Bezpečnostní mechanismy serverové infrastruktury Setkání správců NIS Seč, 19. – 20.5.2008 Miroslav Novotný
Bezpečnostní hrozby Výskyt bezpečnostních incidentů za poslední dva roky a trend výskytu: 1. SPAM, 92%, stoupá 2. Výpadek el. napájení, 86%, stabilní 3. Porucha HW komponent, 76%, stabilní
Zdroj: PSIB ČR ´07
Bezpečnostní hrozby Bezpečnostní incidenty s nejzávažnějším dopadem: 1. Výpadek el. napájení, 35% 2. Porucha HW komponent, 24% 3. Chyba SW, 9%
Zdroj: PSIB ČR ´07
Bezpečnostní politika IS Bezpezpečnostní cíle
Failover
Autentizace Autorizace
Audit
Utajení
Bezpečnostní mechanismy
Účtovatelnost
NCPI: Network Critical Physical Infrastructure Komponenty: 1. El. napájení 2. Klimatizace 3. Serverové stojany 4. Kabeláž 5. Systémy zabezpečení objektů • • •
elektronická požární signalizace (EPS) stabilní hasící zařízení (SHZ) monitoring a řízení přístupu do prostor (ACS, CCTV, EZS)
6. Systémy správy fyzické infrastruktury • •
monitoring stavu komponent monitoring veličin provozního prostředí (teplota, vlhkost, prašnost …)
1. El. napájení • přípojka z rozvodné soustavy (veřejná vs. nemocniční) • rozvaděč (jištění - účiník 0,6 – 0,7) • silová kabeláž (fyzická ochrana) • záložní zdroje UPS (on-line, off-line) • záložní motorgenerátor Nutno eliminovat SPoF podél celé datové cesty!
UPS: Uninterruptible Power Supply Faktory návrhu a implementace: 1. Duální napájení stojanu • • •
2 x UPS na různých fázích NN UPS + napájecí síť NN UPS + napájecí síť NN zálohovaná on-line
2.
Battery run-time
• •
bezpečné ukončení provozu OS překlenutí delšího výpadku el. napájecí sítě
3.
Časování v případě výpadku el. napájení
• •
jeden řídicí UPS skupinově řízené UPS
4.
Monitoring a diagnostika
• •
teplota prostředí, teplota akumulátorů, kalibrace akumulátorů výkonové zatížení, Battery run-time
Slabé místo výpadku: časování Parametry UPS: On-battery – 20min, ShutDown Delay – 5min, Server BIOS: Power Management / AC Recovery / ON
Uout
Stav OS
230 V~
t
U i
230 n V~
0
t[min]
Nejhorší scénář: 1 ze 2 UPS řídící na různých fázích Parametry UPS: On-battery – 20min, ShutDown Delay – 5min, Startup Delay – 15% Run-time[min] 40 20 10
Uo 230ut V~
U i
230 n V~
10mi n
t
t
BUFFER, CACHE MEMORY BUFFER = vyrovnávací paměť • • •
seriové zpracování dat v kaskádě systémů časově multipexovaná sběrnice asynchronní datové přenosy
CACHE = mezipaměť, pracovní paměť • •
zrychlení přístupu k datovým objektům redukcí čtecích a zápisových operací vyrovnávací paměť pro velké objemy přenášených dat mezi OP a storage
Datový obsah s vysokou dynamikou 1. 2. 3. 4. 5. 6.
CPU Registry, CACHE (L1, L2, L3, L4) DIMM BUFFER RAM - OS CACHE (FILE CACHE) RAM - DB CACHE SAN HBA BUFFER RAID/STORAGE CONTROLLER CACHE
• •
Write through Write back
7. HDD BUFFER
Důsledky přerušení el. napájení Serverový OS
soub. systém
možné dopady na stav serveru
NetWare
NW FAT
rozbití eDirectory, poškození soub. Systému, SW RAID K.O.
NSS
O.K.
FAT32
poškození soub. systému
NTFS
poškození aplikací
FAT, ext2
poškození otevřených souborů
ext3, reiserfs, xfs
O.K.
Windows 200x
UNIX, Linux
2. Klimatizace Faktory návrhu a implementace: 1. 2.
Chladicí výkon klimatizace = el. příkon Vysoká výkonová hustota => teplotní selhání (~ 1min)
• • •
Technologie ≥ 2RU ~ 6-10kW/rack Technologie 1RU ~ 12-15kW/rack Technologie “blade” ~ 15-22kW/rack
3.
Proudění horkého vzduchu
• • • •
Provedení stojanu (perforace) Ustavení stojanu (horká / studená ulička) Čistota vzduchu (přetlak) 2 teplotní čidla
Nutno eliminovat SPoF!
3.
1) 2) 3) 4) 5)
Selhání funkce HW komponent
Napájecí zdroje Větráky Klasické pevné disky Páskové mechniky Porty aktivních prvků LAN
Nejčastější příčiny selhání 1)
Parametry el. napájení
• •
přepětí/podpětí napěťové špičky
2)
Teplotní selhání
• • •
nedostatečná klimatizace konstrukční vada proudění chladícího media znečištění
3)
Spontánní selhání
• • •
tepelné stárnutí polovodičů výrobní vada mechanické opotřebení
4)
Vadný firmware
Základní metoda ochrany: redundance 1)
Zdvojené HW komponenty serveru
• • • • •
napájecí zdroje (hot-plug) aktivní chladiče CPU HDD RAID (hot-plug, stand by) DIMM RAID zdvojená rozhraní a sběrnice (blade šasi, diskové police)
2)
Zdvojené okruhy/cesty LAN/SAN
• •
duální LAN adaptéry – záložní trasy LAN duální HBA SAN – duální SAN infrastruktura
3) 4)
Serverový „fail-over“ klastr Zrcadlení – záložní lokalita
• •
databází prostředky db stroje datového obsahu prostředky storage – geografické klastry
Redundance storage SAN • Zdvojené storage procesory (SP) • Každý SP zdvojený napájecí zdroj • Zdvojené SAN porty (FC/iSCSI) • Zálohovaná zápisová CACHE • FC/iSCSI SAN, Management LAN
• Storage procesor
Write cache mirroring • Disc Enclosure
Částečná redundance datové cesty SAN
• Fail-over cluster
• FC DAS
Plná redundance datové cesty SAN
• Fail-over cluster
• NoSPoF FC SAN
Děkuji za pozornost Miroslav Novotný
[email protected]
