Für das erfolgreiche Management der netzwerkkritischen, physischen Infrastruktur, kurz: NCPI, gelten die gleichen Kriterien wie für das Management von Servern, Storage, Switches oder Druckern. Gemäß der IT-Infrasturcture-Library-Prozesse (ITIL) für Service Support und Service Delivery sind folgende vier Bereiche für die grundlegende Technologie- und Sicherheitsebene zu etablieren:
-
Krisenmanagement (Incident)
-
Verfügbarkeitsmanagement (Availability)
-
Kapazitätsmanagement (Capacity)
-
Änderungsmanagement (Change)
Die meisten Unternehmen implementieren diese vier Managementbereiche in der hier gezeigten Reihenfolge. Sie gehen davon aus, dass die damit verbundene physikalische Sicherheit damit abgedeckt ist. Allerdings sieht in den meisten Fällen die Praxis anders aus, denn viele unentdeckte Design- und andere Schwachstellen können oft zu unternehmenskritischen Folgen führen.
Die allgemeine und besonders die physikalische Sicherheit von Server-Räumen sollte daher regelmäßig, mindestens aber alle zwei bis drei Jahre gründlich überprüft werden. Wir geben Ihnen Tipps worauf sie grundsätzlich achten müssen.
Wenn Sie sich für Klimatisierung in Server-Räumen interessieren, finden Sie in dem Artikel Hitzefrei in den Server-Räumen! weitere Informationen. Weitere Details zur Hochverfügbarkeit erfahren Sie in dem Beitrag Grundlagen der Hochverfügbarkeit. Mehr Berichte, wie Sie mögliche Gefahren im Unternehmen vermeiden, finden Sie in dem Artikel IT-Risikomanagement bietet Chancen.
Die vier Ebenen des Sicherheitsmanagements
Das Krisenmanagement gewährleistet ein kontinuierliches Monitoring aller ausfallkritischen Bereiche, also der gesamten NCPI. Im Falle einer Krise setzt ein so genanntes Incident-Managementsystem ein, das, bestimmten Algorithmen folgend, Benachrichtigungsfunktionen ausführt oder Gegenmaßnahmen einleitet.
Aufgabe des Verfügbarkeitsmanagements ist es unter anderem, einen kontinuierlichen Soll-/Ist-Vergleich der aktuellen Performance-Werte sicherzustellen, um beispielsweise die Kühlungsparameter zu verändern. Voraussetzung hierfür ist die genaue Kenntnis der Ausfallsrelevanz sämtlicher NCPI-Komponenten.
Das Kapazitätsmanagement sorgt dafür, dass die erforderlichen IT-Ressourcen flexibel und skalierbar zur richtigen Zeit und zu den anvisierten Kosten bereitstehen. Als IT-Ressourcen gelten dabei insbesondere Stromversorgung, Kühlung, Rack-Kapazitäten und Verkabelung.
Das Änderungsmanagement berücksichtigt schließlich alle die Servicequalität beeinflussenden Systemmodifikationen, wie zum Beispiel Firmware-Updates einzelner NCPI-Komponenten oder Wartungsarbeiten im laufenden Betrieb.
Physikalische Bedrohungen in Server-Räumen
Bedrohungen für die Servicequalität innerhalb der NCPI sind entweder digitaler oder physikalischer Natur. Während digitale Bedrohungen wie Hackerangriffe oder Virenattacken auf der Netzwerkebene wirken, setzen die physikalischen Bedrohungen an der Basis der Datencenterabsicherung an.
Zu ihnen zählen sowohl äußere Sicherheitsbedrohungen wie Diebstahl, Spionage, Sabotage oder Feuer als auch infrastrukturelle beziehungsweise technische Bedrohungen. Die Absicherung dieser so genannten verteilten physikalischen Bedrohungen erfolgt einerseits durch integrierte Sensoren innerhalb der Einzelkomponenten wie USV-Module oder Kühlungseinheiten, andererseits durch zusätzliche Sensoren, die innerhalb des Datencenters platziert werden.
Die nachfolgende Tabelle zeigt die verschiedenen Bedrohungen, Folgeschäden und entsprechende Sensortypen.
|
Bedrohung |
Definition |
Folgeschäden |
Sensortypen |
|---|---|---|---|
|
Lufttemperatur |
Lufttemperatur in Räumen, Racks und Geräten |
Geräteausfälle und kürzere Lebensdauer durch Überhitzung und / oder zu starke Temperaturschwankungen |
Temperatursensoren |
|
Luftfeuchtigkeit |
Relative Luftfeuchte in Räumen und den Racks |
Geräteausfälle durch starke statische Ladungen an Punkten mit niedriger Luftfeuchtigkeit, Kondensation an Punkten mit hoher Luftfeuchtigkeit |
Feuchtigkeitssensoren |
|
Flüssigkeitslecks |
Lecks in Kühlkreisläufen |
Flüssigkeitsschäden an Boden, Geräten, Verkabelung, Hinweis auf fehlerhafte Klimaeinheit |
Lecksensoren |
|
Bedienungsfehler / unautorisierter Zugriff |
Unbeabsichtigte Fehlbedienung durch Personal, unautorisierter oder gewaltsamer Zugang mit Schadensabsicht |
Geräteschäden und ausfälle, Datenverlust, Diebstahl und Sabotage |
Digitale Videokameras, Bewegungsmelder, Öffnungssensoren für Rack- und Raumtüren, Glasbruchsensoren, Vibrationssensoren |
|
Rauch / Feuer |
Elektrisches oder konventionelles Feuer |
Geräteausfälle, Verlust von Daten und Ausstattung |
Rauchsensoren |
|
Kritische Luftverschmutzung |
Flüchtige Chemikalien, z. B. Wasserstoff aus Batterien oder Partikel (Staub) |
Bedrohungen für das Personal und/oder Beeinträchtigung der USV-Absicherung durch den Austritt von Wasserstoff, Geräteausfälle aufgrund von erhöhter statischer Elektrizität und durch Partikel verstopften Filtern/Lüftern |
Chemikalien- / Wasserstoffsensoren Staubsensoren |
Gefahrenquelle: Server-Kühlung
Eine zunehmende Aufmerksamkeit erfährt das Thema Kühlung. Die lokale Überhitzung des Datencenters zählt zu den am häufigsten unterschätzten Verfügbarkeitsrisiken. Das gilt insbesondere in dicht gepackten 19-Zoll-Schränken. Die Substitution älterer Server durch raumoptimierte Modelle und die dichtere Bestückung der Racks bewirken immer stärkere Abwärmekonzentrationen in den Racks und Server-Räumen.
Dieser Trend wird durch das unablässig steigende Datenaufkommen noch verstärkt. Bis zum Jahr 2010 werden weltweit 35 Millionen Server in Betrieb sein, prognostiziert das Marktforschungsunternehmen IDC. Heute sind es 24 Millionen. Wo vor zehn Jahren noch sieben Server pro Rack untergebracht waren, drängen sich heute 20 oder mehr. Bis 2007 soll bereits jeder dritte ausgelieferte Server ein Blade-Server sein. Der anhaltende Trend zur Serverkonsolidierung katapultiert die erforderliche Kühlleistung mühelos auf über 20 kW gegenüber den bislang üblichen Werten von etwa 2 bis 5 kW.
Da traditionelle Klimaanlagen mit diesen „neuen“ Anforderungen technisch und leistungsmäßig nicht mehr Schritt halten können und die Verfügbarkeit oftmals völlig unbemerkt auf ein kritisches Niveau reduziert wird, erfahren heute integrierte Kühlungsarchitekturen eine immer stärkere Nachfrage.
IP-basiertes Monitoring und Management
Die Gesamtabsicherung von Datencentern und Server-Räumen ist so stark wie ihr schwächstes Glied. Eine durchgängige Überwachungs- beziehungsweise Managementlösung muss folglich die gesamte NCPI abdecken. Darüber hinaus bietet sie standardisierte Schnittstellen, um die Absicherung bedarfsabhängig auf noch nicht berücksichtige Bedrohungen ausweiten oder das Schutzniveau in bestimmten Bereichen erhöhen zu können.
Ein weiterer Vorteil zentraler Überwachungseinheiten ist der konzentrierte Web-basierte Zugriff. Über nur eine IP-Adresse lassen sich alle sicherheits- und ausfallsrelevanten Informationen mittels Webbrowser und IP-Protokoll abrufen. In den Racks installierte Stromverteiler (Power Distribution Units, kurz: PDUs) und so genannte Environmental Monitoring Units (EMUs) liefern dabei gemeinsam die Datenbasis zur Überwachung sämtlicher ausfallkritischer Parameter, wie Luftfeuchtigkeit im Raum oder Last- und Temperaturverteilungen innerhalb des Datencenters.
So bieten die meisten Server-Raum-Infrastrukturkonzepte neben der Überwachungsfunktion auch umfassende Analyse-, Alarm- und Steuerungsfunktionen im Hinblick auf ein ganzheitliches, standortübergreifendes Management. Grafisch aufbereitete Stromflussdiagramme zeigen Probleme an, noch ehe sie auftreten. Anhand zuvor festgelegter Schwellenwerte können sich IT- oder Facility-Manager automatisch über drohende Ausfälle informieren lassen. Als Benachrichtigungsoptionen stehen dabei E-Mail, SNMP Traps oder externe Dienste wie zum Beispiel SMS auf das Mobiltelefon, zur Auswahl.
Flexibles Sicherheitsmanagement erhöht die Gesamtverfügbarkeit
Die Voraussetzung für die zentrale Administrationsfähigkeit verteilter Infrastrukturen gelingt aber nur optimal über die Standardisierung der Einzelkomponenten innerhalb des Gesamtkonzeptes. Das Zusammenspiel der Komponenten gestattet beispielsweise das Management kompletter Datencenter oder im Unternehmen verteilter Einzel-USV-Systeme.
Laut einer Umfrage unter IT-Managern gehen rund 60 Prozent aller Datencenterausfälle auf menschliche Fehlbedienung zurück. Mithilfe eines optionalen Incident-Management-Moduls, das im Falle einer Störung oder Abweichungen von Soll-Werten Empfehlungen zur Fehlerbeseitigung abgibt, lassen sich solche Fehlbedienungen zugunsten der Gesamtverfügbarkeit reduzieren. Zusätzlich reduzieren sich die unternehmensweiten Administrations- und Wartungskosten innerhalb der gesamten NCPI.
Weitere Einsparpotenziale und Fehlervermeidungen ergeben sich durch eine mögliche Integration in vorhandene Netzwerk- und Gebäudemanagementsysteme und der damit verbundenen Schnittstellenreduzierung. Die technische Umsetzung erfolgt via SNMP-Traps (Ereignisse), die an das bevorzugte Unternehmensverwaltungssystem weitergeleitet werden.
Absicherung des zentralen Managements
Trotz aller Vorteile, die das zentrale Management der NCPI bietet, darf nicht übersehen werden, dass aus der Verbindung zur Netzwerkebene letztendlich auch digitale Bedrohungen für die unterste Sicherheitsebene entstehen.
Die Einschränkung des Zugriffs bildet daher eine Grundvoraussetzung für das sichere NCPI-Management, nebst Grundelementen der Netzwerkabsicherung, wie die saubere Trennung von Intra- und Internet mit Hilfe von Firewalls oder DMZ. Bei der Zugriffsbeschränkung und -steuerung gilt es zwei gesonderte Aspekte zu beachten: die Authentifizierung und die Geheimhaltung (Verschlüsselung).
Die folgende Tabelle gibt einen Überblick über die wichtigsten Authentifizierungsprotokolle, deren Eigenschaften und Verwendungszwecke.
|
Protokoll |
Funktionen |
Verwendung |
|
Benutzername / Kennwort |
Klartext, gespeichertes Token |
Telnet, HTTP |
|
CHAP (Challenge Handshake Authentication Protocol) |
Verwendet Zerstückelung von Kennwörtern und zeitlich variierende Daten, um eine direkte Kennwortübertragung zu vermeiden. |
MS-CHAP, PPP, APC HTTP, Radius |
|
RADIUS |
CHAP oder direkte Kennwörter, Autorisierungs- und Kontoführungsverfahren |
Back-End für Telnet, SSH, SSL, Front-End für Microsoft IAS Server. Typische zentrale Authentifizierungsmethode für Netzwerkgeräte |
|
TACACS+ |
Authentifizierung, Autorisierung, Kontoführung, volle Verschlüsselungsunterstützung |
Cisco-Protokoll, zentrale Authentifizierung, RAS (Remote Access Service) |
|
Kerberos |
Dienstauthentifizierung und -autorisierung, volle Verschlüsselung |
Kerberos-Anwendungen wie Telnet, Microsoft Domänenauthentifizierungsdienst integriert in Active Directory |
In der nachfolgenden Tabelle finden sich die wichtigsten Kryptographie-Algorithmen, die in Verbindung mit den gängigen Übertragungsprotokollen SSH, SSL und TLS verwendet werden.
|
Algorithmus |
Primäre Verwendung |
Verwendung in Protokollen |
|
DES |
Verschlüsselung |
SSH, SNMPv3, SSL / TLS |
|
3DES |
Verschlüsselung |
SSH, SNMPv3, SSL / TLS |
|
RC4 |
Verschlüsselung |
SSL / TLS |
|
Blowfish |
Verschlüsselung |
SSH |
|
AES |
Verschlüsselung |
SSH, SSL / TLS |
|
MD5 |
Zerstückelung, Nachrichtenauthentifizierungs-Codes |
SSH, SNMPv3, SSL / TLS |
|
SHA |
Zerstückelung, Nachrichtenauthentifizierungs-Codes |
SSH, SNMPv3, SSL / TLS |
Sicherheitsprotokolle
Das Client-Server-Protokoll Secure Shell (SSH) wurde Mitte der 90er Jahre für den sicheren Remote-Zugriff auf Computerkonsolen oder Shells über ungeschützte oder nicht sichere Netzwerke entwickelt. Dabei werden Benutzer und Server authentifiziert, und der gesamte Datenverkehr zwischen Client und Server wird verschlüsselt.
Im Unterschied zum ursprünglich kommandozeilenbasierten SSH-Protokoll gelten die Protokolle SSL (Secure Socket Layer) und das Nachfolgeprotokoll TLS (Transport Layer Security) als Standardverfahren für die Sicherung des Webverkehrs und anderer Protokolle wie SMTP (E-Mail). SSL und SSH unterscheiden sich insbesondere bezüglich der integrierten Client- und Server-Authentifizierungsverfahren.
SSL wird auch als HTTPS (HTTP Secure) genutzt, um die Vorteile grafischer Benutzeroberflächen zu nutzen. Viele Managementapplikationen unterstützen bereits die wirksame Zugriffskontrolle über SSL-Browser- und SSH-Sitzungen. Vorhandene RADIUS-Server erlauben darüber hinaus die sichere Authentifizierung, Autorisierung und Verwaltung der Nutzer.
Ökonomische Aspekte der Sicherheit
Die unterschiedlichen Authentifizierungsstufen zur Absicherung des NCPI-Managements reichen von der Passwortabfrage über Smartcard-basierte Public-Key-Infrastructure (PKI)-Lösungen bis hin zu biometrischen Verfahren. Das Verhältnis von Nutzen und Aufwand bei der physischen Zugriffskontrolle entspricht dabei dem Verhältnis von Verfügbarkeit und Kosten und ist gründlich abzuwägen.
Eine Schlüsseleigenschaft modularer, integrierter und zentral zu verwaltender NCPI-Lösungen ist es, den jeweiligen Grad an Sicherheit zu leisten, der in der aktuellen Situation hinsichtlich Verfügbarkeit und Wirtschaftlichkeit vertretbar ist. Neben der Kapazität von Leistung und Kühlung wird damit letztendlich auch die Verfügbarkeit selbst skalierbar.
Fazit
Im Sinne der eingangs genannten vier grundlegenden IT-Infrastructure-Library (ITIL)-Prozessbereiche lässt sich eine bedarfsabhängige Flexibilität und Anpassung einer Sicherheitslösung für Server-Räume erreichen, ohne die Servicequalität zu gefährden. Beispiele für sinnvolle Ergänzungen des beschriebenen Lösungskonzeptes sind Designtools zur Konzeption von Datencentern, Batteriemanagementsysteme oder weiteres Zubehör zur Zugangskontrolle und Umgebungsüberwachung.
In jedem Falle sollte ein NCPI-Verwaltungsschema eine gegen digitale Bedrohungen abgesicherte zentrale Managementeinheit enthalten, welche die zahlreichen Datenknoten innerhalb der NCPI überwachen kann und sich bei Bedarf in vorhandene Managementsysteme integrieren lässt. (hal)
Der Autor Michael Schumacher ist Technischer Leiter bei APC-MGE Deutschland. Der Experte blickt auf eine zehnjährige Erfahrung im Bereich der technischen Beratung für hochverfügbare Datencenter zurück.