Asymmetrische of publieke-sleutelcryptografie kan een zware wissel trekken op de processor, zowel op het vlak van berekeningen als qua geheugenverkeer. Barco Silex legt uit hoe zijn...
Het waren pijnlijke jaren, maar het gaat weer de goede kant op met zijn bedrijf, vertelt CTO René Penning de Vries van NXP. Een gesprek...
Beste lezers, dit is mijn laatste reguliere column. Ik heb de afgelopen jaren geschreven over intelligente pleisters en punaises, waar we nu het Holst Centre voor hebben. Ik heb geschreven over de...
19 mei 2010
Een serverruimte is bij uitstek een plaats waar automatisering om de hoek komt kijken. Niet alleen vereisen de draaiende servers een goede conditionering van het binnenklimaat, ook moet de fysieke toegang tot deze computers streng beveiligd zijn om diefstal van de gegevens te voorkomen. Ilse Peters van Nedap Security Management beschrijft hoe Equinix een oud bankgebouw tot datacentrum omtoverde met het Aeos-systeem.
Informatie is tegenwoordig voor veel bedrijven het belangrijkste bezit. Het is ze er dan ook alles aan gelegen om deze bedrijfskritische data zo goed mogelijk te beschermen. Voor die overweging stond Equinix Managed Services toen het ruim tien jaar geleden een nieuwe ruimte voor een datacentrum zocht in Enschede. Als locatievestiging kwam het bedrijf al snel uit bij het voormalige pand van de Nederlandse Bank. ‘Het gebouw is een van de meest geschikte locaties voor een dergelijk datacenter omdat er al veiligheidsmaatregelen aanwezig waren zoals de dikke muren en het kogelwerende glas’, vertelt Allard Olde Bolhaar van Automatiseringstechniek Winkels, dat verantwoordelijk was voor de gebouwautomatisering van Equinix. Het pand beschikt verder over een bunker en een kluisruimte tien meter onder de grond.
Om data veilig en betrouwbaar op te slaan, zijn dikke muren echter niet genoeg. Bewaking, toegangscontrole en energiebeschikbaarheid moeten nauw geïntegreerd worden met de infrastructuur van het pand. Bovendien verwachtte Equinix op termijn uit te breiden, dus het systeem moest ook daarop voorbereid zijn.
Equinix werkte deze beveiligingsmaatregelen uit in strikte protocollen en toegangsprocedures. Een continue bewaking van 24 uur per dag en zeven dagen per week waarbij ongeautoriseerde toegang tot het gebouw bijzonder moeilijk.
De beveiliging begint met camerabewaking van het terrein. De toegangscontrole tot het gebouw en individuele ruimtes wordt geregeld via passen en eventueel biometrie wanneer extra beveiliging nodig is. Zo moeten mensen bij de serverruimtes ook hun vingerafdruk aanbieden. Deze toegangscontrole zorgt voor een duidelijk overzicht van wie er wanneer in het gebouw is geweest.
Het Aeos-gebouwautomatiseringssysteem wordt uit Aepacks opgebouwd, modules met hun eigen functionaliteit.
Als onderliggend systeem voor het gebouwbeheer koos Winkels Aeos van Nedap Security Management. Hardware en software zijn in dit systeem van elkaar gescheiden, waardoor elke gewenste functionaliteit gebouwd kan worden. Bovendien gebruikt het een decentrale aanpak; alle toegangsrechten en geprogrammeerde acties worden in stand-alone controllers vastgelegd en verwerkt en alle events in het systeem worden gebufferd. Daardoor is de beveiliging niet afhankelijk van de beschikbaarheid van een netwerk of server. In het onwaarschijnlijke geval dat die wegvallen, draait het systeem dus gewoon door.
In het beveiligingssysteem kan een persoon meerdere identificatiemiddelen krijgen. Met andere woorden, rechten worden niet toegekend aan de identificatiemiddelen zoals passen of vingerafdrukken, maar aan de dragers. Deze opzet maakt het mogelijk om verschillende identificatiemiddelen in te zetten voor verschillende ruimtes of gebouwen, zodat de toegang per persoon kan worden bepaald.
Bij Equinix hebben alle medewerkers zodoende een pas die alleen toegang biedt tot de ruimtes waar ze voor hun functie moeten zijn. Ook bezoekers krijgen een toegangspas met een bijbehorend autorisatieprofiel, waarin staat welke ruimtes de bezoeker mag betreden of welke bijzondere maatregelen er op hem van toepassing zijn. In Aeos zijn autorisaties vrij te bepalen door een combinatie van gegevens zoals de drager, het identificatiemiddel, de ingangen en het tijdstip. Het is bijvoorbeeld mogelijk om het vierogenprincipe toe te passen: een bezoekerspas biedt alleen toegang tot een bepaalde ruimte wanneer er eerst een medewerkerspas wordt aangeboden. Dit voorkomt dat bezoekers zonder begeleiding rondlopen in ruimtes waar vertrouwelijk informatie aanwezig is. Ook kan ervoor gekozen worden dat bezoekers alleen via een vooraf gedefinieerde route en binnen een bepaalde tijd naar een ruimte kunnen gaan.
Het systeem legt alle pasbewegingen van iedereen vast, waardoor de beveiliging achteraf altijd kan terugkijken wie er in een ruimte is geweest. Handig als er bijvoorbeeld iets is verdwenen in die ruimte. Daarnaast kunnen de pasbewegingen samen met andere gebeurtenissen realtime gemonitord worden.
Biometrische verificatie staat los van de toegangspassen. De biometriegegevens staan opgeslagen in een centrale database, gekoppeld aan de ID van de desbetreffende persoon. Daardoor is het uitgesloten dat een vinder van een pasje toch toegang krijgt tot de serverruimtes.
In de Enschedese Equinix-vestiging wordt Aeos ook ingezet voor inbraakdetectie, zodat alle gebeurtenissen met betrekking tot inbraak bewaakt en bestuurd worden vanuit hetzelfde platform. Gebeurtenissen uit beide systemen kunnen zo op elkaar reageren. Als er bijvoorbeeld een inbraakalarm afgaat, wordt dit in de eventmonitor van het systeem weergeven zodat de beveiliging hierop kan handelen.
Gegevens zijn vandaag de dag zeer kostbaar, dus servers vereisen een strenge beveiliging.
Om de continuïteit van bedrijfsprocessen zo goed mogelijk te waarborgen, moeten de omstandigheden voor de draaiende systemen optimaal zijn: de stroomtoevoer mag nooit worden onderbroken, de serverruimtes moeten voortdurend gekoeld zijn en de lucht moet de juiste vochtigheidsgraad hebben. Daarvoor heeft Equinix een UPS-installatie met daarachter als back-up een generator. Het koelsysteem is berekend op het maximale vermogen en eveneens redundant uitgevoerd.
Ook deze systemen zijn geïntegreerd met Aeos. Storingen in deze voorzieningen worden aan het centrale systeem gemeld zodat dit waarschuwingen kan uitsturen. Zodra er bijvoorbeeld water lekt of er een storing is met een aggregaat of koeling, ontvangen de verantwoordelijke personen een sms’je met deze melding. Via de GUI kunnen zij er direct actie op ondernemen, zoals het dichtdraaien van de afsluitkraan. Op dezelfde manier is ook verlichting aan te sturen en zijn deuren te openen. Omdat het systeem volledig webgebaseerd is, is deze functionaliteit, mocht dat nodig zijn, vanuit huis bereikbaar.
Onder andere door deze aanpak heeft Equinix in Enschede zowel een Iso27001- als een Iso9001-certificering. Die eerste certificering betreft het hele bedrijfsproces, waarbij gekeken wordt naar de bedrijfsmiddelen, de fysieke veiligheid, toegangscontrole en continuïteit. Iso9001 is een norm die eisen stelt aan het kwaliteitsmanagementsysteem van een organisatie.
Ilse Peters is verantwoordelijk voor marketing en communicatie bij Nedap Security Management.
© Bits & Chips | Deze pagina op internet: http://www.bits-chips.nl/nieuws/bekijk/artikel/bankruimte-en-gebouwautomatisering-beveiligen-datacentrum.html
