Monitorowanie zagrożeń fizycznych w centrum danych · Uszkodzenie urządzeń i utrata danych....
Transcript of Monitorowanie zagrożeń fizycznych w centrum danych · Uszkodzenie urządzeń i utrata danych....
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
2
Streszczenie Tradycyjne metodologie monitorowania środowiska centrum danych nie są już
wystarczające. Biorąc pod uwagę pojawianie się nowych technologii, takich jak serwery
kasetowe, które zwiększają zapotrzebowanie na chłodzenie, a także nowych przepisów
prawnych, takich jak ustawa Sarbanes-Oxley, nakładających wyższe wymagania w zakresie
bezpieczeństwa danych, środowisko fizyczne w centrum danych musi być dokładniej
obserwowane. Choć istnieją dobrze znane protokoły monitorowania urządzeń fizycznych,
takich jak systemy UPS, klimatyzatory pomieszczeń komputerowych i systemy
przeciwpożarowe, istnieje pewna klasa rozproszonych punktów monitorowania, które są
często pomijane. W tym artykule opisano tę klasę zagrożeń, zaproponowano kilka podejść
dotyczących wdrażania urządzeń monitorujących, a także przedstawiono najlepsze sposoby
wykorzystania zebranych danych w celu ograniczenia czasu przestoju.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
3
Wstęp Często stosowane obecnie rozwiązania monitorowania środowiska centrum danych pochodzą jeszcze z czasów scentralizowanych komputerów typu mainframe i obejmują takie techniki, jak chodzenie z termometrami i poleganie na opinii personelu działu IT, który „czuje” środowisko w pomieszczeniu. Ponieważ jednak centra danych podlegają stałemu rozwojowi, szczególnie w zakresie przetwarzania rozproszonego i technologii serwerowych, które zwiększają wymagania wobec zasilania i chłodzenia, należy dokładniej obserwować środowisko. Rosnąca gęstość mocy i dynamiczne wahania mocy to dwa główne czynniki wymuszające wprowadzenie zmian w metodologii monitorowania środowisk IT. Pojawienie się serwerów kasetowych spowodowało ogromny wzrost gęstości mocy, a także radykalnie zmieniło dynamikę zasilania i chłodzenia w otaczających środowiskach. Technologie zarządzania zasilaniem sprawiły, że serwery i urządzenia komunikacyjne zyskały możliwość różnicowania poboru mocy (a dzięki temu także rozpraszania ciepła) w zależności od obciążenia obliczeniowego. Ten problem został szczegółowo opisany w dokumencie White Paper 43 firmy APC „Dynamiczne wahania mocy w centrach przetwarzania danych”. W urządzeniach fizycznych, takich jak zasilacze UPS, klimatyzatory pomieszczeń komputerowych (CRAC) i systemy przeciwpożarowe, często stosowane są zaawansowane funkcje monitorowania i alarmowania, ale inne elementy środowiska fizycznego są często ignorowane. Monitorowanie sprzętu to jednak nie wszystko – konieczne jest całościowe postrzeganie otaczającego środowiska, które powinno być aktywnie obserwowane pod kątem zagrożeń i prób włamania. Do takich zagrożeń zaliczają się nadmierne temperatury wlotowe serwerów i wycieki wody, a także dostęp do centrum danych osób nieuprawnionych lub niewłaściwe działania pracowników centrum. Występowanie zdalnych lokalizacji sieciowych, takich jak filie, pomieszczenia przetwarzania danych i lokalne punkty sprzedaży, jeszcze bardziej uwydatnia potrzebę automatycznego monitorowania, gdyż zapewnianie fizycznej obecności ludzi w celu sprawdzania temperatury i wilgotności jest niepraktyczne, a nawet zawodne. Wraz z pojawieniem się bezobsługowych lokalizacji sieciowych administratorzy IT muszą dysponować niezawodnymi systemami do kontroli warunków ich działania. Współczesne technologie umożliwiają konfigurowanie systemów monitorowania na poziomie szczegółowości, który zapewnia spełnienie specyficznych wymagań centrum danych dotyczących otoczenia i bezpieczeństwa – każda szafa może być traktowana jako oddzielne „mini-centrum danych” z własnymi wymaganiami, a strategia monitorowania może uwzględniać wiele punktów zbierania danych.1 W tym artykule omówiono zagrożenia fizyczne, które można złagodzić poprzez zastosowanie strategii rozproszonego monitorowania. Przedstawiono także wytyczne i najlepsze rozwiązania dotyczące implementacji czujników w centrum danych. Ponadto omówiono użycie narzędzi do projektowania centrum danych w celu uproszczenia specyfikacji i procesu projektowania tych rozproszonych systemów monitorowania.
1 Dokument White Paper 100 firmy APC, „Strategia zarządzania fizyczną infrastrukturą sieciową o znaczeniu krytycznym”, przedstawia kwestię integracji dużej liczby punktów monitorowania znajdujących się w szafach z istniejącym systemem zarządzania przedsiębiorstwem (EMS) lub systemem zarządzania budynkiem (BMS).
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
4
Co to są rozproszone zagrożenia fizyczne? Niniejszy dokument jest poświęcony pewnemu podzbiorowi zagrożeń – rozproszonym zagrożeniom
fizycznym – które budzą szczególne zainteresowanie, ponieważ zabezpieczenie przed nimi wymaga
przemyślanego i zaawansowanego projektu. Do zdefiniowania tego podzbioru przydatne będzie
wcześniejsze scharakteryzowanie całego wachlarza zagrożeń dla centrum danych.
Zagrożenia dla centrum danych można podzielić na dwie szerokie kategorie, w zależności od tego,
czy należą one do sfery oprogramowania i sieci (zagrożenia cyfrowe) czy też do sfery obsługującej
centrum danych infrastruktury fizycznej (zagrożenia fizyczne).
Zagrożenia cyfrowe Do zagrożeń cyfrowych można zaliczyć hakerów, wirusy, wąskie gardła w sieci oraz inne przypadkowe
lub złośliwe ataki na bezpieczeństwo lub przepływ danych. Problem zagrożeń cyfrowych cieszy się dużą
popularnością w branży i prasie, a większość centrów danych korzysta z chroniących przed nimi
zaawansowanych i aktywnie konserwowanych systemów, takich jak zapory i oprogramowanie
antywirusowe. Podstawowe zabezpieczenia chroniące przed zagrożeniami cyfrowymi zostały
przedstawione w dokumencie White Paper 101 firmy APC, „Podstawowe zasady zabezpieczeń
sieciowych”. Zagrożenia cyfrowe nie są tematem niniejszego artykułu.
Zagrożenia fizyczne Do fizycznych zagrożeń dla urządzeń IT należą problemy z zasilaniem i chłodzeniem, błędy lub zła wola
człowieka, pożary, wycieki i jakość powietrza. Niektóre z nich, w tym zagrożenia związane z zasilaniem
i niektóre zagrożenia dotyczące chłodzenia i pożaru, są standardowo monitorowe przez wbudowane funkcje
urządzeń zasilających, chłodzących i przeciwpożarowych. Na przykład systemy zasilaczy UPS monitorują
jakość zasilania, obciążenie i stan akumulatorów; listwy zasilające monitorują obciążenie obwodów
zasilania; urządzenia chłodzące monitorują temperatury wyjściowe i wejściowe oraz stan filtrów; systemy
przeciwpożarowe, które są wymagane przepisami budowlanymi, monitorują obecność dymu lub ciepła.
Takie monitorowanie zwykle odbywa się zgodnie ze znanymi protokołami, które są zautomatyzowane przez
systemy oprogramowania gromadzące, rejestrujące, interpretujące i wyświetlające informacje. Zagrożenia
monitorowane w ten sposób (z wykorzystaniem gotowych mechanizmów wbudowanych w urządzenia) nie
wymagają specjalnej wiedzy użytkownika ani planowania, aby możliwe było skuteczne zarządzanie nimi,
pod warunkiem jednak, że systemy monitorowania i interpretacji zostały dobrze zaprojektowane.
Te automatycznie monitorowane zagrożenia fizyczne stanowią kluczowy element kompleksowego systemu
zarządzania, ale nie są tematem niniejszego artykułu.
Istnieją jednak pewne rodzaje zagrożeń fizycznych w centrum danych – a są one naprawdę
poważne – wobec których użytkownicy nie dysponują żadnymi gotowymi i wbudowanymi rozwiązaniami
monitorowania. W każdym miejscu centrum danych może na przykład wystąpić niski poziom wilgotności,
a więc ważnym czynnikiem w kontrolowaniu tego zagrożenia będzie liczba i rozmieszczenie czujników
wilgotności. Takie zagrożenia mogą potencjalnie wystąpić w całym centrum danych w różnych
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
5
miejscach, które są zależne od układu pomieszczenia i rozmieszczenia urządzeń. Te rozproszone
zagrożenia fizyczne, które stanowią temat niniejszego dokumentu, można podzielić na następujące
kategorie ogólne:
• Zagrożenia dla urządzeń IT związane z jakością powietrza (temperatura, wilgotność)
• Wycieki płynów
• Obecność lub nietypowe działania człowieka
• Zagrożenia dla personelu związane z jakością powietrza (obce substancje w powietrzu)
• Dym i pożar spowodowane niebezpieczeństwami w centrum danych2
Rysunek 1 przedstawia różnice między zagrożeniami cyfrowymi i fizycznymi, a także dalszy podział zagrożeń fizycznych na te, w przypadku których dostępne są gotowe do użytku, sprzętowe mechanizmy monitorowania zasilania i chłodzenia, oraz na będące tematem tego dokumentu rozproszone zagrożenia fizyczne, które wymagają dokonania oceny, podjęcia decyzji i zaplanowania typu, położenia i liczby czujników monitorujących. To właśnie ryzyko związane z ostatnim typem zagrożeń fizycznych może zostać zaniedbane ze względu na brak wiedzy i doświadczenia w zakresie projektowania skutecznej strategii monitorowania.
2 Podstawowe wykrywanie dymu lub ognia w pomieszczeniu, które jest wymagane przez przepisy budowlane oraz objęte konkretnymi przepisami prawnymi i zasadami bezpieczeństwa, nie stanowi tematu niniejszego artykułu. Ten dokument omawia dodatkowe wykrywanie dymu związane z zagrożeniami w centrum danych, które wykraczają poza przepisy budowlane.
Monitorowanie tych zagrożeń jest wbudowane w urządzenia zasilające/chłodzące i nie wymaga od użytkownika dodatkowej uwagi podczas projektowania
Dodatkowa detekcja ognia (podstawowa detekcja ognia, która jest wymagana przepisami budowlanymi, nie jest omawiana w niniejszym artykule)
RRoozzmmiieesszzcczzeenniiee cczzuujjnniikkóóww ww cceelluu mmoonniittoorroowwaanniiaa ttyycchh zzaaggrroożżeeńń ssttaannoowwii tteemmaatt nniinniieejjsszzeeggoo aarrttyykkuułłuu
RROOZZPPRROOSSZZOONNEE ZZAAGGRROOŻŻEENNIIAA FFIIZZYYCCZZNNEE
Rysunek 1 – Zagrożenia dla centrum danych
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
6
Tabela 1 zawiera zestawienie rozproszonych zagrożeń fizycznych wraz z ich wpływem na centrum danych
oraz typami czujników używanych do monitorowania tych zagrożeń.
Tabela 1 – Rozproszone zagrożenia fizyczne
Zagrożenie Definicja Wpływ na centrum danych Typy czujników
Temperatura powietrza
Temperatura powietrza w pomieszczeniu, szafie i urządzeniach
Awaria urządzeń i skrócony okres eksploatacji na skutek przekroczenia temperatury określonej w specyfikacji i/lub gwałtownych zmian temperatury
Czujniki temperatury
Wilgotność Wilgotność względna w pomieszczeniu i szafie w określonej temperaturze
Awaria urządzeń na skutek gromadzenia się ładunków elektrostatycznych w miejscach o niskiej wilgotności
Gromadzenie się skroplin w miejscach o wysokiej wilgotności
Czujniki wilgotności
Wycieki płynów Wycieki wody lub chłodziwa
Spowodowane przez płyny uszkodzenia podłóg, okablowania i urządzeń
Sygnał problemów z klimatyzatorami CRAC
Kablowe czujniki nieszczelności
Punktowe czujniki nieszczelności
Błąd ludzki i dostęp personelu
Przypadkowe błędy popełnione przez personel
Nieuprawnione i/lub siłowe wtargnięcie do centrum danych ze złośliwymi zamiarami
Uszkodzenie urządzeń i utrata danych.
Przestój urządzeń
Kradzież i sabotaż urządzeń
Cyfrowe kamery wideo
Czujniki ruchu
Przełączniki szaf
Przełączniki pomieszczeń
Czujniki zbicia szkła
Czujniki drgań
Dym/ogień Pożar instalacji elektrycznej lub materiału
Awaria urządzeń.
Utrata środków trwałych i danych Dodatkowe czujniki dymu
Szkodliwe zanieczysz-czenia powietrza
Znajdujące się w powietrzu substancje chemiczne, takie jak wodór z baterii, bądź cząsteczki, jak na przykład pył
Niebezpieczna sytuacja dla personelu i/lub niestabilne działanie bądź awaria zasilacza UPS na skutek uwolnienia wodoru
Awaria urządzeń na skutek zwiększonej elektryczności statycznej lub zapchania filtrów/wentylatorów przez gromadzący się kurz
Czujniki substancji chemicznych/wodoru
Czujniki zapylenia
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
7
Umiejscowienie czujników W celu zapewnienia wczesnego ostrzegania przed problemami wynikającymi z opisanych powyżej zagrożeń
możliwe jest użycie różnego rodzaju czujników. Pomimo że konkretny typ i liczba czujników mogą być różne
w zależności od dostępnego budżetu, ryzyka zagrożenia i kosztu biznesowego włamania, istnieje minimalny,
podstawowy zestaw czujników, który sprawdzi się w większości centrów danych. Tabela 2 przedstawia
wytyczne dotyczące tego zalecanego zestawu podstawowych czujników.
Tabela 2 – Wytyczne dotyczące podstawowych czujników
Typ czujnika Lokalizacja Najlepsze
rozwiązanie Uwagi Odpowiednie
zalecenia branżowe
Przykład
Czujniki temperatury Szafa
W górnej, środkowej i dolnej części drzwi przednich każdej szafy IT w celu monitorowania temperatury wlotowej do urządzeń w szafie
W pomieszczeniach okablowania lub innych środowiskach z szafami otwartymi monitorowanie temperatury powinno być wykonywanie możliwie jak najbliżej wlotów powietrza do urządzeń
Wytyczne ASHRAE3
Czujniki wilgotności Rząd
Po jednym czujniku na przejście zimnego powietrza, z przodu szafy w środku rzędu
Ponieważ klimatyzatory CRAC zapewniają odczyty wilgotności, położenie czujników wilgotności w rzędach można dostosować, jeśli znajdują się zbyt blisko wylotów klimatyzatora
Wytyczne ASHRAE
Kablowe czujniki nieszczel-ności Punktowe czujniki nieszczel-ności
Pomieszczenie
Kablowe czujniki nieszczelności wokół każdego systemu CRAC, wokół urządzeń do chłodzenia i pod podłogą podwyższoną i pod innymi źródłami wycieków (np. rurami)
Punktowe czujniki nieszczelności do monitorowania przepełnienia płynów w miskach ściekowych, do monitorowania w mniejszych pomieszczeniach, a także w innych nisko położonych miejscach
Brak standardu przemysłowego
Cyfrowe kamery wideo
Pomieszczenie i rząd
Rozmieszczone strategicznie zgodnie z układem centrum danych, obejmując wejścia i wyjścia, a także zapewniając dobry widok wszystkich przejść zimnego i ciepłego powietrza. Należy zapewnić widok na cały obszar
Monitorowanie i rejestrowanie normalnego dostępu, a także dostępu nieautoryzowanego lub poza godzinami pracy przy użyciu oprogramowania do obsługi telewizji przemysłowej
Brak standardu przemysłowego
3 ASHRAE TC9.9 Mission Critical Facilities, „Thermal Guidelines for Data Processing Environments”, 2004.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
8
Typ czujnika Lokalizacja Najlepsze
rozwiązanie Uwagi Odpowiednie
zalecenia branżowe
Przykład
Przełączniki pomieszczeń Pomieszczenie
Przełącznik elektroniczny przy każdych drzwiach wejściowych w celu umożliwienia sprawowania kontroli nad dostępem do pomieszczenia oraz ograniczenia dostępu do określonych osób i w określonych godzinach
Może być pożądana integracja przełączników pomieszczeń z systemem budynku. Można to osiągnąć za pośrednictwem interfejsu komunikacyjnego
HIPPA i Sarbanes-
Oxley4
Oprócz podstawowych czujników, które przedstawiono w Tabela 2, istnieją także inne czujniki, które mogą
zostać uznane za opcjonalne w zależności od konfiguracji konkretnego pomieszczenia, poziomu zagrożenia
i wymagań w zakresie dostępności. Tabela 3 przedstawia te dodatkowe czujniki wraz z zaleceniami
dotyczącymi najlepszych rozwiązań.
Tabela 3 – Wytyczne dotyczące dodatkowych czujników stosowanych w zależności od sytuacji
Typ czujnika Lokalizacja Najlepsze rozwiązanie Uwagi
Odpowiednie zalecenia branżowe
Przykład
Dodatkowe czujniki dymu
Szafa
Bardzo wczesne wykrywanie dymu (VESD) na poziomie szafy w celu zapewnienia zaawansowanego ostrzegania o problemach w wysoce krytycznych obszarach lub obszarach bez dedykowanych czujników dymu.5
Jeśli wdrożenie dodatkowego wykrywania dymu na poziomie szafy przekracza budżet, umieszczenie czujników VESD przy wlocie powietrza każdego klimatyzatora CRAC może zapewnić wczesne ostrzeganie
Brak standardu przemysłowego
4 Fiona Williams, dyrektor ds. usług zabezpieczeń w firmie Deloitte & Touche, twierdzi: „Zabezpieczenia fizyczne są objęte wymaganiami ustawy Sarbanes-Oxley. Jest to istotny składnik programu bezpieczeństwa informacji, a także ogólnej kontroli komputerów. Jest to związane z sekcjami 302 i 404, które wymagają, aby kadra zarządzająca sprawdzała i oceniała, czy kontrole wewnętrzne działają skutecznie”. http://www.csoonline.com/read/100103/counsel.html (dostęp uzyskano 20 kwietnia 2006) 5 Przy założeniu, że istnieje oddzielny system wykrywania ognia w celu zachowania zgodności z przepisami budowlanymi.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
9
Typ czujnika Lokalizacja Najlepsze rozwiązanie Uwagi
Odpowiednie zalecenia branżowe
Przykład
Czujniki substancji chemicz-nych/ wodoru
Pomiesz-czenie
Jeśli w centrum danych znajdują się akumulatory VRLA, nie jest konieczne rozmieszczanie czujników wodoru w pomieszczeniu, ponieważ akumulatory te nie wydzielają wodoru podczas normalnej pracy (w przeciwieństwie do akumulatorów z ogniwami mokrymi)
Akumulatory z ogniwami mokrymi w oddzielnym pomieszczeniu podlegają specjalnym wymaganiom prawnym
Wersja robocza przewodnika
IEEE/ASHRAE6
Czujniki ruchu
Pomiesz-czenie i rząd
Używane jeśli ograniczenia budżetowe nie pozwalają na instalację kamer cyfrowych, które stanowią najlepsze rozwiązanie (patrz Tabela 2)
Czujniki ruchu stanowią tańszą alternatywę dla cyfrowych kamer wideo, umożliwiając monitorowanie aktywności ludzkiej
Brak standardu przemysłowego
Przełączniki szaf Szafa
W centrach danych o wysokim ruchu przełączniki elektroniczne przy każdych drzwiach przednich i tylnych w celu umożliwienia sprawowania kontroli nad dostępem do pomieszczenia oraz ograniczenia dostępu do określonych osób i w określonych godzinach
Może być pożądana integracja przełączników szaf z systemem budynku. Można to osiągnąć za pośrednictwem interfejsu komunikacyjnego
HIPPA i Sarbanes-Oxley
Czujniki drgań Szafa
W centrach danych o wysokim ruchu czujniki drgań w każde szafie w celu wykrywania przypadków nieuprawnionej instalacji lub demontażu urządzeń o znaczeniu krytycznym.
Czujniki wibracji w każdej szafie mogą także służyć do wykrywania przypadków przenoszenia szafy.
Brak standardu przemysłowego
Czujniki zbicia szkła
Pomiesz-czenie
Czujniki zbicia szkła na wszystkich oknach centrum danych (zarówno na oknach zewnętrznych, jak i na wewnętrznych, które wychodzą na hol lub pomieszczenie).
Najlepsze rezultaty w połączeniu z kamerami przemysłowymi.
Brak standardu przemysłowego
6 IEEE/ASHRAE, „Guide for the Ventilation and Thermal Management of Stationary Battery Installations”, wersja robocza przygotowana w celu przegłosowania w późniejszym okresie 2006 roku
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
10
Zbieranie danych z czujników Kolejnym krokiem po wybraniu i rozmieszczeniu czujników jest gromadzenie i analizowanie danych
odbieranych przez czujniki. Zamiast przesyłać wszystkie dane z czujników bezpośrednio do centralnego
punktu gromadzenia danych, zwykle lepiej jest utworzyć punkty zbiorcze (agregatory) rozmieszczone
w centrum danych, które zapewniają możliwości alarmowania i powiadamiania dla każdego takiego punktu.
Takie rozwiązanie pozwala nie tylko wyeliminować ryzyko awarii pojedynczego, centralnego punktu
gromadzenia danych, ale zapewnia także możliwość monitorowania zdalnych serwerowni i pomieszczeń
telekomunikacyjnych bezpośrednio na miejscu.7 Agregatory komunikują się z centralnym systemem
monitorowania za pośrednictwem sieci IP (Rysunek 2).
Rysunek 2 – Zbieranie danych z czujników
Poszczególne czujniki nie są zwykle podłączone bezpośrednio do sieci IP. Agregatory interpretują dane
z czujników i wysyłają alarmy do systemu centralnego i/lub bezpośrednio do listy powiadamiania
(patrz następny punkt). Taka rozproszona architektura monitorowania znacząco obniża liczbę wymaganych
połączeń sieciowych, a także pozwala zredukować ogólny koszt systemu i nakłady związane
z zarządzaniem. Agregatory są zwykle przypisane do fizycznych obszarów w centrum danych i zbierają
dane z czujników znajdujących się na ograniczonym obszarze, aby uprościć ich okablowanie.
7 Ta architektura wielu agregatorów, z których każdy dysponuje możliwościami alarmowania i powiadamiania dla każdego obsługiwanego czujnika, jest czasami nazywana „rozproszoną inteligencją na krawędzi”.
Agregator
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
11
„Inteligentne” działanie Czujniki dostarczają dane surowe, ale równie ważne jest interpretowanie tych danych w celu alarmowania,
powiadamiania i rozwiązywania problemów. Ponieważ strategie monitorowania stają się coraz bardziej
zaawansowane, a w poprawnie monitorowanych centrach danych pojawia się coraz więcej czujników,
bardzo ważną kwestią staje się „inteligentne” przetwarzanie tej potencjalnie dużej ilości danych. Najbardziej
efektywną metodą gromadzenia i analizowania danych z czujników oraz podejmowania odpowiednich
działań jest zastosowanie agregatorów, które przedstawiono w poprzednim punkcie.
Bardzo ważna jest możliwość filtrowania, korelacji i oceniania danych w celu ustalenia najlepszego sposobu
postępowania w przypadku wystąpienia zdarzenia przekroczenia wartości granicznych. Skuteczne działanie
oznacza zaalarmowanie właściwych osób przy użyciu właściwej metody i z dostarczeniem właściwych
informacji. Działanie jest podejmowane na jeden z trzech sposobów:
• Alarmowanie w przypadku sytuacji przekroczenia wartości granicznych, które mogłyby
zagrozić poszczególnym urządzeniom, szafom lub całemu centrum danych.
• Automatyczne działanie na podstawie określonych alarmów i progów.
• Analiza i raportowanie w celu umożliwienia dokonania ulepszeń, optymalizacji i pomiarów awarii.
Alarmowanie Podczas ustawiania alarmów należy określić trzy elementy: progi alarmowe – wartości, przy których
powinny zostać wywołane alarmy; metody alarmowania – sposób wysyłania alarmu i osoba docelowa;
przekazywanie odpowiedzialności – określenie, czy pewne typy alarmów wymagają innego poziomu
odpowiedzialności w celu rozwiązania problemu?
Progi alarmowe – dla każdego czujnika należy ustalić akceptowalne warunki robocze, a następnie
skonfigurować progi, po przekroczeniu których zostaną wygenerowane alarmy. Najlepiej, gdyby system
monitorowania miał możliwość konfigurowania kilku progów dla czujnika i zapewniał alarmowanie na
poziomie informacyjnym, ostrzeżenia, krytycznym i awarii. Oprócz progów w postaci pojedynczych wartości
powinny być także dostępne warunki alarmowe, takie jak przekroczenie progu przez określony czas,
szybkość przyrostu lub szybkość spadku. W przypadku temperatury alarmowanie o szybkości zmiany
wartości zapewnia szybszą sygnalizację awarii niż monitorowanie chwilowej wartości temperatury.
Progi należy ustawiać starannie, aby zapewnić ich maksymalną przydatność. Mogą być dostępne różne
progi, które powodują zgłoszenie innych alarmów w zależności od ważności zdarzenia. Na przykład
zdarzenie przekroczenia progu wilgotności może powodować wysłanie wiadomości e-mail do administratora
IT, podczas gdy czujnik dymu może automatycznie alarmować straż pożarną. Podobnie, poszczególne
poziomy progów mogą powodować wybranie innej ścieżki przekazywania odpowiedzialności. Na przykład
zdarzenie nieuprawnionego dostępu do szafy może zostać przekazane do administratora IT, podczas gdy
zdarzenie siłowego wtargnięcia może zostać zgłoszone dyrektorowi działu IT.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
12
Progom należy globalnie ustawić wartości domyślne, a następnie dostrajać indywidualnie na podstawie
specyfikacji sprzętu IT i miejsca zamontowania czujnika w stosunku do położenia sprzętu (na przykład
czujnik znajdujący się w pobliżu zasilacza serwera powinien wyzwalać alarm przy wyższej wartości niż
czujnik umieszczony w pobliżu wlotu powietrza do serwera). Tabela 4 przedstawia zalecane domyślne
progi dla temperatury i wilgotności na podstawie normy ASHRAE TC9.9. Poza tymi parametrami, ważne
jest również monitorowanie szybkości zmiany temperatury. Zmiana temperatury z szybkością 5,6°C w ciągu
5 minut wskazuje na prawdopodobną awarię klimatyzatora CRAC.
Tabela 4 – Zalecane progi dla czujników temperatury i wilgotności8
Czujnik Próg wysoki Próg niski Temperatura powietrza 25°C 20°C
Wilgotność 55% wilgotności względnej 40% wilgotności względnej
Metody alarmowania – informacje o alarmach można przekazywać na wiele sposobów, na przykład
za pośrednictwem poczty elektronicznej, wiadomości tekstowych SMS, pułapek SNMP i wiadomości
wysyłanych do serwerów HTTP. Ważne jest, aby systemy alarmowania były elastyczne i konfigurowalne,
żeby możliwe było pomyślne dostarczenie właściwej ilości informacji do wyznaczonego odbiorcy.
Powiadomienia o alarmach powinny zawierać takie informacje, jak zdefiniowana przez użytkownika nazwa
czujnika, lokalizacja czujnika oraz data i godzina alarmu.
Przekazywanie odpowiedzialności – niektóre alarmy wymagają natychmiastowej uwagi. Inteligentny
system monitorowania powinien mieć możliwość przekazania konkretnych alarmów do osób na wyższym
poziomie w hierarchii, jeśli problem nie zostanie rozwiązany w określonym czasie. Przekazywanie
odpowiedzialności umożliwia rozwiązywanie problemów w odpowiednim czasie – zanim małe problemy
staną się dużym kłopotem.
Poniżej przedstawiono kilka przykładów przydatnych i mniej przydatnych alarmów:
Próg przekroczony przez czujnik temperatury nr 48 – alarm nie jest bardzo przydatny, ponieważ nie
wskazuje lokalizacji czujnika nr 48.
Serwer internetowy X jest zagrożony przegrzaniem – ten alarm jest bardziej przydatny, ponieważ
identyfikuje konkretny serwer.
Czujnik drzwi został uaktywniony – alarm nie jest bardzo przydatny, ponieważ nie zidentyfikowano
konkretnych drzwi.
8 ASHRAE TC9.9 — zalecenie dla środowisk klasy 1, które są kontrolowane najdokładniej i są najbardziej odpowiednie dla centrów danych wykonujących operacje o znaczeniu krytycznym.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
13
Drzwi X w lokalizacji Y zostały otwarte i zarejestrowano zdjęcie osoby otwierającej drzwi – alarm
jest bardzo przydatny, ponieważ identyfikuje drzwi i ich położenie oraz zawiera zdjęcie zdarzenia.
Podejmowanie działań na podstawie danych Gromadzenie danych z czujników to dopiero pierwszy krok. Jeśli kierownik centrum danych opiera się tylko
na ręcznych reakcjach, dane nie zostaną maksymalnie wykorzystane. Dostępne są systemy, które
automatycznie podejmują działania na podstawie określonych przez użytkownika alarmów i progów.
Aby wdrożyć taki „inteligentny” system automatyzacji, należy rozważyć następujące kwestie:
Akcje alarmu – na podstawie poziomu ważności alarmu należy określić, jakie automatyczne działania mają
zostać podjęte. Te automatyczne działania mogą mieć postać powiadomień personelu lub działań
zaradczych, takich jak wyzwalanie styków bezpotencjałowych w celu włączenia lub wyłączenia urządzeń
(na przykład wentylatorów lub pomp).
Ciągła widoczność danych czujnika w czasie rzeczywistym – możliwość wyświetlenia chwilowych
odczytów czujników stanowi podstawowy wymóg. Znacznie lepszy obraz sytuacji można jednak uzyskać
przez wyświetlanie trendów czujnika w czasie rzeczywistym. Interpretacja takich trendów pozwala
administratorom na wykrywanie problemów o szerszym zasięgu oraz korelację danych z wielu czujników.
Systemy alarmowania powinny zapewniać więcej możliwości niż tylko podstawowe powiadomienia
o przekroczeniu progu. Na przykład niektóre systemy monitorowania pozwalają administratorom dołączać
do alarmów dodatkowe dane. Może to być przechwycony obraz wideo, zarejestrowany dźwięk, wykres lub
mapa. Rozbudowany system alarmowania tego typu na podstawie danych kontekstowych dostępnych wraz
z alarmem umożliwia administratorom podejmowanie bardziej świadomych decyzji. W niektórych
przypadkach może być konieczne filtrowanie danych w celu dostarczania jedynie przydatnych informacji.
Na przykład w centrum danych o wysokim ruchu nie ma sensu zgłaszanie alarmu przy każdym wykryciu
ruchu w pomieszczeniu. Występują także przypadki, w których niektóre informacje są blokowane lub
ukrywane ze względów bezpieczeństwa. Na przykład w nagraniach wideo z widokiem klawiatury mogą być
blokowane sceny z użytkownikami wpisującymi hasła.
Poniżej przedstawiono przykłady inteligentnej interpretacji i podejmowanych działań:
• Po przekroczeniu progu temperatury włącz automatycznie wentylator lub klimatyzator CRAC.
• Zdalnie zezwalaj na dostęp do określonych szaf z elektronicznymi blokadami drzwi na
podstawie twarzy widocznych w systemie telewizji przemysłowej czasu rzeczywistego.
• Po wykryciu wody w zdalnym centrum danych automatycznie włącz pompę ściekową.
• Po wykryciu ruchu w centrum danych po normalnych godzinach pracy włącz automatycznie
zapis obrazu wideo i powiadom strażników.
• Po wykryciu zbitego szkła po godzinach pracy powiadom strażników i włącz alarm dźwiękowy.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
14
• Kiedy przełącznik drzwi wskazuje, że drzwi szafy pozostają otwarte przez ponad 30 minut
(co oznacza, że nie zostały poprawnie zamknięte), wyślij alarm do administratora w celu
sprawdzenia drzwi.
Analiza i raportowanie Inteligentne systemy monitorowania powinny oferować funkcję śledzenia nie tylko trendów danych
czujników z krótkiego okresu, ale także danych historycznych z długiego okresu. Najlepsze w swojej
klasie systemy monitorowania powinny mieć dostęp do danych odczytanych z czujników przed tygodniami,
miesiącami, a nawet latami, jak również zapewniać możliwość tworzenia wykresów i raportów. Wykresy
powinny umożliwiać przedstawienie w tym samym raporcie danych z różnych typów czujników w celu
przeprowadzenia porównania i analizy. Raporty powinny przedstawiać niskie, wysokie i średnie wartości
dla różnych grup czujników w wybranym przedziale czasu.
Długoterminowe, historyczne dane z czujników mogą być używane na różne sposoby, na przykład w celu
pokazania, że centrum danych osiągnęło maksymalną dopuszczalną moc nie ze względu na przestrzeń
fizyczną, ale z powodu niewystarczającego chłodzenia. Takie informacje mogą posłużyć do ekstrapolacji
przyszłych trendów pod kątem kolejnych urządzeń dodawanych do centrum danych. Dzięki tym danym
można przewidzieć, kiedy centrum danych osiągnie maksymalną dopuszczalną moc. Analiza trendów
długoterminowych może być wykonywana na poziomie szafy w celu porównania ilości ciepła generowanego
przez urządzenia różnych producentów w poszczególnych szafach. Może to wpłynąć na zakupy
dokonywane w przyszłości.
System monitorowania powinien zapewniać możliwość wyeksportowania zarejestrowanych odczytów
z czujników do standardowych formatów, co pozwoliłoby na wykorzystanie danych zarówno w gotowych,
jak i we własnych programach do raportowania i analizy.
Metoda projektowania Choć specyfikacja i projekt systemu monitorowania zagrożeń mogą wydawać się skomplikowane, możliwe
jest zautomatyzowanie całego procesu przy użyciu narzędzi do projektowania centrum danych, takich jak
InfraStruXure Designer firmy APC. Tego typu narzędzia do projektowania umożliwiają wprowadzenie przez
użytkownika prostej listy preferencji, a następnie automatycznie rozmieszczają odpowiednią liczbę
czujników i urządzeń zbierających dane. Raporty podsumowania zawierają listę części i instrukcje instalacji
dla zalecanych czujników. Takie narzędzia do projektowania centrum danych używają algorytmów i reguł
ustalonych na podstawie najlepszych rozwiązań i standardów przemysłowych w celu zarekomendowania
konkretnych konfiguracji, które są oparte na gęstości, układzie pomieszczenia, zasadach dostępu do
pomieszczenia i określonych przez użytkownika wymaganiach odnośnie monitorowania.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
15
Na przykład poniższe preferencje określone przez użytkownika mogą wpłynąć na projekt systemu
monitorowania zagrożeń oparty na poziomie ruchu w centrum danych oraz dostępie do niego:
Duży ruch/dostęp – jeśli centrum danych jest odwiedzane przez wiele osób, z których każda
korzysta z innych aplikacji i funkcji centrum danych, narzędzie do projektowania zasugeruje użycie
przełączników szaf dla każdej szafy. W ten sposób dostęp do poszczególnych szaf będą miały
tylko właściwe osoby.
Mały ruch/dostęp – jeśli centrum danych jest odwiedzane przez wybraną grupę osób, z których
każda jest odpowiedzialna za wszystkie funkcje centrum danych, narzędzie do projektowania nie
zasugeruje użycia przełączników szaf w celu kontroli dostępu do poszczególnych szaf. W takim
przypadku wystarczy użycie przełącznika drzwi pomieszczenia, aby ograniczyć dostęp innych osób
do tego pomieszczenia.
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
16
Przykładowe rozmieszczenie czujników Przykładowy układ centrum danych przedstawiono na Rysunku 3, który pokazuje położenie urządzeń
monitorujących określone na podstawie najlepszych rozwiązań, które omówiono w niniejszym dokumencie.
Rysunek 3 – Przykładowe rozmieszczenie czujników
Wniosek Ochrona przed rozproszonymi zagrożeniami fizycznymi stanowi ważny element kompleksowej strategii
zabezpieczeń. Chociaż określenie metodologii i rozmieszczenie czujników wymaga dokonania oceny
sytuacji, podjęcia decyzji i wykonania projektu, to dostępne są najlepsze rozwiązania i narzędzia
projektowania, które pomagają w efektywnej instalacji czujników.
Poza ustaleniem właściwego typu, lokalizacji i liczby czujników, należy także wdrożyć odpowiednie systemy
oprogramowania w celu zarządzania zgromadzonymi danymi i zapewnienia funkcji rejestrowania, analizy
trendów, inteligentnych powiadomień o alarmach i automatycznych działań naprawczych, jeśli są dostępne.
Zrozumienie technik monitorowania rozproszonych zagrożeń fizycznych pozwoli administratorowi IT
wypełnić krytyczne luki w ogólnych zabezpieczeniach centrum danych, a także zachować bezpieczeństwo
fizyczne wraz ze zmieniającą się infrastrukturą centrum danych i celami w zakresie dostępności.
Kabl. czuj. nieszcz. wokół syst. CRAC i zesp. CDU (pod podłogą podniesioną, jeśli istnieje)
Dodatkowy czujnik dymu w każdej szafie
Strategicznie rozmieszczone cyfrowe kamery wideo w celu monitorowania krytycznych
obszarów
Czujnik otwarcia drzwi
Czujnik zbicia szkła Trzy czujniki temperatury w górnej, środkowej i dolnej części przedniej
powierzchni szafy
Czujnik wilgotności w środku każdego rzędu Drzwi
Czujnik otwarcia drzwi dla każdej szafy Okno
PRZEJŚCIE ZIMNEGO
POWIETRZA
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
1 Wilg. 3 Temp.
CR
AC
CR
AC
Listwa zasilająca
ZasilaczUPS Akum.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
3 Temp.
Szafa
1 Wilg. 3 Temp.
CR
AC
CR
AC
ZasilaczUPS
Akum.
Powierzchnia tylnaszafy
Powierzchnia czołowa szafy
Zespół CDU Zespół dystrybucji
chłodzenia
Powierzchnia tylnaszafy
Powierzchnia czołowa szafy
Listwa zasilająca
PRZEJŚCIE ZIMNEGO
POWIETRZA
PRZEJŚCIE ZIMNEGO
POWIETRZA
PRZEJŚCIE CIEPŁEGO
POWIETRZA
PRZEJŚCIE CIEPŁEGO
POWIETRZA
PRZEJŚCIE ZIMNEGO
POWIETRZA
©2006 American Power Conversion. Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie może być używana, reprodukowana, fotokopiowana, transmitowana ani zapisywana w jakimkolwiek systemie przechowywania informacji bez pisemnej zgody właściciela praw autorskich. www.apc.com Wer. 2006-0
17
O autorach Christian Cowan jest kierownikiem linii produktów firmy APC związanych ze środowiskiem i
bezpieczeństwem. Pracuje w branży IT i NCPI od 15 lat i jest członkiem organizacji IEEE. Uzyskał tytuł
inżyniera o specjalności elektrotechnika na uniwersytecie Villanova i ukończył studia MBA na uniwersytecie
Rhode Island.
Chris Gaskins od 15 lat pracuje w branży technologicznej, zajmując różne stanowiska w działach
inżynieryjnych, zarządzania produktami i pomocy technicznej. Jego doświadczenia techniczne obejmują
pracę z serwerami PC, zarządzanie systemami i siecią, a także bezpieczeństwo cyfrowe i fizyczne. Obecnie
jest w firmie APC kierownikiem linii produktów związanych ze środowiskiem i bezpieczeństwem, która
obejmuje linię produktów NetBotz. Wcześniej Chris zajmował stanowisko wiceprezesa ds. technicznych
w firmie AppGate, Inc., gdzie kierował zespołem inżynierów projektujących systemy VPN warstwy aplikacji.
Tytuł inżyniera informatyki uzyskał na uczelni Berry College w Rome w stanie Georgia.