Fyzická bezpečnost DC

Posted on by Monika P.
Fyzická bezpečnost DC

Význam fyzické bezpečnosti v datových centrech

Fyzická bezpečnost datového centra chrání infrastrukturu, data a provozní kontinuitu před úmyslnými i nahodilými hrozbami. Zahrnuje vrstvy ochrany od volby lokality a perimetru přes řízení přístupů, dohled, požárně-bezpečnostní opatření, zabezpečení energií a prostředí až po procesní a forenzní rámec. Cílem je vytvořit obranu do hloubky (defense-in-depth), která pružně reaguje na měnící se rizika bez dopadu na dostupnost služeb a efektivitu provozu.

Referenční rámce a principy řízení rizik

  • Rizikový přístup: identifikace aktiv (sály, energie, chlazení), hrozeb (vniknutí, vandalismus, požár, povodeň, výpadek napájení), zranitelností a dopadů; volba přiměřených kontrol.
  • Obrana ve vrstvách: lokalita → areál → budova → technické patro → sál → řada → rack → šachta/kabeláž → aktivní prvky.
  • „Least privilege“ a need-to-access: přístup jen pro osoby a v čase, kdy je to nutné; dočasná oprávnění.
  • Prokazatelnost: auditní stopy, korelace záznamů (PACS, CCTV, BMS, EPS), retence a forenzní použitelnost.

Volba lokality a vnější rizika

  • Geografie: mimo záplavové a sesuvné oblasti, dostatečný odstup od chemických provozů, letišť a hlavních dopravních tahů s rizikem havárií.
  • Geologie a klima: statika, seizmicita, extrémy teplot; posouzení dostupnosti redundantních energetických a telekomunikačních přípojek.
  • Perimetr areálu: oplocení s anti-climb prvky, minimální počet kontrolovaných vjezdů, kamera s detekcí narušení, osvětlení perimetru.

Perimetr a ochrana budovy

  • Vstupy/vjezdy: brány s kamerovou identifikací SPZ, návštěvnické a zásobovací trasy oddělené, sklopné sloupky/bollardy proti najetí.
  • Stavební prvky: odolné obvodové stěny, laminovaná bezpečnostní skla, minimalizace oken v technických zónách, kontrolované větrací otvory s mřížemi.
  • Střecha a šachty: kryté přístupy, zamykatelné střešní výlezy, mřížované světlíky, perimetrické čidla (mikrovlnná/IR bariéra).

Recepce, vestibul a návštěvnické zóny

  • Vestibul: fyzická přítomnost ostrahy, video interkom, kontrolní rentgen/ruční detektor dle rizika.
  • Mantrap: dvoudveřová přechodová komora s váhovou/objemovou kontrolou, anti-tailgating a anti-passback logika.
  • Visitor management: předregistrace, ověření dokladů, NDA, viditelné badge s časovou expirací, doprovod po celou dobu.

Elektronické přístupy (PACS) a identita

  • Autentizace: kombinace karty (DESFire), PIN a biometrie dle zóny; mobilní pověření (NFC/BLE) pro granulární správu.
  • OSDP Secure: šifrovaná komunikace čtečka–kontrolér; legacy Wiegand jen přechodně a fyzicky chránit.
  • Role a zóny: RBAC, dočasná oprávnění pro dodavatele, schvalování změn, pravidelná recertifikace přístupů.
  • Anti-passback a časová okna: brání sdílení karet a nekontrolovaným průchodům.

Mechanická zabezpečení a bariéry

  • Turnikety a speed-gates: přechody mezi lobby a chráněnými zónami, senzory tailgatingu, bezbariérové průchody.
  • Dveře a zámky: elektromechanické/ elektromagnetické s monitorováním stavu (otevřeno/vynuceno); režimy fail-safe/fail-secure dle únikových cest.
  • Racky a klece: uzamykatelné, s čtečkou a logováním; možnost cage pro vyhrazené zákazníky.

Videodohled (CCTV) a detekce narušení

  • Pokrytí: 100 % vstupů, mantrap, koridorů, sálu, zásobování, trafostanic a generátorů; přehledové + detailní záběry.
  • Funkce: WDR, noční vidění, analýza pohybu, detekce manipulace s kamerou, tamper alarmy.
  • Retence a integrita: oddělené úložiště, digitální podpisy/časy, řízení přístupů k záznamům, exportní řád pro forenzní použití.

Bezpečnost energií a podpůrné infrastruktury

  • Přívod elektřiny: minimálně dvě nezávislé trasy, separované trasy a trafostanice, fyzická kontrola přístupu k rozvodnám.
  • UPS a bateriové místnosti: řízený přístup, detekce plynů (H2 u olova), chlazení, hašení vhodné pro elektrická zařízení.
  • Diesel generátory: zabezpečené nádrže, detekce úniku, záchytné vany, zajištěné plnění, dohled a perimetrická ochrana.

Požární bezpečnost, detekce a hašení

  • Detekce: vícestupňová – včasná aspirace (VESDA), bodová čidla, lineární teplotní kabely v kabelových trasách.
  • Hašení: preferenčně čistá média (např. inertní plyny) v sálech; vodní mlha či sprinklery mimo kritické zóny dle koncepce objektu.
  • Zónování a řízení: uzávěry VZT, odvětrání kouře, priorita bezpečného opuštění osob; integrace s EPS a BMS.

Ochrana prostředí: HVAC, vlhkost, úniky

  • HVAC zóny: fyzicky oddělené strojovny, uzamčené přístupy, čidla otevření servisních panelů.
  • Úniky kapalin: detekční kabely pod dvojitou podlahou, ve zvýšených podhledech a kolem výměníků; automatické odstavení větví.
  • Kabelové a potrubní prostupy: protipožární ucpávky, kouřotěsnost, mechanická odolnost proti násilnému otevření.

Telekomunikace a fyzická separace tras

  • Diverse paths: redundantní vstupy operátorů z protilehlých stran objektu, samostatné šachty a patchovací místnosti.
  • Uzamykatelné rozvaděče: kontrola přístupu do MMR/POP, kamera a PACS na každém vstupu a racku.
  • Ochrana zakončení: plombování, tamper senzory, evidence zásahů do tras.

Logistika, příjem/expedice a screening materiálu

  • Loading bay: oddělen od zákaznických tras; kamery, kontrola dokladů, zóny pro karanténu materiálu.
  • Kontrola balíků: vizuální, váhové a případně RTG podle profilu rizika; evidence sériových čísel a RMA.
  • Přesun do sálu: trasy bez veřejného přístupu, společný doprovod, dočasné badge, záznam o době a místě práce.

Bezpečnostní režimy a provozní stavy

  • Normální režim: standardní kontroly, provozní monitoring.
  • Zvýšená pohotovost: po incidentu v regionu/varování; zpřísněné kontroly, omezení návštěv.
  • Incidentní režim: poplach EPS/PACS; scénáře uzamčení zón, evakuace a eskalace směrem k SOC/PO.

Integrace systémů: PACS, CCTV, BMS, SIEM

  • Korelace událostí: průchod kartou ↔ obraz z kamery ↔ stav dveří ↔ alarmy; jednotné časové razítko.
  • Bezpečnostní orchestrátor: jednotná konzole pro ostrahu, řízení poplachů, ticketing údržby a reporty.
  • API a segmentace: šifrovaná komunikace, síťové oddělení bezpečnostních systémů, pravidla změn a verzování konfigurací.

Personální bezpečnost a školení

  • Prověrky: background-checky, rámcové dohody o mlčenlivosti, bezpečnostní školení při nástupu a periodické opakování.
  • Bezpečné chování: zákaz propping doors, zákaz sdílení karet, hlášení ztrát karet okamžitě.
  • Dodavatelé: předem schválené firmy, definovaný rozsah práce, doprovod a dočasná oprávnění.

Forenzní připravenost, evidence a audit

  • Logy: přístupové události, stavy dveří, alarmy, video; retence podle právních a smluvních požadavků.
  • Řetězec péče o důkaz (chain of custody): dokumentace exportu záznamů a předání oprávněným osobám.
  • Testy a audity: pravidelné penetrační zkoušky fyzické bezpečnosti (red team), cvičení incident response, kontrola SLA ostrahy.

Design zón a klasifikace prostor

Zóna Typický přístup Kontroly Poznámka
Veřejná (parking, lobby) Volný/recepce CCTV, ostraha, osvětlení Žádný přímý vstup do technických částí
Kontrolovaná (mantrap) Badge + PIN/biometrie Anti-tailgating, metal detekce dle rizika Registrace návštěv
Omezená (koridory, MMR) RBAC, doprovod OSDP, CCTV, dveřní senzory Oddělené trasy pro zákazníky/dodavatele
Kritická (sály, rozvodny) MFA, jen oprávnění Hašení, VESDA, plná korelace logů Bez fotografování, přísná pravidla nářadí

Ukazatele výkonnosti (KPI) a měřitelnost bezpečnosti

  • MTTD/MTTR bezpečnostních incidentů: doba detekce a doba reakce.
  • Rate of unauthorized attempts: počet zamítnutých průchodů vs. schválené.
  • Coverage & availability: procento funkčních kamer/čteček, doba výpadků, doba obnovy.
  • Compliance score: procento splněných kontrol při interních auditech a zákaznických návštěvách.

Specifika pro více-nájemní (colocation) a cloud provozy

  • Oddělení zákazníků: fyzické klece, dedikované MMR, oddělené trasy kabeláže, nezávislá PACS doména.
  • Transparentnost: sdílené politiky přístupu, kalendář údržby, reporty o incidentech.
  • On-site hands: SOP pro práci na zařízeních zákazníků, povinné „two-person rule“ v citlivých zónách.

Kontinuita provozu a scénáře obnovy

  • Provoz ve ztížených podmínkách: zásoby paliva, voda pro chlazení, náhradní díly, dohody s dodavateli.
  • Evakuační a lockdown režimy: cvičení, komunikace se zákazníky, dálková správa přístupů.
  • Post-incident review: kořenová příčina, nápravná opatření, aktualizace SOP.

Checklist fyzické bezpečnosti datového centra

  • Perimetr: oplocení, osvětlení, kamery, kontrolované vjezdy.
  • Vstupy: recepce s ostrahou, mantrap, turnikety, visitor management.
  • PACS: OSDP Secure, RBAC, MFA v kritických zónách, anti-passback.
  • CCTV: úplné pokrytí, retence, korelace s přístupovými logy.
  • Požár: VESDA, adekvátní hašení, zónování a integrace s EPS/VZT.
  • Energie: fyzická ochrana traf, UPS, generátorů; monitoring a detekce úniků.
  • MMR a sály: uzamykatelné racky/klece, plombování, detekce otevření.
  • Logistika: oddělený loading bay, screening zásilek, evidence materiálu.
  • Procesy: školení, recertifikace přístupů, audity, cvičení incidentů.
  • Forenzní připravenost: retence logů, chain of custody, exportní pravidla.

Závěr: bezpečnost jako souhra techniky, procesů a lidí

Úspěšná fyzická bezpečnost datového centra nevychází z jediné technologie, ale ze sladěného systému vrstev ochrany, jasných provozních postupů a disciplinované práce lidí. Pravidelné hodnocení rizik, testování kontrol a měření výkonnosti zajišťují, že bezpečnost drží krok s rostoucími nároky na dostupnost, důvěrnost a integritu služeb.

Related Posts

skupina spotrebiteľov

Skupina spotrebiteľov a jej význam v oblasti výrobkov Skupina spotrebiteľov je dôležitým pojmom v oblasti ekonomiky a trhu, ktorý sa zaoberá rozdelením spotrebiteľov na rôzne […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *