mechanicznych – chłodzenia i wentylacji,
- systemów przeciwpożarowych.
ANSI/TIA-942:2014 definiuje 4 poziomy dla obiektów Data Center.
Jak widać oba standardy mają wiele wspólnych założeń (np. czteropoziomowy podział dostępności wraz z odpowiadającą mu infrastrukturą, systemami bezpieczeństwa, zasilaniem, monitoringiem, redundancją etc.), ale wiele je również dzieli m.in. pod względem zakresu wytycznych, co dobrze ilustruje poniższa tabela.
UPTIME INSTITUTE | ANSI/TIA-942 | |
TELEKOMUNIKACJA | ||
Główne elementy, technologia | ✓ | |
Struktura, topologia zewnętrzna poza budynkiem | ✓* | ✓ |
Struktura, topologia wewnętrzna w budynku | ✓ | |
Trasy kablowe, oznakowania | ✓ | |
Uziemienie | ✓ | |
ARCHITEKTURA | ||
Miejsce lokalizacji | ✓ | ✓ |
Struktura, topologia | ✓** | ✓ |
Konstrukcja | ✓** | ✓ |
Ilości pomieszczeń i ich przeznaczenia | ✓ | |
Wymiary i obciążenia | ✓ | |
System CCTV | ✓ | |
System Access Control | ✓ | ✓ |
System bezpieczeństwa fizycznego | ✓ | ✓ |
ENERGETYKA | ||
Sposób podłączenia do sieci zawodowej | ✓ | |
Struktura, topologia | ✓ | ✓ |
System zasilania awaryjnego | ✓ | ✓ |
MECHANIKA | ||
Systemy chłodzenia | ✓ | ✓ |
Systemy paliwowe | ✓ | ✓ |
Autonomiczne system ppoż | ✓ |
Różnice pomiędzy standardami – źródło http://blog.datacenterworld.pl
* dotyczy doprowadzenie tylko połączeń do DC
** dotyczy Tier IV
W kontekście klasyfikacji Tier certyfikacja centrów danych jest możliwa tylko i wyłącznie przez The Uptime Institute w 3 kategoriach:
- Certyfikat dokumentacji projektowej (Tier Certification of Design Documents).
- Certyfikat istniejącego/wybudowanego centrum danych (Tier Certification of Constructed Facility).
- Certyfikat niezawodności operacyjnej istniejącego obiektu (Operational Sustainability Certification).
Ponadto Uptime zaznacza, że należy szczególnie uważać na obiekty, które same sobie przydzieliły poziom Tier. Na stronie instytutu można znaleźć spis wszystkich dotychczas certyfikowanych centrów danych. Na dzień dzisiejszy widnieje tam jedno centrum danych z Polski – EXEA Data Center z poziomem Tier III.
Informacje o centrach certyfikowanych na zgodność ze standardem ANSI/TIA-942 można znaleźć na stronie TIA-942.org. W Polsce certyfikatami potwierdzającym osiągnięcie poziomu Rating 3 i 4 w swoich centra danych może się pochwalić Beyond.pl.
Oprócz dwóch wspomnianych standardów na stronach dostawców można znaleźć informację o zgodności z SAS 70, SSAE 16, SOC 1, SOC 2, SOC 3. Są to standardy i rodzaje audytów dla usług outsourcingowych, w większości utworzone przez instytucje związane z regulacjami w obszarze księgowości i rachunkowości. Pokrótce opiszę co one oznaczają:
- SAS70 – (Statement on Auditing Standards) był standardem stworzonym przez amerykańskich biegłych rewidentów (Auditing Standards Board of the American Institute of Certified Public Accountants – AICPA), który ponad 40 lat stanowił w USA podstawę raportowania wyników badania kontroli w organizacjach usługodawców. Dzięki ustawie Sarbanes-Oxley (SOX), SAS70 stał się standardem stosowanym na skalę międzynarodową. Raport z audytu prezentował ocenę wdrożenia i efektywności operacyjnej mechanizmów kontrolnych badanego usługodawcy. Istniejący SAS 70 został zastąpiony przez SSAE 16 (obecnie SSAE 18) i ISAE3402.
- ISAE3402 – (International Standard on Assurance Engagement) to standard stworzony przez International Auditing and Assurance Standards Board (IAASB), radę do spraw standaryzacji przy Międzynarodowym Stowarzyszeniu Księgowych (IFAC).
- SSAE 16 – Standard dotyczy kontroli wewnętrznych mających wpływ na sprawozdania finansowe odbiorcy usług. Standard opublikowany przez AICPA (American Institute of Certified Public Accountants).
Podstawowy podział dokonany przez AICPA (American Institute of Certified Public Accountants) wyróżnia 3 rodzaje audytów (SOC – Service Organization Control):
- SOC 1: Audyt dotyczy kontroli wewnętrznych mających wpływ na sprawozdania finansowe odbiorcy usług.
- SOC 2: Audyt dotyczy procesów niefinansowych, które mają kluczowe znaczenie dla jakości dostarczanej usługi. W szczególności brane są pod uwagę kryteria pod względem bezpieczeństwa, dostępności, integralności, poufności, prywatności. Raport z audytu jest dostępny tylko dla obecnych klientów (klienta), zawiera bowiem szereg szczegółowych informacji. Publicznie udostępniona może być informacja o pomyślnej opinii z przebytego audytu, co daje gwarancje jakości usługi potencjalnym klientom.
- SOC 3: Audyt dotyczy tych samych procesów co SOC 2, jednak raport z audytu jest udostępniany potencjalnym klientom (ponieważ zawiera ograniczony zakres danych wobec raportu wg SOC 2 i może być dostępny publicznie). Zawiera zapewnienie kierownictwa o spełnieniu określonych wymagań oraz opinię audytora.
Dodatkowo istnieją 2 typy audytów. Typ I przedstawia opis systemu oraz ocenę adekwatności kontroli wewnętrznych, typ II zawiera dodatkowo ocenę rzeczywistego funkcjonowania kontroli wewnętrznych. Z oczywistych względów typ II ma znacznie większą wartość dla odbiorców usług.
Dla standardów SSAE 16 (czy SSAE 18) i ISAE3402 oraz rodzajów audytów SOC1 i SOC2 nie istnieją certyfikaty. Raporty atestacyjne oznaczają, że badania kontroli w organizacjach świadczących usługi zostały przeprowadzone w oparciu o w/w standardy.
Miejscami, gdzie można sprawdzić informacje o posiadanych przez centra danych zabezpieczeniach i certyfikatach, są:
- Serwis Data Center Map, w którym możemy wyszukiwać centra danych oraz serwery cloudowe za pomocą wyszukiwarki oraz map. W profilach centrów danych znajdziemy informacje o świadczonych usługach, lokalizacjach, posiadanych certyfikatach i zabezpieczeniach fizycznych i środowiskowych
- CSA Security, Trust & Assurance Registry (STAR), w wyniku którego powstał publicznie dostępny rejestr, w którym udokumentowane są systemy kontroli stosowane przez dostawców usług chmurowych (ponad 300 wpisów). Program składa się z kilku poziomów:
- 1 . Samoocena – Polega na opublikowaniu deklarowanej przez dostawcę samooceny opartej na Consensus Assessment Initiative (CAI) Questionnaire i Cloud Control Matrix (CCM).
- 2. Certyfikacja / Atestacja: Polega na publikacji wyników oceny dokonanej przez niezależną stronę. Certyfikacja obejmuje ocenę zgodności z wymaganiami Cloud Control Matrix oraz standardu ISO27001. Atestacja opiera się na wynikach raportu 2 SOC – (Service Operation Centre) wykorzystującego elementy Cloud Control matrix.
- 3. STAR Continuous: Jest w fazie rozwoju. Polega na publikacji wyników ciągłego audytu i monitoringu.
Podsumowanie
Na koniec chciałem pokazać tabelę zawierającą przykłady, jakimi pojęciami czy certyfikatami posługują się dostawcy usług chmurowych w celu zaprezentowania bezpieczeństwa centrów danych. Prezentowane dane obejmują jedynie w/w standardy i powstały na podstawie publicznie dostępnych informacji.
Uptime Institute | TIA-942 | SOC | STAR | |
AWS | SOC 1, SOC 2 , SOC 3 | Self assessment | ||
Azure | SOC 1, SOC 2 , SOC 3 | Self assessment, certification/attestation | ||
Aruba Global Cloud Data Center | Rating 4 | |||
Aruba.it IT1 | Rating 4 | |||
EXEA | Tier III Polska | |||
SOC 2 , SOC 3 | Self assessment | |||
Beyond.pl Data center 1 | Rating 3 | |||
Beyond.pl Data center 2 | Rating 4 | |||
Dropbox | SOC 1, SOC 2 , SOC 3 | Self assessment, certification/attestation | ||
HP | Tier II – Kostaryka | SOC 2 , SOC 3 | Self assessment, certification | |
Huawei | Tier III China | |||
OVH | SOC 1, SOC 2 | Self assessment | ||
Samsung | Tier III Korea Płd | |||
Vodafone Data center A | Tier IV Indie |
Dla zachowania pełnej przejrzystości: za opublikowanie tego artykułu pobieramy wynagrodzenie.
Komentarze
Na litość boską nie piszcie takich rzeczy .Zaraz jakiś mistrz z publica przeniesie dane Polaków do chmury.
To się już się zadziało w publicu na całym świecie i w Polsce długo przed publikacją naszych artykułów :) Dla przykładu Jednolity Plik kontrolny https://www.computerworld.pl/news/VAT-splywa-z-chmury,407557.html
Ok, ale czy ta „chmura” przypadkiem CIRF (dawny CPDMF) w radomiu ?
USA chce przechowywać dane o broni atomowej w chmurze, ale oczywiście odpowiedni departament przygotuje przed tym odpowiednie, rygorystyczne wymogi wobec rozwiązań technicznych i prześwietli każdą osobę w personelu dostawcy usługi chmurowej, która będzie miała dostęp fizyczny i/lub cyfrowy do tej części chmury.
Nagle Aruba zaczyna wymagać PESELU przy doładowaniu konta, zastanawiam się po co.
Też mnie to zaniepokoiło. Czy można wiedzieć po co? Przecież i tak podaje się nr telefonu, email, adres (nie sprecyzowany czy zamieszkania czy zameldowania). Jeszcze te rozumiem, ale PESEL? Czy to naprawdę konieczne? Tym bardziej, że w przypadku przelewów bank też weryfikuje osobę zakładającą konto i to dokładniej.
Zastanawia mnie czy byłyby jakieś konsekwencje podania fałszywego?
Wczoraj w Opolu uroczyście nadawano certyfikat ANSI 3. Podobno to pierwszy i najwyższy poziom serwerowni w naszym kraju. Czy to może być prawda, bo widzę tu różne certyfikacje i trudno się połapać, czy to co oceniają jest w pełni kompatybilne z ANSI. Podczas imprezy w Opolu stwierdzono nawet, że w ANSI4 to już danych strzegą „ludzie uzbrojeni i lasery” ;-)