Certyfikaty TIER najlepszym dowodem na bezpieczeństwo Data Center?

bezpieczeństwo
Data Center
Krzysztof Surgut
12.10.2017 Krzysztof Surgut

Czym jest certyfikacja?


Zgodnie z definicją, certyfikacja – to zbiór określonych postępowań, w których strona trzecia, pisemnie potwierdza (w formie certyfikatu), że dany produkt czy usługa spełnia określone wymagania. Problem poświadczenia umiejętności jest tak stary jak cywilizacja. Już w średniowieczu istniał cały kodeks – stworzony przez różne cechy rzemieślników (piekarzy, piwowarów, szewców) – który określał kto może posługiwać się mianem mistrza danego cechu. W ramach tego kodeksu przewidziana była cała ścieżka edukacyjna, począwszy od pomocnika, przez czeladnika, skończywszy na egzaminie mistrzowskim. Obecnie rolę cechów rzemieślniczych przejęły różnego rodzaju organizacje, specjalizujące się w tworzeniu kodeksów dobrych praktyk, oraz weryfikujących spełnienie tych praktyk przez konkretne firmy. Również DataCenter posiadają swego rodzaju kodeks, zgodnie z którym określa się stan przygotowania technicznego DataCenter. W ramach takiego kodeksu ustalono 4 poziomy określające niezawodność (podatność na awarie) datacenter – poziomy te określane są nazwą TIER 1, TIER 2, TIER 3, TIER 4.

Certyfikaty TIER a data center


W zakresie data center sprawdzeniu i zakwalifikowaniu do poziomu TIER podlegają praktycznie wszystkie ważne systemy centrum danych, począwszy od zasilania, poprzez systemy chłodzenia, systemy informatyczne, kończąc na sposobie powiązania z siecią Internet i detalami architektury ochrony dostępu czy systemów p.pożarowych. Po co wykonuje się certyfikację data center? Pierwszym, zasadniczym powodem jest fakt wynikający z definicji certyfikacji. Czyli zewnętrzna firma, która stworzyła kodeks dobrych praktyk i wymagań, dokonuje weryfikacji i przygotowania data center do spełnienia różnego typu kryteriów niezawodności. Tym samym poświadcza, że dany obiekt posiada wszelkie wyposażenie techniczne, strukturalne i organizacyjne, aby jego usługi działały z niezawodnością nie gorszą niż przyjęta dla danego poziomu TIER. Tego typu certyfikat pomaga wymagającym klientom dokonać wstępnej oceny gotowości technicznej obiektu do spełnienia ich oczekiwań. W rzeczywistości, najbardziej wymagający klienci, np. banki, firmy ubezpieczeniowe, duże platformy e-commerce, niezależnie od przyznanych certyfikatów, dokonują własnej weryfikacji gotowości technicznej data center. Najczęściej przeprowadzane są wówczas ukierunkowane audyty data center.

Dla mniej wymagających klientów certyfikat upewnia ich, że wybrali miejsce które technologicznie i organizacyjnie spełnia założone wymagania i mogą oczekiwać, że określone przez data center parametry techniczne, w zakresie niezawodności, są prawdziwe i nie stanowią jedynie haseł marketingowych. Wymóg posiadania certyfikatu, dość często stanowi jedno z kryteriów oceny obiektu/usługi w różnego rodzaju przetargach. Tym samym zamiast wpisywać w wymagania przetargowe dziesiątków szczegółowych wymagań, wystarczy w wymaganiach wskazać konkretny certyfikat. W ten sposób upraszcza się proces wyboru, a jednocześnie ujednolica się kwestię porównania ofert różnych oferentów.

Klasyfikacje TIER


W przypadku obiektów klasy data center przyjęto 4 poziomy klasyfikacyjne TIER: TIER 1, TIER 2, TIER 3, TIER 4. Czym różnią się poszczególne poziomy? Różnic jest bardzo wiele, ale najogólniej można każdy z tych poziomów scharakteryzować następująco:
TIER 1 – brak redundancji komponentów (np. pojedyncza linia zasilania, pojedynczy serwer usługowy, itd.) – poziom niezawodności: 99.671%.
TIER 2 – spełnia wymagania TIER 1 oraz posiada nadmiarowe komponenty (co zwiększa niezawodność) – poziom niezawodności: 99.741%.
TIER 3 – spełnia wymagania TIER1 + TIER 2 oraz posiada systemy ze zdublowanym zasilaniem oraz więcej niż jedno łącze internetowe – poziom niezawodności: 99.982%.
TIER 4 – spełnia wymagania TIER 1 + TIER 2 + TIER 3 oraz wszystkie komponenty są odporne na awarie (włączając w to systemy chłodzenia, serwery, itd.), a cały obiekt jest zasilany z dwóch niezależnych linii zasilających – poziom niezawodności: 99.995%.

Jednak sprawa certyfikacji nie jest aż tak prosta jak można to sobie wyobrażać. Na świecie istnieje więcej niż jedna firma, która stworzyła swój własny kodeks wymagań dla obiektów klasy data center. Najbardziej znane to:
Uptime Institute – organizacja skupiająca ekspertów w dziedzinie data center.
TIA – organizacja normalizująca, zrzeszająca ponad 1.100 firm z całego świata, akredytowana przez ANSI (instytucja ustalająca normy techniczne obowiązujące w USA).

Obie, wyżej wymienione organizacje, stworzyły własne katalogi wymogów, zgodnie z którymi kwalifikują każdy z obiektów klasy data center do odpowiedniej grupy. Wymogi obu organizacji różnią się w kwestii podejścia do problemu niezawodności.

Specyfikacja TIA ustanawia sztywne wymagania techniczne dotyczące gotowych wzorców w zakresie projektowania i konstruowania centrów danych. Uptime Institute swoje wymagania kreuje bardziej jako cele, które należy osiągnąć – nie narzucając przy tym zbyt dużej ilości konkretnych wymogów technicznej ich realizacji. Ponadto Uptime Institute stosuje dodatkowe kryteria oceny, w postaci ratingu określanego mianem: Gold, Silver i Bronze. Ten dodatkowy rating koncentruje się na praktykach operacyjnych danego data center i stanowi uzupełniającą informację w stosunku do samych poziomów TIER – które definiują i weryfikują jedynie część techniczną obiektu klasy data center.

Z uwagi na fakt, iż certyfikacja Uptime Institute jest mniej związana z konkretnymi wymaganiami i gotowymi rozwiązaniami w zakresie technicznym (co czasami narzuca konkretne rozwiązania małej grupy firm), tym samym częściej jest zapraszana do certyfikacji obiektów klasy data center. Dlatego skupimy się na wymaganiach i poziomach certyfikacji tej instytucji, ponieważ jest ona bardziej zróżnicowana i dokładniejsza w ocenie niż TIA.

Poziomy tworzenia obiektu klasy Data Center


Uptime Institute rozróżnia certyfikację na różnych poziomach tworzenia obiektu klasy data center. Pierwszym poziomem jest proces projektowy. Na tym poziomie ocenia się czy przyjęte założenia projektowe mają sens oraz w jaki sposób przełożą się na rzeczywistą niezawodność obiektu. W ten sposób możliwe jest zweryfikowanie przez inwestora, czy przyjęte założenia niezawodnościowe na etapie projektowania, dadzą praktyczny efekt po wybudowania obiektu.

Drugi poziom to proces konstrukcyjny. Na tym poziomie ocenia się czy zbudowany obiekt posiada niezbędne cechy i systemy, które zagwarantują spełnienie normy niezawodnościowej z danego poziomu TIER.

Trzeci poziom to proces organizacyjny. Na tym poziomie ocenia się czy ludzie pracujący w danym obiekcie klasy data center potrafią wykorzystać cały potencjał techniczny, technologiczny i organizacyjnych, aby utrzymać określony poziom niezawodności dla danego TIER.

Wymagania

Dla każdego z powyższych poziomów przyjmuje się konkretne wymagania, których spełnienie skutkuje przyznaniem certyfikatu danego poziomu TIER. Jednak spełnienie przez obiekt kryteriów TIER na poziomie projektowym, nie jest równoznaczne z klasyfikacją rzeczywistego obiektu do danego poziomu TIER. Dopiero weryfikacja tego poziomu, na istniejącym obiekcie pozwala przyznać certyfikat TIER dla poziomu konstrukcyjnego. Podobnie jest z poziomem organizacyjnym. Dlatego tak istotne jest zwracanie uwagi na fakt, którego z powyższych poziomów oceny dotyczy dany certyfikat klasyfikujący do kategorii TIER.

Certyfikacja TIER, realizowana przez Uptime Institute dotyczy także ludzi. W tym zakresie przewidziano cykl specjalizowanych szkoleń, które pozwalają zdobyć certyfikat w zakresie projektowania, budowania oraz organizacji pracy w obiektach klasy data center. W ten sposób tworzy się mechanizm weryfikujący czy zaangażowani ludzie, na każdym z etapów powstawania data center, posiadają odpowiednie kwalifikacje. Ten element szczególnie ważny jest dla inwestora, który płacąc za powstające data center, chce mieć pewność, że po zakończeniu każdego z etapów tworzenia obiektu data center – będzie on spełniał wymagania postawione na początku projektu.

Podsumowanie


Przy ocenie obiektu data center, który posiada certyfikat kwalifikujących do którejś z kategorii TIER, warto zwrócić uwagę na fakt, która instytucja dokonała certyfikacji. Ponadto warto zainteresować się na jakim poziomie tworzenia data center został przyznany certyfikat kwalifikacyjny TIER. Zdarza się, że firmy autoryzują certyfikatem TIER jedynie proces projektowy, natomiast nie certyfikują poziomów wyższych – konstrukcyjnego i organizacyjnego. Tym samym nie ma się pewności co do rzeczywistych podatności na awarię danego obiektu, a tym samym trudno jest jednoznacznie stwierdzić czy dane data center jest w stanie zmieścić się w reżimie niezawodnościowym, do którego się samo zakwalifikowało.

Warto też pamiętać, że posiadanie certyfikatu TIER w żaden sposób nie chroni przez awarią i nie gwarantuje spełnienia kryterium niezawodności. Certyfikat TIER to jedynie forma potwierdzenia, że dany obiekt ma bardzo duże szanse zmieścić się w zdefiniowanym reżimie niezawodności, bo reszta to już kwestia umiejętności, doświadczenia i przygotowania ludzi pracujących w data center, a nie procedur czy narzędzi.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Infrastruktura IT
Czym się różni Centrum Danych od serwerowni?
Bezpieczeństwo IT
Atak i ochrona przed DDOS