Sicherheit und Hochverfügbarkeit im RZ
Must-haves für Betreiber von Rechenzentren
Rechenzentren sind auf Wachstumskurs. Immer öfter lagern Unternehmen Datenspeicherung und ihre datenabhängigen Prozesse aus. Doch für die Betreiber von Rechenzentren gilt es einiges zu beachten: Nicht nur zahlreiche Kundenanforderungen sind zu berücksichtigen, auch die Gesetzgebung hält verschiedene Vorschriften bereit. Die umfassenden Anforderungen reichen von der nachzuweisenden Energieeffizienz des Gebäudes bis hin zu Zertifizierungen.Sicherheit und Hochverfügbarkeit besitzen für Rechenzentren heute höchste Priorität. Die meisten Betreiber haben dies längst erkannt. Und so gibt es auf die Frage, wie viele Rechenzentren sich heute überhaupt "sicher und hochverfügbar" bezeichnen können, eigentlich nur eine Antwort: viele. Doch diese auf den ersten Blick positive Einschätzung wird schnell zum Problem: "Theoretisch gibt es keinen fest vorgeschriebenen Mindeststandard, den der Betreiber eines Rechenzentrums erfüllen muss. Auch sind Zertifizierungen kein vorgeschriebenes Muss", bestätigt Vincent Rais, verantwortlich für das Business Development des Leaseweb-Partners Evoswitch in Haarlem (Niederlande). Dies erschwert es dem Betreiber eines Rechenzentrums erheblich, sich im täglichen Wettbewerb von der breiten Masse abzuheben. Zertifizierungen schaffen Vertrauen der Anwender Die Aufgabe für den Betreiber eines Datacenters ist es also, nachvollziehbare Sicherheit zu schaffen. Erst dann werden Anwender wirklich Vertrauen zu einem Anbieter fassen können. Um eine sichere Nutzung aller Bereiche des Rechenzentrums nachweisbar unterstützen zu können und gleichzeitig wettbewerbsfähig zu bleiben, sollten Rechenzentren folgende Zertifizierungen berücksichtigen und von neutralen Stellen bestätigen lassen: ISO-Zertifizierung ISO 27001:2013 (Informationssicherheit), möglicherweise auch die Nutzung von ISO 14001:2004 (Zukunftsfähigkeit) und ISO 9001:2008 (Qualitäts-Management-Systeme), ferner PCI DSS 3.0 (Informationssicherheit bei der Online-Bezahlung) sowie Service Organization Control (SOC) 1 Typ II (vergleiche: ISAE3402). ISO-Zertifizierung: Neutrale Bestätigung durch die Norm Leaseweb Deutschland beispielsweise ist nach den international üblichen Standards ISO 27001 und PCI DSS sowie die SOC1 Typ II zertifiziert. Mit den Zertifizierungen nach ISO 27001:2013 erfüllt ein Anbieter den internationalen Sicherheitsstandard für den Schutz sensibler Daten. Die ISO-Zertifizierung stellt sicher, dass der Betreiber alle relevanten und notwendigen Maßnahmen für eine umfassende Datensicherheit ergriffen hat. Dazu gehören der Schutz der Personensicherheit, physische Sicherheit, System- und Netzwerksicherheit, das Geschäftskontinuitäts-Management und die Compliance des Unternehmens. ISO 27001:2013 ist damit das unumgängliche Must-have unter den möglichen ISO-Zertifizierungen. Zu diesen Sicherheitsrichtlinien gehört unter anderem die Beschränkung der Zugriffsrechte - sowohl auf den Servern als auch im physischen Raum. Als mögliches zusätzliches Zertifikat lässt sich außerdem die ISO-Zertifizierung ISO 14001:2004 ins Auge fassen. Sie garantiert die Einhaltung der internationalen Umwelt-Management-Norm. Eine zusätzliche Zertifizierung durch den "Blauen Engel für den energiebewussten Rechenzentrumsbetrieb" könnte außerdem bestätigen, dass sich der Betreiber einer Strategie zur Erhöhung der Energie- und Ressourceneffizienz verschrieben hat. ISO 9001:2008 garantiert schließlich die Sicherheitsstellung der Qualität durch ein Qualitäts-Management-System. Bestimmte Branchen genau beachten Der ISO-Zertifizierung folgt der Einsatz des Payment Card Industry Data Security Standards (PCI DSS). Dieser bietet Schutz von Zahlungskartendaten und persönlichen, vertraulichen Informationen. Gerade Rechenzentren, die mit E-Commerce-Kunden zu tun haben, sollten die Vorschrift für sich verpflichtend nutzen. Die Zertifizierung sichert die Aufrechterhaltung höchster Sicherheits- und Qualitätsstandards. Strikte interne Kontrolle Das Zertifikat "Service Organization Controls 1 Typ II" bewertet schließlich die Sicherheit der Infrastrukturen und Hosting-Services in Bezug auf die interne Kontrolle der Rechnungslegung. Dies bedeutet, dass Kunden des Betreibers den Rechnungslegungsvorschriften entsprechen. Das Zertifikat weist die Einrichtung strikter Kontrollverfahren und effektiv gestalteter Verfahrensmaßnahmen für alle betriebenen Cloud-Hosting-Lösungen nach. Internet-Betrug gehört damit nachgewiesenermaßen der Vergangenheit an. Für den Aufbau eines betriebssicheren und hochverfügbaren Rechenzentrums sind darüber hinaus allerdings noch weitere Punkte zu berücksichtigen. Dazu gehört es zum Beispiel, die Vorgaben des Gebäude-Managements zu beachten, sowie die Vor- und Nachteile des Standorts gegeneinander abzuwiegen. "Dazu muss jeder Anbieter die lückenlose Energieversorgung durch eine absolut redundante Power-Infrastruktur garantieren können. Dies geschieht - wenn möglich - durch ein eigenes Stromnetz, eine unterbrechungsfreie Stromversorgung und Generatoren. Zu beachten bleibt, dass unter keinen Umständen die Power-Kapazität überschritten werden sollte", empfiehlt Rais. Betriebssicher und hochverfügbar Doch neben der Stromversorgung zeigt auch der Leitfaden des Bitkom zu betriebssicheren Rechenzentren, was Betreiber für die Hochverfügbarkeit berücksichtigen sollten. Als unumstößliche Voraussetzungen nennt dieser möglichst optimale Standortbedingungen und hochqualifiziertes Personal, ganz zu schweigen von den Einhaltungen der Brandschutzregelungen. Gleichzeitig sollten die Kosten für die Kühlung auf ein Minimum redu-ziert sein.
Lesen Sie mehr zum Thema
