Rack-Management-Systeme als Security-Tool: Kontrolle ist besser

Schloss120Wenn die Server im Rechenzentrum das Herz der Unternehmens-IT sind, dann sind die Racks der Brustkorb. Als unmittelbarste Hülle der empfindlichen Geräte schützen sie diese sowohl vor schädlichen Umwelteinflüssen wie vor unbefugtem Zugriff. Moderne Rack-Management-Systeme bieten für die IT-Security aber noch Möglichkeiten, die weit über die simple Mechanik des IT-Schranks hinausgehen.

Jedes Konzept ist nur so gut wie seine praktische Umsetzung. Hier überschneidet sich das Thema physikalische IT-Sicherheit mit dem Thema „Security“: Der Zugang von Personen zum Rechenzentrum muss genauso überwacht werden wie die Temperatur in den Racks. Moderne Rack-Management-Systeme ermöglichen beides.

Anzeige

Überwachung physikalischer Parameter

Die zentrale Komponente eines Rack-Management-Systems (RMS) ist typischerweise ein 19-Zoll-Gerät, das selbst in den entsprechend genormten Serverschrank eingebaut werden kann. Für die Überwachung der physikalischen Parameter sind Temperaturfühler, Klimasensoren für die Überprüfung der Luftfeuchtigkeit und Rauchmelder unverzichtbar. Durch die strategische Verteilung der Sensoren im Rack lässt sich ein differenziertes Gesamtbild der Bedingungen erstellen, unter denen die Server arbeiten. So sollten an allen bekannten „Hot Spots“, an denen beispielsweise die Heißluft aus den Servern austritt, Temperaturfühler installiert werden, um eine Überschreitung der Normaltemperatur möglichst früh zu erkennen. Zu hohe Luftfeuchtigkeit kann etwa auf ein Problem mit der Klimaanlage hindeuten, die unzureichend gefilterte Luft von außen zuführt, und kann sich negativ auf die Hardware auswirken. Rauchmelder im Rack wiederum sind für eine Brandfrühesterkennung wesentlich besser geeignet als deckenmontierte Geräte. Denn bis der Rauch aus dem Rack an die Decke des Serverraums aufgestiegen ist, dürften im Fall eines Brandes bereits gravierende Schäden aufgetreten sein.

Damit ein RMS zukunftssicher bleibt, sollte es modular erweiterbar sein und zusätzliche analoge Eingänge für die Einbindung weiterer Sensoren bereitstellen. Um den Betrieb der gesamten IT-Anlage sicherstellen zu können, muss das RMS auch bei einem Stromausfall autark funktionsfähig sein. Seine Notstromversorgung sollte dabei auch in der Lage sein, die interne Spannungsversorgung für alle Sensoren zu gewährleisten, weil das System sonst im Fall eines Blackouts „blind und taub“ wäre.

695 1
Kommunikation ist alles

Von entscheidender Bedeutung für die Wirksamkeit der Überwachung ist die Kommunikationsfähigkeit im Alarmfall. Neben einer lokalen Alarmierung am Rack, etwa über LEDs, besteht die Möglichkeit, über Schaltausgänge ein GSM-Modul anzubinden, das den zuständigen Rechenzentrumsverantwortlichen per SMS alarmiert.

Bei Einsatz von SNMP-fähigen (Simple Network Management Protocol) Rack-Management-Systemen wird die Alarmierung zudem an die Netzwerkmanagement-Software übertragen, die die zentrale Steuerung der Racks ermöglicht, also beispielsweise das Abschalten von überhitzten Servern durch eine remote schaltbare Steckdosenleiste. Auch der Schaltvorgang selbst kann jedoch bereits als automatisierte Reaktion auf den Alarmfall hinterlegt werden. Die Überwachung der physikalischen IT-Sicherheit ist die Kernaufgabe eines Rack-Management-Systems. Durchdachte Systeme unterstützen jedoch auch die IT-Security im engeren Sinne, d.h. sie tragen dazu bei, dass unbefugte Zugriffe auf die Hardware vermieden werden.

695 2
RMS warnt vor Eindringlingen

Prinzipiell setzt die Zugangskontrolle zu Rechenzentren bereits auf der Ebene des Serverraums ein. Nur Personen mit speziellen Befugnissen dürfen das Datacenter überhaupt betreten. In der Regel ist eine Identifizierung erforderlich, um Zugang zu den Räumlichkeiten zu erhalten, die meist videoüberwacht werden. Sollte sich ein Unbefugter – beispielsweise mit einer entwendeten Transponderkarte – jedoch tatsächlich Zugang zum Rechenzentrum verschaffen, hilft eine Videoüberwachung freilich nur dann, wenn sie auch permanent von jemandem kontrolliert wird. Das bedeutet einen erheblichen personellen Aufwand, der nicht in jedem Rechenzentrum betrieben werden kann. Zwar kann eine Videoaufnahme als Beweismittel vor Gericht genutzt werden, wichtiger aber wäre es, im Vorfeld zu verhindern, dass überhaupt ein Schaden verursacht wird.

Auch hier kann die Alarmierungsfunktion eines Rack-Management-Systems hilfreich sein. Türkontakt- und Erschütterungssensoren können ins Rack montiert und mit dem RMS verbunden werden. Dabei sollte das RMS unterschiedliche Arten der Türkontaktsicherung unterstützen, also beispielsweise Profilhalbzylinder, aber auch Transponderkarten, die tastaturbasierte Eingabe von Zugangscodes oder die Verifizierung über ein Mobilgerät per GSM. Andernfalls müsste im Fall einer Änderung im Sicherheitskonzept – typischerweise wäre dies die Umstellung von Zylinderschlössern auf modernere, fälschungssichere Systeme – womöglich das RMS ausgetauscht werden.

Wird eine Racktür geöffnet, ist dies ein sicheres Anzeichen, dass sich jemand im Rechenzentrum aufhält und sich an den Schränken zu schaffen macht. Auch für diesen Fall kann eine Alarmfunktion definiert werden. Durch eine umgehende Kontrolle vor Ort kann eine Manipulation von Geräten durch Unbefugte womöglich verhindert werden. Müssen die Serverschränke hingegen für Wartungsarbeiten bzw. Ein- oder Ausbau von Geräten geöffnet werden, kann der Administrator mit seinen Zugriffsrechten auf der Netzwerkmanagement-Plattform die Alarmierung vorübergehend außer Kraft setzen.

695 3
Wichtig: ganzheitliche Beratung

Moderne Rack-Management-Systeme bieten vielfältige Unterstützung für den ausfall- und zugriffssicheren Betrieb von Rechenzentren. Ihr volles Potenzial realisieren die Systeme aber nur, wenn man sie im Rahmen einer ganzheitlichen Planung des Datacenters betrachtet. Es ist daher empfehlenswert, sich bei der Auswahl eines RMS von Anbietern mit umfassendem Know-how im Rechenzentrumsbereich beraten zu lassen.

Peter Wäsch

Diesen Artikel finden Sie auch in der it management Ausgabe 7/8 – 2013.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.