Por Shad Sechrist
En medio de la creciente preocupación por la ciberseguridad, la seguridad física de los centros de datos puede ser a veces un punto ciego. Sin embargo, con el aumento de los ataques a infraestructuras críticas, es fundamental que los responsables de los centros de datos les presten la atención que merecen.
La mejor forma de proteger físicamente su centro de datos es abordar la seguridad física del centro de datos por capas, basándose en múltiples niveles de control. Si se viola la primera capa de defensa, el atacante tiene que trabajar en la segunda. De este modo, a una persona no autorizada le resultará mucho más difícil acceder a su centro de datos.
He aquí cuatro capas a tener en cuenta en la estrategia de seguridad de su centro de datos.
- Seguridad del perímetro
La oportunidad de crear una primera línea de defensa se encuentra en el perímetro del edificio. Aunque no todas las amenazas comienzan aquí, algunas inevitablemente empezarán más allá de los muros del edificio.
El objetivo de la seguridad perimetral de los centros de datos es detectar posibles amenazas que puedan estar acercándose, retrasar el acceso a las instalaciones (o a los sistemas de servicios públicos) y disuadir a las partes no autorizadas de llegar a la puerta o a una zona o planta restringida.
Dependiendo de su emplazamiento, la seguridad perimetral puede adoptar muchas formas:
- Barreras altas que rodeen las instalaciones, como vallas antiescalada
- Paisajismo que proporcione vigilancia natural y cree barreras naturales
- Puertas de entrada con cerradura integradas con control de acceso
- Vallado perimetral con sensores que detectan el movimiento y envían alertas (sistemas de detección de intrusos)
- Vigilancia de alta definición para supervisar la actividad en torno a las instalaciones, incluidas las zonas de aparcamiento, los límites de la propiedad y los muelles; el análisis de vídeo integrado puede leer matrículas y enviar alertas sobre comportamientos o actividades inusuales.
- Iluminación exterior para reducir los posibles escondites
- Seguridad a nivel de edificio
Si un intruso es capaz de traspasar el perímetro y acercarse a sus instalaciones, la seguridad a nivel de edificio actúa como una segunda capa de defensa. Puede que lleguen a los muros exteriores o a las entradas, pero ¿podrán entrar?
Para restringir el acceso a sus instalaciones, la seguridad a nivel de edificio puede incluir acciones como:
- Reducción del número de puntos de entrada
- Sistemas de control de accesos con funciones antirretorno para permitir el paso de una sola persona a la vez.
- Sistemas de doble identificación (biométrica y tarjeta de identificación).
- Sistemas de gestión de visitantes que rastrean y controlan quién entra y sale, y a qué tienen acceso mientras están en las instalaciones.
- Guardias humanos que comprueban manualmente las identificaciones y permiten el acceso
- Una trampa que desbloquea una puerta de acceso sólo después de que la puerta de entrada a la trampa esté cerrada y bloqueada.
- Vigilancia de alta definición para controlar las entradas, los pasillos y los espacios públicos; el análisis de vídeo integrado puede ayudar con el reconocimiento facial.
Dentro de esta capa, es importante protegerse no sólo contra los malos actores, sino también contra las catástrofes naturales. Aunque este tema merece un debate aparte, es vital tener en cuenta los sistemas de detección de humo, los sistemas de detección de fugas de agua, los sistemas de repelencia de roedores y la supervisión remota de los sistemas de calefacción, ventilación y aire acondicionado. Todos ellos pueden ayudar a detectar problemas a tiempo, antes de que provoquen problemas en el centro de datos y tiempo de inactividad.
- Seguridad para el espacio en blanco y el espacio gris
Si una persona no autorizada accede a sus instalaciones, el siguiente paso es mantenerla alejada de su planta de producción: el espacio en blanco del centro de datos. Se trata de la zona dedicada a los equipos y la infraestructura de TI. Si una persona malintencionada entra en el espacio en blanco, tendrá acceso a los equipos de red, bastidores, servidores, distribución de energía y mucho más.
Esta capa de seguridad debe proteger no sólo contra las amenazas no deseadas, sino también contra las amenazas internas: personas que están autorizadas a acceder al espacio en blanco, pero que pueden tener intenciones maliciosas.
La seguridad del centro de datos a este nivel puede implicar
- Reducción del número de puntos de entrada
- Sistemas de control de acceso con funciones anti-retorno para permitir el paso de una sola persona a la vez.
- Sistemas de doble identificación (biometría + tarjeta de identificación).
- Vigilancia de alta definición para controlar la entrada al centro de datos, los pasillos, etc.; el análisis de vídeo integrado también puede ayudar con el reconocimiento facial.
Estas mismas tácticas pueden utilizarse para proteger el espacio gris de su centro de datos. Aunque contiene equipos de back-end en lugar de equipos de TI, los visitantes no autorizados podrían causar estragos en su centro de datos manipulando enfriadores, sistemas SAI u otros sistemas eléctricos o mecánicos.
- Seguridad a nivel de gabinetes y bastidores
La cuarta y última capa de seguridad del centro de datos consiste en proteger los gabinetes. Si un visitante o empleado no autorizado entra en su centro de datos, el objetivo es mantenerlo alejado de los gabinetes. No deberían poder acceder a los equipos que residen en su interior.
La seguridad a nivel de gabinete puede incluir varias opciones:
Sistemas de gabinetes con llave
Autenticación de tarjetas de acceso o sistemas biométricos que pueden registrar los intentos de acceso y enviar alertas al personal designado cuando sea necesario.
Sistemas que permiten el bloqueo y desbloqueo remoto de gabinetes específicos
Cámaras en el armario o en la habitación que capturan vídeo y fotos de quién y cuándo accede al gabinete.
Modo de doble custodia (requiere la presencia de dos usuarios para acceder)
Los sistemas de seguridad a nivel de gabinete también deben garantizar que incluso los usuarios de confianza sólo tengan acceso a los gabinetes en los que están autorizados a trabajar. Si un técnico de servicio está autorizado a trabajar en un rack de servidores específico, sólo podrá acceder a ese rack. También debe haber un registro de auditoría exhaustivo que detalle quién ha tocado los sistemas y cuándo. Esto puede ayudar con los requisitos de la HIPAA y la PCI, detallando quién accedió a su equipo a efectos de elaboración de informes.
Acerca del Autor
Cuando Shad Sechrist se incorporó a Belden en 2021, traía consigo más de 20 años de experiencia en el sector de la fabricación eléctrica y electrónica, incluido el diseño de centros de datos, la consultoría de infraestructuras de edificios y el diseño de redes. Ayuda a ofrecer soluciones integrales de centros de datos a los clientes empresariales de Belden, especializándose en la selección de productos, logística, gestión de proyectos y mejora de procesos. Su enfoque consultivo no sólo permite a los clientes obtener las respuestas que necesitan, sino que también les ayuda a conocer mejor su infraestructura física.