Como Monitorear Amenazas Fisicas en Centro de Datos

Cmo monitorear las
amenazas fsicas en
un centro de datos
Informe interno
N 102
Por Christian Cowan
Chris Gaskins

2006 American Power Conversion. Todos los derechos reservados. Queda prohibida la utilizacin, reproduccin, fotocopiado, transmisin o
almacenamiento en cualquier sistema de recuperacin de cualquier tipo de esta publicacin, en todo o en parte, sin el consentimiento escrito del
titular del derecho de autor. www.apc.com Rev 2006-0
2

Resumen ejecutivo
Las metodologas tradicionales para el monitoreo del entorno del centro de datos ya no son
suficientes. Dado que las tecnologas como los servidores Blade aumentan las demandas de
enfriamiento y que las reglamentaciones como la ley Sarbanes-Oxley elevan los requisitos
para seguridad de datos, el entorno fsico del centro de datos debe ser controlado ms
cuidadosamente. Aunque existen protocolos que se comprenden con claridad para el
monitoreo de dispositivos fsicos como sistemas UPS, unidades de aire acondicionado para
salas de cmputos y sistemas de apagado de incendios, existe un tipo de puntos de
monitoreo distribuidos que suele pasarse por alto. Este informe describe este tipo de
amenazas, sugiere enfoques para la implementacin de dispositivos de monitoreo y brinda
mejores prcticas para aprovechar la informacin reunida a fin de disminuir el tiempo de
inactividad.

3
Introduccin
Las tcnicas ms comunes que se utilizan hoy en da para monitorear el entorno de un centro de datos datan
de los das de las computadoras centralizadas, e incluyen prcticas como caminar por la habitacin con
termmetros y confiar en que el personal del rea de informtica "sienta" cmo est el ambiente en la
habitacin. Pero a medida que los centros de datos evolucionan, y el procesamiento distribuido y las
tecnologas para servidores elevan la demanda de energa y enfriamiento, se debe analizar el entorno ms
cuidadosamente.

El aumento en la densidad de potencia y las variaciones dinmicas de potencia son los dos aspectos
principales que provocan cambios en la metodologa de monitoreo de los entornos informticos. Los
servidores Blade han aumentado enormemente las densidades de potencia y han cambiado en forma drstica
las dinmicas de potencia y enfriamiento de los entornos. Las tecnologas de administracin de energa
exigen a los servidores y equipos de comunicacin la capacidad de variar el consumo de energa (y en
consecuencia la disipacin de calor) en funcin de la carga computacional. Este tema se trata en profundidad
en el Informe Interno N 43 de APC: "Variaciones dinmicas de potencia en centros de datos y salas de
gestin de redes".

Aunque es comn que se implementen funciones de monitoreo y alerta sofisticadas en equipos fsicos como
sistemas UPS, unidades de aire acondicionado en las salas de cmputos (CRAC) y sistemas de apagado de
incendios, otros aspectos del entorno fsico suelen pasarse por alto. El monitoreo de los equipos no es
suficiente: el entorno debe considerarse de manera holstica y controlarse en forma proactiva para detectar
amenazas e intrusiones. Entre estas amenazas se incluyen las temperaturas elevadas de entrada de los
servidores, las prdidas de agua y el acceso de personas no autorizadas al centro de datos o acciones
inadecuadas del personal del centro de datos.

Las instalaciones de redes remotas, como las sucursales, las salas de datos y los puntos de venta locales
aumentan an ms la necesidad de monitoreo automatizado, dado que resulta poco prctica y poco confiable
la presencia fsica de personas para controlar aspectos como la temperatura o la humedad. Con la
introduccin de puestos remotos de red sin supervisin, los administradores de sistemas deben contar con
sistemas confiables para saber qu sucede.

Con las tecnologas de hoy, los sistemas de monitoreo se pueden configurar hasta el ms mnimo detalle
para cumplir con las necesidades ambientales y de seguridad particulares del centro de datos; cada rack se
puede considerar un pequeo "centro de datos" con sus propios requisitos, y con una estrategia de monitoreo
que puede incluir diversos puntos de recopilacin de datos.
1

Este informe analiza las amenazas fsicas que pueden mitigarse utilizando estrategias de monitoreo
distribuido, y ofrece pautas y mejores prcticas para la implementacin de sensores en el centro de datos. El

1
El Informe Interno de APC N 100, Estrategia de administracin de la Infraestructura fsica para redes crticas, trata el
problema de la integracin de una gran cantidad de puntos de monitoreo ubicados en racks en un sistema de gestin
empresarial (EMS) o un sistema de administracin de edificios (BMS) existente.
4
informe tambin trata el uso de las herramientas de diseo de centros de datos para simplificar el proceso de
especificacin y diseo de estos sistemas de monitoreo distribuido.

Qu son las amenazas fsicas distribuidas?
Este informe analiza un subgrupo de amenazas, las amenazas fsicas distribuidas, que son de particular
inters porque se requiere de un diseo deliberado y experto para defenderse de ellas. Describiremos
brevemente el rango de amenazas a un centro de datos como ayuda para identificar este subgrupo.

Las amenazas a los centros de datos pueden dividirse en dos grandes categoras, segn si pertenecen al
campo del software informtico y las redes (amenazas digitales) o al campo de la infraestructura fsica de
soporte del centro de datos (amenazas fsicas).

Amenazas digitales
Entre las amenazas digitales se encuentran los hackers, los virus, los cuellos de botella en las redes y otros
ataques accidentales o maliciosos a la seguridad o el flujo de datos. Las amenazas digitales son muy
conocidas en la industria y en la prensa, y la mayora de los centros de datos tienen sistemas slidos y con
mantenimiento constante, como firewalls y antivirus, para combatirlas. El Informe Interno N 101 de APC
Principios fundamentales de la seguridad de las redes explica las formas de proteccin bsicas contra las
amenazas digitales. Este informe no trata sobre las amenazas digitales.

Amenazas fsicas
Entre las amenazas fsicas a los equipos informticos se encuentran los problemas de alimentacin y
enfriamiento, los errores humanos o actividades maliciosas, los incendios, las prdidas y la calidad del aire.
Algunas de estas amenazas, incluyendo aquellas relacionadas con la alimentacin y algunas relacionadas con
el enfriamiento y los incendios, se monitorean regularmente por medio de capacidades integradas en los
dispositivos de alimentacin, enfriamiento y extincin de incendios. Por ejemplo, los sistemas UPS monitorean
la calidad de la energa, la carga y la integridad de las bateras; las unidades PDU monitorean las cargas de
los circuitos; las unidades de enfriamiento monitorean las temperaturas de entrada y salida y el estado de los
filtros; los sistemas de extincin de incendios (los que exigen los cdigos de edificacin) monitorean la
presencia de humo o exceso de calor. Por lo general, este tipo de monitoreo sigue protocolos que se
comprenden bien, automatizados por medio de sistemas de software que recolectan, registran, interpretan y
muestran la informacin. Las amenazas que se monitorean de esta manera, por medio de funciones
preestructuradas incluidas en los equipos, no requieren un conocimiento o planificacin especial por parte de
los usuarios para una administracin efectiva, siempre y cuando los sistemas de monitoreo e interpretacin
estn bien estructurados. Estas amenazas fsicas monitoreadas en forma automtica son una parte clave de
los sistemas de administracin integral, pero en este informe no se tratar este tema.

Sin embargo, para cierta clase de amenazas fsicas en el centro de datos y hablamos de amenazas graves,
el usuario no cuenta con soluciones de monitoreo prediseadas e integradas. Por ejemplo, los bajos niveles
5
de humedad son una amenaza que puede encontrarse en cualquier sector del centro de datos, de modo que
la cantidad y la ubicacin de los sensores de humedad es un punto clave a tener en cuenta a la hora de
controlar dicha amenaza. Este tipo de amenazas pueden estar distribuidas en cualquier sector del centro
de datos, en distintas ubicaciones segn la disposicin de la sala y la ubicacin de los equipos. Las
amenazas fsicas distribuidas que se explican en este informe se dividen en estas categoras generales:

Amenazas a los equipos informticos relacionadas con la calidad del aire (temperatura,
humedad)
Filtraciones de lquidos
Presencia de personas o actividades inusuales
Amenazas al personal relacionadas con la calidad del aire (sustancias extraas suspendidas
en el aire)
Humo e incendios provocados por los peligros del centro de datos
2

La Figura 1 ilustra la diferencia entre las amenazas digitales y las fsicas, y la diferencia entre las amenazas
fsicas con monitoreo preestructurado de alimentacin y enfriamiento por medio de equipos, y las amenazas
fsicas distribuidas (el tema de este informe) que requieren una evaluacin, toma de decisiones y planificacin
para determinar el tipo, la ubicacin y la cantidad de sensores de monitoreo. La falta de conocimientos y
especializacin a la hora de disear una estrategia de monitoreo eficaz puede redundar en negligencias al
combatir este ltimo tipo de amenaza fsica.

A
M
E
N
A
Z
A
S

F
S
I
C
A
S
A
M
E
N
A
Z
A
S

F
S
I
C
A
S
A
M
E
N
A
Z
A
S

D
I
G
I
T
A
L
E
S
A
M
E
N
A
Z
A
S

D
I
G
I
T
A
L
E
S
(
i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

f
s
i
c
a

p
a
r
a

r
e
d
e
s

c
r
t
i
c
a
s
)
(
R
e
d
)
Amenazas monitoreadas por
sensores ubicados en diversas
reas del centro de datos
Contaminantes
suspendidos
en el aire
Filtraciones
Personas
Temperatura y
humedad
Incendio
sensores en los equipos de
alimentacin y enfriamiento
Calidad de la energa
Calidad del suministro de
enfriamiento
Problemas en los equipos
Hackers
Virus
Cuellos de botella en la red
sistemas de seguridad para la red
AMENAZAS
FSICAS
DISTRIBUIDAS
El monitoreo de estas amenazas
est integrado en los equipos de
alimentacin y enfriamiento, y no
requiere atencin adicional por parte
del usuario respecto del diseo
Deteccin de fuego
suplementaria
(La deteccin bsica de
incendios, obligatoria segn
los cdigos de edificacin,
no se trata en este informe)
La ubicacin de
sensores para
monitorear estas
amenazas es el
tema de este
informe

2
La deteccin bsica de humo e incendios requerida por los cdigos de edificacin se rige por normas legales y de
seguridad especficas, que no se discutirn en este informe. Este informe trata sobre la deteccin de humo suplementaria
especfica de los peligros de los centros de datos, independientemente de lo requerido por los cdigos de edificacin.
Figura 1 Amenazas a los centros de datos
6
La Tabla 1 resume las amenazas fsicas distribuidas, su impacto en el centro de datos y los tipos de sensores
que se utilizan para monitorearlas.

Tabla 1 Amenazas fsicas distribuidas
Amenaza Definicin Impacto en el centro de datos Tipos de sensores
Temperatura del
aire
Temperatura del aire en la
sala, el rack y los equipos
Fallas en los equipos y disminucin de la vida
til de los equipos debido a temperaturas
mayores de las especificadas y/o cambios
drsticos de temperatura
Sensores de temperatura
Humedad
Humedad relativa de la sala
y del rack a una
temperatura determinada
Fallas en los equipos debido a la acumulacin
de electricidad esttica en los puntos de baja
humedad
Formacin de condensacin en los puntos de
humedad alta
Sensores de humedad
Filtraciones de
lquidos
Filtraciones de agua o
refrigerante
Daos en los pisos, el cableado y los equipos
causados por lquidos
Indicios de problemas en la unidad CRAC
Sensores de cable de
filtraciones
Sensores puntuales de
filtraciones
Error humano y
acceso del
personal
Daos involuntarios
causados por el personal
Ingreso no autorizado y/o
por la fuerza al centro de
datos con intenciones
maliciosas
Dao a los equipos y prdida de datos
Tiempos de inactividad de los equipos
Robo o sabotaje de equipos
Cmaras digitales de video
Sensores de movimiento
Conmutadores de rack
Conmutadores de la sala
Sensores de rotura de vidrios
Sensores de vibracin
Humo/incendios
Incendio de equipos
elctricos o materiales
Fallas en los equipos
Prdida de bienes y datos
Detectores de humo
suplementarios
Contaminantes
peligrosos
suspendidos en
el aire
Qumicos suspendidos en
el aire, como hidrgeno de
las bateras, y partculas,
como polvo
Situaciones de riesgo para el personal y/o falta
de confiabilidad en el sistema UPS, y fallas
debidas a la emanacin de hidrgeno
Fallas en los equipos debidas al aumento de la
electricidad esttica y a la obstruccin de
filtros/ventiladores por la acumulacin de polvo
Sensores de
qumicos/hidrgeno
Sensores de polvo

Ubicacin de los sensores
Se pueden utilizar diversos tipos de sensores para proporcionar advertencias anticipadas que indiquen
problemas causados por las amenazas detalladas anteriormente. Aunque la cantidad y el tipo especficos de
los sensores pueden variar de acuerdo con el presupuesto, el riesgo de amenazas y el costo comercial de la
vulnerabilidad, existe un grupo mnimo y esencial de sensores que es razonable para la mayora de los
centros de datos. La Tabla 2 muestra pautas para esta serie bsica de sensores recomendada.
7
Tabla 2 Pautas para los sensores bsicos
Tipo de
sensor
Ubicacin
Mejor prctica
general
Comentarios
Pautas
aplicables
de la
industria
Ejemplo
Sensores de
temperatura
Rack
En la parte superior,
central e inferior de la
puerta frontal de cada rack
informtico, monitorear la
temperatura de entrada de
los dispositivos del rack
En las salas de
cableado y otros
entornos de rack
abierto, el monitoreo de
temperatura debe
encontrarse lo ms
cerca posible de las
entradas de los
equipos
Pautas
ASHRAE
3

Sensores
de
humedad
Hilera
Uno por cada pasillo fro,
en la parte frontal del rack
en el medio de la hilera
Dado que las unidades
CRAC brindan
mediciones de
humedad, quiz sea
necesario modificar la
ubicacin de los
sensores de humedad
por hilera si stos se
encuentran demasiado
cerca de la salida de la
unidad CRAC
Pautas
ASHRAE

Sensores
de lquidos
tipo cable
Sensores
puntuales
de lquidos
Sala
Ubicar los sensores de
lquidos tipo cable
alrededor de cada sistema
CRAC, de las unidades de
distribucin de
enfriamiento, bajo los
pisos elevados y cualquier
otra fuente de filtraciones
(como caeras)
Sensores puntuales de
lquidos para
monitorear el derrame
de fluidos de la
bandeja de
condensado, para el
monitoreo en salas
ms pequeas y
cualquier otro punto a
baja altura
No existen
estndares en
la industria

Cmaras
digitales de
video
Sala e hilera
Ubicarlas
estratgicamente segn la
disposicin del centro de
datos, para controlar
puntos de entrada y salida
y brindar una buena vista
de todos los pasillos
calientes y fros;
asegurarse de cubrir todo
el campo visual requerido
Se debe monitorear y
grabar el acceso
normal adems del
acceso no autorizado o
fuera de horario con
software de vigilancia
por video
No existen
estndares en
la industria

3
ASHRAE TC9.9 Mission Critical Facilities (infraestructuras de misin crtica), Thermal Guidelines for Data Processing
Environments(Pautas sobre temperatura para entornos de procesamiento de datos), 2004.
8
Tipo de
sensor
Ubicacin
Mejor prctica
general
Comentarios
Pautas
aplicables
de la
industria
Ejemplo
Sensores
de apertura
Sala
Colocar un sensor
electrnico de apertura en
cada puerta de acceso
para llevar registros
auditados del acceso a la
sala y para limitar el
acceso a determinadas
personas en determinados
horarios
Es conveniente integrar
los sensores de
apertura al sistema de
administracin de
edificio lo que puede
lograrse mediante una
interfaz de
comunicaciones
HIPPA y
Sarbanes-
Oxley
4

Adems de los sensores esenciales detallados en la Tabla 2, existen otros sensores que pueden ser
considerados opcionales segn la configuracin particular de la sala, el nivel de amenazas y los requisitos de
disponibilidad. La Tabla 3 detalla estos sensores adicionales y brinda pautas sobre mejores prcticas.

Tabla 3 Pautas para sensores adicionales segn la situacin
Tipo de
sensor
Ubicacin
Mejor prctica
general
Comentarios
Pautas
aplicables
de la
industria
Ejemplo
Detectores de
humo
suplementarios
Rack
Deteccin de humo
(VESD) a nivel del rack
para proporcionar
advertencias anticipadas de
problemas en reas muy
crticas o reas sin
sensores de humo
dedicados
5

Cuando la deteccin de
humo por rack suplementaria
supera el presupuesto, la
colocacin de VESD en la
entrada de cada unidad
CRAC proporciona un cierto
grado de advertencia
temprana
No existen
estndares
en la
industria

Sensores de
qumicos
/hidrgeno
Sala
Cuando las bateras VRLA
estn ubicadas en el centro
de datos, no es necesario
colocar sensores de
hidrgeno en la sala, ya
que no liberan hidrgeno
durante su funcionamiento
normal
Las bateras de clula
hmeda colocadas en una
sala de bateras separada
estn sujetas a requisitos de
cdigo especiales
Borrador de
la Gua IEEE
/ ASHRAE
6

4
La directora de seguridad Fiona Williams, de los servicios de seguridad Deloitte & Touche, afirma: La seguridad fsica est
dentro de los requisitos de la ley Sarbanes-Oxley. Es un componente crtico del programa de seguridad de la informacin,
como lo son tambin los controles informticos generales. Est establecido en los artculos 302 y 404, que exigen a la
gerencia evaluar y asegurar que los controles internos funcionen de manera efectiva.
http://www.csoonline.com/read/100103/counsel.html (fecha de acceso: 20 de abril de 2006)
5
Supone la existencia de otro sistema de deteccin de incendios que cumpla con los cdigos de edificacin.
6
IEEE/ASHRAE, Guide for the Ventilation and Thermal Management of Stationary Battery Installations (Gua para la
ventilacin y la administracin trmica de instalaciones de bateras estacionarias). Borrador sometido a votacin en 2006.
9
Tipo de
sensor
Ubicacin
Mejor prctica
general
Comentarios
Pautas
aplicables
de la
industria
Ejemplo
Sensores de
movimiento
Sala e hilera
Se utilizan cuando las
limitaciones de presupuesto
no permiten la instalacin
de cmaras, segn
recomiendan las mejores
prcticas (ver Tabla 2)
Los sensores de movimiento
son una alternativa ms
econmica a las cmaras de
video para el monitoreo de la
actividad humana
No existen
estndares
en la
industria

Sensores de
apertura
Rack
En centros de datos con
mucho trfico, se
recomienda colocar
sensores electrnicos de
apertura en las puertas
frontal y posterior de cada
rack para llevar registros
auditados de los accesos y
limitar el acceso a los
equipos crticos a
determinadas personas en
determinados horarios
Es conveniente integrar los
sensores de apertura del
rack al sistema de la
administracin del edificio y
eso puede lograrse mediante
una interfaz de
comunicaciones
HIPPA y
Sarbanes-
Oxley

Sensores de
vibracin
Rack
En centros de datos con
mucho trfico, se
recomienda colocar un
sensor de vibracin en cada
rack para detectar la
instalacin o extraccin no
autorizada de equipos
crticos
Tambin pueden utilizarse
sensores de vibracin en
cada rack para detectar si
alguna persona mueve los
racks
No existen
estndares
en la
industria

Sensores de
rotura de
vidrios
Sala
Sensores de rotura de
vidrios en cada ventana del
centro de datos (ya sea
externa o interna que d a
un pasillo o una sala)
Lo mejor es utilizarlos junto
con cmaras de video de
vigilancia
No existen
estndares
en la
industria

Recoleccin de datos de los sensores
Una vez que se eligieron y colocaron los sensores, el paso siguiente es la recoleccin y el anlisis de los
datos que stos reciben. En vez de enviar todos los datos de los sensores directamente a un punto central de
recoleccin, por lo general es mejor tener puntos de recoleccin distribuidos por todo el centro de datos, con
funciones de alertas y notificaciones en cada uno de ellos. Esto no slo elimina el riesgo del punto nico de
falla que se produce al utilizar un punto recolector nico y central, sino que ofrece soporte al monitoreo en
10
puntos de uso de salas de servidores remotas y salas de telecomunicaciones.
7
Los dispositivos recolectores
se comunican a travs de la red IP con un sistema de monitoreo central (Figura 2).

Figura 2 Recoleccin de datos de los sensores

Por lo general, los sensores independientes no se conectan en forma individual a la red IP. En cambio, los
dispositivos recolectores interpretan los datos de los sensores y envan alertas al sistema central y/o
directamente a la lista de notificaciones (ver la prxima seccin). Esta arquitectura de monitoreo distribuido
reduce drsticamente el nmero de terminales de red requeridas y alivia la carga financiera y administrativa
general del sistema. Por lo general, los dispositivos recolectores se asignan a reas fsicas dentro del centro
de datos y reciben datos de los sensores de un rea limitada para reducir la complejidad del cableado de los
sensores.
Accin inteligente
Los sensores proporcionan datos en bruto, pero tambin es importante interpretar estos datos para emitir
alertas y notificaciones y realizar correcciones. A medida que las estrategias de monitoreo se vuelven ms
sofisticadas y los sensores proliferan por el centro de datos bien monitoreado, es crucial que se realice un

7
Esta arquitectura con mltiples dispositivos de recoleccin, cada uno con funciones de alertas y notificaciones para los
sensores que soporta, se suele llamar inteligencia distribuida en la red.
..
Dispositivo de
recoleccin
Sensor de rotura
de vidrios
Sensor de
humedad
Interruptor
de apertura
de puerta
Sensor de
fluidos
Sensores de
temperatura
Cmara digital
de video
Red IP
Sistema de
monitoreo
central
Dispositivo de
recoleccin
Dispositivo de
recoleccin
Dispositivo de
recoleccin
Dispositivo de
recoleccin
Sensores de
temperatura Sensores de
temperatura
Sensores de
temperatura
Sensor de
humedad
Cmara digital
de video
11
procesamiento inteligente de la gran cantidad de datos que pudieran surgir. La forma ms efectiva y eficiente
de recolectar y analizar los datos de los sensores para dar lugar a las acciones apropiadas es mediante el uso
de "dispositivos recolectores", como se describe en la seccin anterior.

Es esencial poder filtrar, correlacionar y evaluar los datos para determinar el mejor plan de accin cuando
ocurren hechos fuera de los lmites. Una accin efectiva significa alertar a las personas correctas, por medio
del mtodo correcto, con la informacin correcta. La accin se realiza de uno de estos tres modos:

Con alertas sobre las condiciones fuera de los lmites que podran representar una amenaza para
determinados dispositivos o racks o para el centro de datos en su totalidad.
Con acciones automticas basadas en alertas y umbrales especificados.
Con anlisis e informes que faciliten mejoras, optimizaciones y mediciones de fallas y errores.

Alertas
Se deben tener en cuenta tres parmetros para establecer alertas: los umbrales de alarma (en qu valor o
valores se deben activar las alarmas), los mtodos de alerta (cmo se debe enviar la alerta y a quin) y el
escalamiento (ciertos tipos de alarmas requieren un nivel de escalamiento diferente para resolver el
problema?).

Umbrales de alarma: Para cada sensor, se deben determinar condiciones de funcionamiento aceptables y se
deben configurar umbrales para generar alarmas cuando las mediciones excedan esas condiciones
operativas. En condiciones ideales, el sistema de monitoreo debera ser lo suficientemente flexible para
configurar mltiples umbrales por sensor para alertar en los niveles de informacin, de advertencia, de alarma
y de falla. Adems de los umbrales de un solo valor, deben existir condiciones de activacin como los valores
mayores que el umbral durante un tiempo especificado, la tasa de aumento y la tasa de disminucin. En el
caso de la temperatura, la alerta sobre el rango de cambio indica ms rpidamente la existencia de fallas que
una imagen del valor de temperatura.

Los umbrales deben establecerse cuidadosamente para garantizar una utilidad ptima. Pueden existir
distintos umbrales que generen alertas diferentes segn la gravedad del incidente. Por ejemplo, un incidente
del umbral de humedad puede generar un correo electrnico al administrador de sistemas, mientras que un
sensor de humo puede generar una llamada automtica al departamento de bomberos. Del mismo modo,
distintos niveles de umbrales garantizan diferentes vas de escalamiento. Por ejemplo, el acceso no
autorizado a un rack puede escalarse al administrador de sistemas mientras que un caso de ingreso por la
fuerza puede escalarse al director del rea de informtica.

Los umbrales deben configurarse globalmente a valores predeterminados y luego ajustarse en forma
individual segn las especificaciones de los equipos informticos y la ubicacin de montaje de los sensores
con respecto a la ubicacin de los equipos (por ejemplo, un sensor ubicado cerca del suministro de energa de
un servidor debera brindar una alerta a un valor mayor que un sensor ubicado cerca de una entrada de aire
12
de un servidor). La Tabla 4 brinda una lista de umbrales predeterminados sugeridos para la temperatura y la
humedad segn la norma ASHRAE TC9.9. Adems de estos umbrales, es importante monitorear el rango de
cambio de la temperatura. Un cambio de temperatura de 5,6 C (10 F) en un perodo de 5 minutos es un
probable indicador de fallas en la unidad CRAC.

Tabla 4 Umbrales sugeridos para los sensores de temperatura y humedad
8

Sensor Umbral superior Umbral inferior
Temperatura del
aire
25 C (77 F ) 20 C (68 F)
Humedad 55% de humedad relativa 40% de humedad relativa

Mtodos de alerta: la informacin de alerta puede enviarse de varias maneras distintas, como correo
electrnico, mensajes de texto, SNMP traps y mensajes a servidores HTTP. Es importante que los sistemas
de alertas sean flexibles y personalizables para que la cantidad correcta de informacin se enve con xito al
destinatario deseado. Las notificaciones de alerta deben incluir informacin como el nombre de sensor
definido por el usuario, la ubicacin del sensor y la fecha y hora de la alarma.

Escalamiento de alertas: algunas alarmas pueden requerir atencin inmediata. Un sistema de monitoreo
inteligente debe ser capaz de escalar alarmas especficas a niveles superiores de autoridad si el problema no
se resuelve dentro del perodo de tiempo especificado. El escalamiento de alertas ayuda a garantizar que los
problemas se traten a tiempo, antes de que pequeos incidentes deriven en problemas mayores.

A continuacin brindamos ejemplos de alertas de mayor y menor utilidad:

El sensor de temperatura nmero 48 super el umbral: no es muy til, ya que no indica dnde est
ubicado el sensor nmero 48.

El servidor web X corre el riesgo de sobrecalentarse: esta informacin es ms til ya que se ha
identificado el servidor especfico.

Se ha activado el sensor de una puerta: no es muy til ya que no se identifica la puerta especfica.

Se abri la puerta X en el sector Y, y se ha tomado una fotografa de la persona que la abri: esta
informacin es muy til ya que se identifica la puerta y su ubicacin y se incluye una fotografa del
incidente.

8
ASHRAE TC9.9 Recomendacin para ambientes de clase 1, que son aquellos controlados con mayor rigurosidad y
seran los ms adecuados para centros de datos con operaciones de misin crtica.

13
Cmo actuar en respuesta a los datos
La recoleccin de los datos de los sensores es slo el primer paso y si el administrador del centro de datos
slo se basa en una respuesta manual, no se aprovechar todo el potencial de esos datos. Existen sistemas
disponibles que actan en forma automtica en funcin de alertas y umbrales especificados por el usuario.
Para poder implementar este tipo de automatizacin "inteligente", se deben evaluar los siguientes puntos:

Acciones de alerta: en funcin del nivel de gravedad de una alerta, qu acciones automticas deben
llevarse a cabo? Estas acciones automticas pueden ser notificaciones al personal o acciones correctivas
como la activacin de puntos de contacto seco para activar o desactivar dispositivos como ventiladores o
bombas.

Visibilidad continua en tiempo real de los datos del sensor: La capacidad de ver mediciones individuales
instantneas de los sensores es un requisito bsico. Sin embargo, la capacidad de ver tendencias de los
sensores individuales en tiempo real brinda un panorama mucho ms claro de la situacin. La interpretacin
de estas tendencias permite que los administradores detecten problemas ms generales y establezcan
correlaciones entre los datos de sensores mltiples.

Los sistemas de alerta deben brindar ms informacin que slo notificaciones bsicas sobre transposicin de
umbrales. Por ejemplo, algunos sistemas de monitoreo permiten a los administradores agregar datos
adicionales a las alertas. Estos datos adicionales pueden ser capturas de video, grabaciones de audio,
grficos y mapas. Un sistema de alerta variado de este tipo permite a los administradores tomar decisiones
ms informadas gracias a los datos contextuales que se incluyen en la alerta. En algunos casos, se necesita
depurar la informacin para obtener los datos que son tiles. Por ejemplo, en un centro de datos de trfico
elevado, sera una molestia recibir una alerta cada vez que se detecta movimiento en el centro de datos.
Pueden darse casos en los que cierta informacin se bloquea o "enmascara" por cuestiones de seguridad. Por
ejemplo, un video que incluye una toma de un teclado podra bloquear a los individuos que ingresan
contraseas.

A continuacin damos algunos ejemplos de acciones e interpretaciones inteligentes:

Si se sobrepasa un umbral de temperatura, se activa automticamente un ventilador o una unidad
CRAC.
Brindar acceso remoto a racks especficos por medio de cerrojos electrnicos en las puertas
segn el rostro de la persona que aparece en el monitoreo por video en tiempo real.
Cuando se detecta agua en un centro de datos remoto, se enciende automticamente una bomba
colectora.
Cuando se detecta movimiento en el centro de datos despus del horario normal de operacin,
automticamente se capturan imgenes de video y se alerta a los guardias de seguridad.
Cuando se detecta la rotura de un vidrio luego del horario normal de operacin, se notifica a los
guardias de seguridad y se activa una alarma sonora.
14
Cuando un interruptor de puerta indica que la puerta de un rack est abierta desde hace ms de
30 minutos (lo que indica que la puerta no se cerr adecuadamente), se enva una alarma al
administrador para que controle la puerta.

Anlisis e informes
Los sistemas de monitoreo inteligente deben incluir no solo un informe de las tendencias de los datos de los
sensores a corto plazo, sino tambin datos histricos a largo plazo. Los mejores sistemas de monitoreo deben
tener acceso a las mediciones de los sensores de semanas, meses o incluso aos anteriores y brindar la
posibilidad de generar grficos e informes de estos datos. Los grficos deben poder presentar mltiples tipos
de sensores en un mismo informe para su comparacin y anlisis. Los informes deben poder brindar
mediciones de sensor bajas, altas y promedio en el perodo seleccionado para distintos grupos de sensores.

La informacin histrica a largo plazo de los sensores puede utilizarse de diversas formas; por ejemplo, para
ilustrar que el centro de datos tiene su capacidad completa no a causa del espacio fsico, sino debido a un
enfriamiento inadecuado. Esta informacin puede utilizarse para extrapolar tendencias futuras a medida que
se agregan equipos al centro de datos, y puede ayudar a predecir el momento en el que el centro de datos
completar su capacidad. El anlisis de tendencias a largo plazo puede utilizarse a nivel del rack para
comparar cmo los equipos de diferentes fabricantes en racks diferentes producen ms calor o funcionan a
menor temperatura, lo que podra influenciar las compras futuras.

Las mediciones de los sensores que capta el sistema de monitoreo deben poder exportarse a formatos
estndar de la industria, lo que posibilita que los datos se utilicen en programas de anlisis y generacin de
informes, ya sean estandarizados o a pedido.

Mtodo de diseo
Aunque la especificacin y el diseo de un sistema de monitoreo de amenazas pueden parecer tareas
complejas, el proceso puede automatizarse con herramientas para diseo de centros de datos como el
InfraStruXure Designer de APC. Las herramientas de diseo como esta permiten que el usuario ingrese una
lista sencilla de preferencias, y pueden ubicar automticamente la cantidad adecuada de sensores y
dispositivos recolectores. Proveen, adems, un informe resumido con la lista de componentes e instrucciones
de instalacin para los sensores recomendados. Estas herramientas para el diseo de centros de datos
utilizan algoritmos y reglas establecidas basadas en las mejores prcticas y estndares de la industria para
recomendar configuraciones especficas en funcin de la densidad, la disposicin en planta de la sala, las
polticas de acceso a la sala, y los requisitos de monitoreo especficos del usuario.

Por ejemplo, las siguientes preferencias especficas del usuario pueden influenciar el diseo del sistema de
monitoreo de amenazas, en funcin del nivel de acceso y trfico del centro de datos:

15
Trfico o acceso alto: Si muchas personas acceden al centro de datos, cada una con diferentes
aplicaciones y funciones en el centro de datos, la herramienta de diseo sugerir interruptores en
cada rack para permitir el acceso slo a las personas que necesiten acceso a los respectivos racks.

Trfico o acceso bajo: Si solo un grupo reducido y selecto de personas acceden al centro de datos,
y cada una es responsable de todas las funciones de los centros de datos, la herramienta de diseo
no sugerir interruptores de rack para controlar el acceso a cada rack; en cambio, un interruptor en la
puerta de la sala ser suficiente para limitar el acceso a la sala de otras personas.
Ejemplo de la disposicin de los sensores
En la Figura 3 se presenta un ejemplo de la disposicin de un centro de datos, donde se ilustra dnde se
ubicaran los dispositivos de monitoreo segn las mejores prcticas descritas en este informe.

Figura 3 Ejemplo de la disposicin de los sensores

Conclusin
Protegerse contra las amenazas fsicas distribuidas es crucial para una estrategia de seguridad integral.
Aunque la ubicacin y la metodologa de los equipos de deteccin exigen realizar evaluaciones, tomar
decisiones y ocuparse del diseo, existen mejores prcticas y herramientas de diseo disponibles para brindar
asistencia para una implementacin de sensores efectiva.

Tres sensores de temperatura por rack en la parte superior,
central e inferior del frente del rack
Cmaras digitales de video
ubicadas estratgicamente
para monitorear reas
crticas
Sensor de apertura de
puerta para cada rack
Detector de humo
suplementario en cada rack
Rack Rack Rack Rack Rack Rack
Rack Rack Rack Rack Rack Rack
PDU UPS UPS Bateras
PDU PDU UPS UPS
PDU PDU
C
R
A
C
C
R
A
C
C
R
A
C
C
R
A
C
CDU
Unidad de
distri buci n de
enfriami ento
3 sensores de
temperatura
PASI LLO
CALI ENTE
PASI LLO
CALI ENTE
PASI LLO
FR O
PASI LLO
FR O
Sensor de lquidos tipo cable alrededor
de las unidades CRAC y CDU (bajo el
piso elevado, si corresponde)
Parte frontal de los racks
Parte posterior de los racks
Puerta
Sensor de rotura de vidrios
Ventana
Sensor de
apertura de
puerta
Sensor de humedad en la
mitad de cada hilera
3 sensores de
temperatura
3 sensores de
temperatura
3 sensores de
temperatura
3 sensores de
temperatura
1 sensor de
humedad
3 sensores de
temperatura
Bateras
PASI LLO
FR O
PASI LLO
FR O
3 sensores de
temperatura
3 sensores de
temperatura
3 sensores de
temperatura
1 sensor de
humedad
3 sensores de
temperatura
3 sensores de
temperatura
3 sensores de
temperatura
Parte posterior de los racks
Parte frontal de los racks
16
Adems de verificar que la cantidad, la ubicacin y el tipo de sensores sean correctos, tambin se debe contar
con sistemas de software para administrar los datos recolectados y brindar registros, anlisis de tendencias,
notificaciones de alertas inteligentes y acciones correctivas automatizadas siempre que sea posible.

Comprender las tcnicas para monitorear las amenazas fsicas distribuidas permite al administrador de
sistemas suplir las deficiencias crticas de la seguridad general del centro de datos, y mantener la seguridad
fsica alineada con los cambios en la infraestructura y los objetivos de disponibilidad del centro de datos.

Acerca de los autores
Christian Cowan es gerente de productos para la lnea de productos ambientales y de seguridad de APC.
Pertenece a la industria informtica y de NCPI desde hace 15 aos, y es miembro del IEEE. Obtuvo el ttulo
de Bachelor of Science en Ingeniera Elctrica en la Villanova University, y el ttulo de MBA de la University of
Rhode Island.

Chris Gaskins tiene 15 aos de experiencia en la industria de la alta tecnologa, en la que ocup diversos
cargos en ingeniera, gestin de productos y soporte tcnico. Su experiencia tcnica incluye trabajos en
servidores basados en PC, administracin de sistemas, administracin de redes y seguridad digital y fsica.
Actualmente es gerente de la lnea de productos ambientales y de seguridad de APC, que incluye la familia de
productos NetBotz. Antes, Chris fue vicepresidente de ingeniera en AppGate, Inc. donde dirigi a un equipo
de ingenieros que desarrollaron sistemas VPN de aplicacin de capas. Obtuvo el ttulo de Bachelor of Science
en Ciencias Informticas en la Berry College de Rome, Georgia.

Como Monitorear Amenazas Fisicas en Centro de Datos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Como Monitorear Amenazas Fisicas en Centro de Datos

Cargado por

Copyright:

Formatos disponibles

Cmo monitorear las

También podría gustarte