Aun recuerdo con cariño el primer CPD (si aquello se pudiera considerar un CPD) que visite cuando empecé en el mundo de la seguridad. Desde entonces he visitado muchos CPDs, algunos dignos del mismísimo Calatrava (más por lo blanco que por lo curvo) y otros que yo calificaría sencillamente como “entrañables”…
La mayor parte de estas revisiones de CPD fueron realizadas durante la ejecución de proyectos vinculados a la norma ISO 27001. Como la mayoría de ustedes sabrán, dentro del Anexo A de la propia norma, existe un dominio de control destinado a la seguridad física: A.9 Seguridad física y ambiental. Este dominio queda desarrollado en el código de buenas prácticas en seguridad de la información ISO 27002, aunque no entra a concretar muchos aspectos referentes al diseño de CPDs.
Averiguando si existía normativa referente al diseño de CPD un compañero me informó acerca de la norma TIA 942 y la existencia de un esquema de certificación tanto en lo referente al diseño como a la construcción de CPDs. Esta norma ha sido mencionada anteriormente en la entrada de nuestro colaborador Rafael García, Disponibilidad en los servicios de conectividad a Internet. Además, como de casi todo, existen múltiples recursos informativos en Internet; para la elaboración de esta entrada nos hemos basado en parte en este post sobre los tiers de nubeblog.com y la información de CliAtec sobre el diseño de datacenters.
La norma TIA 942, Telecommunications Infrastructure Standard for Data Centers, es un estándar publicado por la Telecomunications Industry Association (TIA) en abril de 2005, y se se divide en 8 puntos y 9 anexos. El propósito de esta norma es recoger una serie de guías y pautas para el diseño y construcción de CPDs. Cabe destacar que este estándar hace especial hincapié en todo lo referente a las comunicaciones, como la distribución o el cableado de las mismas. Otro punto que llama especialmente la atención de esta norma, a diferencia de otras, es su propia especificidad, es decir en ella se definen parámetros y valores concretos como puede ser referente a pesos y cargas sobre el suelo, anchura y altura de puertas, distancia de separación entre el cableado eléctrico y de comunicaciones o incluso la distancia que debe haber entre el emplazamiento del CPD y una base militar (0,8 km).
Los principales puntos de la norma son los comprendidos entre el 5 y el 8, que son los siguientes:
- El punto 5: Data center telecommunications spaces and related topologies detalla la gestión y adecuación de los espacios ya sea para el CPD, las áreas de distribución, sala de comunicación, gestión de racks, etc., siendo el punto 5.3 el más enfocado a los requisitos del CPD.
- El punto 6: Data center cabling systems está dedicado a la infraestructura de cableado y especifica aspectos como su topología, tipo, distancia, el uso de fibra óptica, rendimiento y pruebas.
- El punto 7: Data center cabling pathways específica detalles para la canalización del cableado en cuanto a seguridad, separación del cableado de comunicaciones y el de alimentación, acceso a canalizaciones, acceso a cableado ubicado bajo suelo, o disposición de guías de cableado.
- El punto 8: Data center redundancy contempla aspectos de redundancia en: canalizaciones de entrada y mantenimiento, acceso a proveedores de servicios, áreas e instalaciones para comunicaciones y cableado.
Al principio del post hice mención a un esquema de certificación para CPDs, que está basado en los grados (TIERs) definidos por el Uptime Institute. La implantación de estos TIERs queda recogida en el anexo G: Data center infraestructura TIERs de la TIA 942, donde se detallan las recomendaciones teniendo en cuenta 4 tipos de requisitos referentes a: los sistemas de telecomunicaciones, arquitectura y estructura, sistemas eléctricos y sistemas mecánicos. Existen 4 TIERs:
- TIER I Data center, Basic: este nivel garantiza un porcentaje de disponibilidad del 99.671, lo que en la práctica supondría que podríamos estar sin servicio durante 28.82 horas en un año. En este caso se dispone de climatización y una adecuada distribución de líneas de alimentación. No es necesario que disponga de suelo técnico, SAI o grupo electrógeno. El fallo o mantenimiento del servicio causa la detención del mismo.
- TIER II Data center, Redundant Components: este nivel proporciona un porcentaje de disponibilidad del 99.741, que en la práctica supone 22.68 horas sin servicio anuales. Todos los componentes están redundados (duplicados). Se dispone de suelo técnico, SAI y grupos electrógeno, pero únicamente tiene una acometida de alimentación. El mantenimiento no requiere detención del servicio siempre que no implique la acometida eléctrica.
- TIER III Data center, Concurrently Maintainable: en este nivel disponemos de un porcentaje de disponibilidad del 99.982, lo que supone 1:57 horas sin servicio anuales. Además de tener todos los elementos anteriormente citados, también se dispone de más de una línea de distribución de alimentación, aunque únicamente una de ellas está activa. Por tanto cualquier mantenimiento no implica la detención del servicio.
- TIER IV Data center, Fault Tolerant: este es el máximo nivel, con un nivel de disponibilidad del 99.995%, siendo en la practica 52.56 minutos anuales. Además de todo lo citado en el anterior TIER, se dispone de múltiples líneas de alimentación activas y ambas con componentes redundados para cada línea. Lo que supone permite una tolerancia a fallos sin detención del servicio.
La elección de un determinado TIER para el diseño de un CPD deberá estar alineada con los niveles de disponibilidad requeridos por la entidad que quiera implantarlos (para lo cual no vendría mal hacer previamente un análisis de impacto) y siempre teniendo en cuenta los SLAs y OLAs existentes. Es importante no perder el foco de que estamos hablando de disponibilidad de las instalaciones o telecomunicaciones y no de los sistemas de información o aplicaciones.
A pesar de que estamos hablando de porcentajes de disponibilidad muy altos y sobre todo si lo vemos con una perspectiva anual, se debe tener en cuenta en la selección del TIER que no es lo mismo tener un gran número de cortes de duración reducida que un corte prolongado. Es decir, la detención de un servicio durante 28 horas seguidas puede acarrear un grave problema para muchas organizaciones, pero 2 horas durante 14 días a lo largo de 6 meses ser mucho más asumible.
Cualquier entidad puede certificarse bajo determinado TIER (normalmente III y IV) de dos formas: sobre el papel, es decir sobre los documentos de diseño, o bien sobre las propias instalaciones. Cada uno de estas opciones proporciona certificaciones diferenciadas.
En resumen, esta norma proporciona una guía clara y específica para el diseño y construcción de CPDs, introduciendo además el concepto de TIER, el cual permite establecer una serie de requisitos técnicos para garantizar determinados porcentajes de disponibilidad en lo que se refiere a la infraestructura (emplazamiento, acometida, cableado, etc.) que soporta los sistemas de información. Cabe destacar por último, cómo la certificación TIER, a pesar de no estar muy extendida, va teniendo mejor acogida en ámbito nacional, como se puede comprobar con la certificación TIER IV en diseño de entidades como Telefónica, BBVA o Enagas y TIER III en instalaciones de BBVA y Telefónica.
[Para más información, pueden contactar con ahuerta [en] s2grupo.es. Sobre el autor]
Interesante artículo.
Supongo que los TIER III y IV solo se justifican para grandes corporaciones y servicios distribuídos importantes, ya que, para una mediana organización, probablemente los niveles de seguridad más elevados no justifiquen el enorme coste de duplicidades y lineas eléctricas alternativas ¿no?
Efectivamente Alejandro, por norma general los TIER III y IV, únicamente están justificados para entidades que requieran niveles muy altos de disponibilidad, ya sea por requisitos propios de negocio o por los costes que pueden suponer el incumplimiento de SLAs.
Pero bueno es como todo, es justificable en tanto en cuento suponga un compromiso entre el riesgo que supone la indisponibilidad y el coste de implantar estas medidas.
Y una cosa importante es que poco sentido tiene implantar un TIER III o IV, si no están acompañadas de soluciones para alta disponibilidad de los propios sistemas de información, es decir, clusterización, virtualización, etc
Lo que dices es cierto, hay que ponderar hasta que punto el coste del servicio ahorraría costes mayores por penalizaciones. Y, por supuesto, tienes razón en señalar que tiene que haber otro tipo de medidas detrás, más allá de las fisicas.
Saludos
Estimados.
Alguien me pódría explicar o donde conssigo información acerca del significado de la tablas que exixten en la Norma Tia 942,sobre todo la parte de Arquitectura.Estos terminos no me sonmuy conocidos.
Muchos de los terminos empleados por la norma, requieren de conocimientos en el ambito de la ingenieria industrial. Siento no poder ofrecerte una respuesta concreta a tu cuestión.
Donde podemos hacer curso de certificación de norma tia-942
alguien podria informarme que tiempo de renovacion tienen estas certificaciones?
Muchas Gracias