CPD Parte I

Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se concentran los recursos necesarios para el procesamiento de la información de una organización. También se conoce como centro de cómputo en Hispano-américa, centro de cálculo en España o centro de datos por su equivalente en inglés data center. Dichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de comunicaciones.

El Centro de Proceso de Datos

Estructura Física

En un CPD podemos encontrar varias áreas separadas como son las áreas de:

• Procesamiento Principal
• Equipos de conmutación de Red
• Impresión
• Backup
• Servidores
• Aplicaciones
• Operadores o exterior

La separación en áreas presenta beneficios en términos de: Control de acceso, control ambiental y reducción del riesgo de fuego entre otros

Las consecuencias de un desastre en el CPD pueden ser tan graves que merece la pena considerar otras líneas de defensa adicionales:

1) Dividir las áreas de forma inteligente, por ejemplo dividir la sala de procesamiento principal en dos salas separadas haciendo muy poco probable que se produjera un desastre en las dos al mismo tiempo.

2) No debe haber ruta alguna entre los cuartos que permita la propagación del fuego, del humo, del agua, de gases o de explosiones (las posibles rutas de cable deben ser selladas con material cortafuegos, masillas o espumas de silicona)

3) Alimentación, Sistemas de refrigeración, Protección contra incendios y sistemas de seguridad independientes.

Estructura Organizativa

A este nivel (lógico), el CPD es un servicio del área de tecnología de la información (TI) y se encarga de proporcionar acceso a las nuevas tecnologías de la información a toda la comunidad de usuarios de la empresa, siendo por tanto responsable de tareas tales como (entre muchas otras):

1) Planificar a medio/largo plazo la arquitectura del sistema de la empresa.
2) Organizar y mantener los Sistemas de Información.
3) Asesorar a la empresa en la implantación de nuevos SI
4) Planificar necesidades de infraestructuras.

Para llevar a cabo esto a nivel organizativo el CPD se estructura en 3 áreas:

• Seguridad, Backup y Explotación

Funciones

Mantenimiento de cuentas  y gestión de permisos de usuarios, mantenimiento de cortafuegos, gestión de copias de seguridad y recuperación de datos, inventario de hardware y atención de incidencias.

•  Sistemas e Infraestructuras

Funciones

Administrar servidores y almacenamiento SAN, gestión de máquinas en red y equipos de conmutación, gestión y monitorización de servicios de red, resolución de incidencias asociadas al sistema y a su infraestructura, gestión de las infraestructuras del CPD (instalaciones eléctricas, SAI, generadores, aire acondicionado o sistemas antiincendios.

• Área de Administración y Soporte

Funciones

Administrar la base de datos soporte y de su software de base así como del espacio, su seguridad, la monitorización del rendimiento. Administración de servidores de aplicaciones. Definición de estándares de desarrollo, control de calidad e instalación de aplicaciones cliente-servidor. Resolución de incidencias asociadas a esta área.

Arquitectura de alta disponibilidad

Permite que los SO en la empresa estén disponibles las 24 horas de los 7 días de la semana. Al implementar esta solución las empresas pueden contar con la seguridad de no perder negocios ni información debido a fallos en los sistemas. La alta disponibilidad está asociada a dos términos: Fiabilidad y Disponibilidad que en ocasiones se confunden.

a) Fiabilidad (o continuidad del servicio)

Es la probabilidad de que un sistema funcione normalmente durante un período determinado de tiempo.

b) Disponibilidad 

Es la probabilidad de que un sistema funcione adecuadamente en cualquier momento. 

Se expresa como un porcentaje y se calcula dividiendo el tiempo durante el cual el servicio está disponible por el tiempo total.

Nota: Por ejemplo se considera que un sistema no funciona bien si un servicio no funciona correctamente.

Altas disponibilidades y tiempos de interrupción

Hardware empresarial

Existen un conjunto de componentes básicos empleados en soluciones empresariales orientados hacia la seguridad y alta disponibilidad.

• Bastidores ó Racks
• Sistemas de Almacenamiento como NAS o SAN
• Servidores de archivos
• Sistemas de alimentación ininterrumpida (SAI)
• Dispositivos de control remoto

Rack o Bastidor

Es un armario metálico para soportar equipos electrónicos, informáticos y de comunicaciones permitiendo configuraciones hardware complejas sin ocupar excesivo espacio ni requerir estanterías. Son fundamentales en los CPD donde el espacio es un recurso muy valorado.

Características

1. Medidas estándar y normalizadas, normalmente de 19" de ancho y con un alto y fondo variable, adaptable al componente a ubicar.
2. Normalmente suelen ser columnas verticales que suelen llegar a una altura máxima de 2 metros, la gran mayoría de 42U, aunque pueden llegar a 46U. También existen racks de pared útiles para pequeñas instalaciones.
3. El armazón dispone de una serie de guías horizontales donde apoyar el equipo a instalar, así como puntos de anclaje para la fijación del mismo mediante tornillos.
4. También existe la posibilidad de, mediante bandejas, apoyar equipamiento como un monitor o un teclado. 

Pueden alojar

• Servidores, con carcasa adaptable al bastidor,
• Equipos de conmutación: switches, enrutadores, etc.
• Paneles de parcheo
• Cortafuegos
• Sistemas de Audio y Video
• Centralitas de comunicaciones 

Ejemplo de Bastidor

Nota: Una U (unidad rack) equivale a 4,5cm de alto aproximadamente.  Existen servidores de diferentes dimensiones, una altura (1U), dos alturas (2U), cuatro alturas (4U). Por ejemplo los servidores blade permiten recoger en 4U más de veinte servidores compartiendo alimentación y conexiones.

NAS

Network Attached Storage (NAS) es una tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un servidor con un conjunto de máquinas o servidores clientes a través de una red (TCP/IP).

Características

• Se sirve de SO optimizados para trabajar con diversos protocolos de compartición como CIFS, NFS, FTP, etc
• Muy útil para proporcionar el almacenamiento centralizado a ordenadores clientes en entornos con grandes cantidades de datos.
• Suelen disponer de varios dispositivos configurados en RAID
• Es fácil de configurar y con bajo costo y esta orientado al mercado de consumo.
• Provee de balanceo de carga, tolerancia a fallos y servidor web para proveer servicios de almacenamiento.
• Los clientes siempre se conectan al NAS a través de una conexión Ethernet. 
• No requieren de pantalla, ratón o teclado, sino que poseen interfaz Web.

Ejemplos: Buffalo's TeraStation o Linksys NSLU2

Observaciones

Están disponibles distribuciones software libre (basadas en Linux y FreeBSD) orientadas a servicios NAS como FreeNAS, NASLite y Openfiler. Son configurables mediante interfaz web y pueden ejecutarse en computadoras con recursos limitados. Existen distribuciones en LiveCD, memorias USB o desde uno de los discos duros montados en el sistema.

Esquema NAS

Análisis del NAS Synology DS1515

SAN

Storage Area Network (SAN), es una red de almacenamiento integral que está conectada a las redes de comunicación de una compañía. Se trata de una arquitectura completa que agrupa los siguientes elementos:

• Red de alta velocidad de canal de fibra o iSCSI (protocolo transferencia TCP/IP).
• Equipos de interconexión dedicados (conmutadores, puentes, etc).
• Elementos de almacenamiento de red (discos duros).

Esquema SAN

Características

• Además de contar con interfaces de red tradicionales, los equipos con acceso a la SAN tienen una interfaz de red específica que se conecta a la SAN.
• El rendimiento de la SAN está directamente relacionado con el tipo de red que se utiliza. 
• La capacidad de una SAN se puede extender de manera casi ilimitada y puede alcanzar cientos y hasta miles de terabytes.
• El tráfico de SAN está totalmente separado del tráfico de usuario, lo que permite compartir datos entre varios equipos de la red sin afectar el rendimiento.
• Los mismos servidores de aplicaciones sirven de interfaz entre la red de datos (generalmente un canal de fibra) y la red de usuario (por lo general Ethernet).
• Como es lógico SAN es mucho más costosa que NAS. 

Servidores de archivos

Son máquinas con características y prestaciones diferentes a una computadora personal. Se encarga de almacenar archivos en una ubicación centralizada permitiendo el acceso de muchos ordenadores y poder distribuirlos a otros clientes de la red.

Teniendo un servidor de archivos los usuarios pueden trabajar y tener acceso a documentos sin tener que llevar un disco. Los privilegios de acceso pueden ser restringidos a invitados o usuarios registrados.

Gama Servers PRIMERGY

Además de servir como un repositorio centralizado, facilita las estrategias de copias de respaldo centralizada (en un único emplazamiento) y la implementación de la seguridad proporcionando ventajas como:

• Más rendimiento al sistema.
• Protección de datos contra fallos de corriente y otras incidencias.
• Posibilidad de automatización de las copias de seguridad.
• Los servidores son intrínsecamente inmunes a virus informáticos.
• Pueden actuar como pasarelas para intercomunicar diferentes sistemas como Macintosh, Windows o Linux.
• No se cuelgan “nunca”.
• Se mantienen automáticamente sin requerir intervención manual.
• Tienen sistemas de archivos journaling que permiten la recuperación instantánea ante un apagón o errores comunes como el cierre del sistema de forma brusca, sin necesidad de ejecutar lentas herramientas como Scandisk.
• Son servidores de alta seguridad, que pueden tener los datos distribuidos, con alta disponibilidad o cifrado automático.

Nota: En principio cualquier servidor puede actuar como servidor de archivos.

CPD Parte II

SAI ó UPS

Un SAI o Sistema de alimentación Ininterrumpida, también llamado UPS (Uninterruptable Power Supply) es un dispositivo que permite mantener la alimentación eléctrica mediante baterías cuando falla el suministro o se produce una anomalía (por ejemplo, una sobretensión) en la red eléctrica.

Sirven, por tanto, para proteger los dispositivos que tienen conectados y mantenerlos en funcionamiento ante alguno de los 9 problemas que puede haber con el suministro eléctrico:

• Cortes de electricidad
• Picos de tensión (sobretensión)
• Bajadas de tensión
• Baja/Alta tensión continuada
• Interferencias radioeléctricas o electromagnéticas (ruidos)
• Variaciones de frecuencia
• Microcortes (conmutaciones)
• Distorsiones armónicas en la forma de la onda.

Según su topología o forma de funcionamiento se distinguen tres tipos:

a) SAI Off-line (Stand-By)

Proporcionan la protección más básica de todas. Protegen contra 3 problemas: cortes de electricidad, picos de tensión y bajada de tensión. La alimentación en un SAI off-line viene de la red eléctrica y en caso de alguna de las anomalías indicadas en el suministro, el dispositivo empieza a generar su propia alimentación.

Se usan habitualmente en la protección de dispositivos domésticos como ordenadores, monitores, televisores, etc. en zonas con pocas perturbaciones donde la red es de buena calidad.

Inconvenientes:

• Tienen un pequeño tiempo de conmutación (4-6 ms) en el que no hay suministro eléctrico.
• No son adecuados para proteger dispositivos delicados o sensibles a la forma de onda de su alimentación. 

b) SAI In-line

También conocido como de línea interactiva. Proporcionan una protección intermedia protegiendo contra 5 problemas: cortes de electricidad, picos de tensión, bajadas de tensión o baja y alta tensión continuada.

El funcionamiento es similar al del SAI off-line pero dispone de un Regulador de Voltaje (AVR) que corrige bajas y altas tensiones continuadas.

Nota: Un regulador automático de voltaje (AVR) acepta un rango variable de voltaje de entrada y suministra una tensión constante de salida

Generan una forma de onda de mayor calidad que los SAI off-line y existen modelos profesionales con una calidad de onda excelente.

Su uso puede estar orientado al ámbito doméstico como el off-line o al profesional dando protección a bombas y motores eléctricos, equipos más sensibles y sofisticados como servidores, ordenadores con fuentes PFC activo, instrumentación de laboratorio y equipos sofisticados en entornos de trabajo donde se requiera una protección silenciosa de calidad.

Inconvenientes: siguen teniendo tiempos de conmutación

Nota: El PFC (Power Factor Correction) es un circuito que permite llevar la corrección a valores cercanos a la unidad de tal modo que casi toda la energía proporcionada por la red eléctrica sea aprovechada por la fuente de alimentación.

Por ejemplo un PFC de 0.60 es extremadamente bajo con lo que la fuente es poco eficiente; por contra, un valor de 0.95 es muy bueno, proporcionando un nivel muy alto de eficiencia.

La diferencia entre PFC activo y pasivo se encuentra en los componentes usados para la corrección. En el pasivo se utilizan resistencias y condensadores, mientras que en el activo la corrección la realiza un circuito integrado. Así, las fuentes sin PFC llegan al 60%; las PFC pasivas hasta el 80% y las activas pueden conseguir un 95%

c) SAI On-line

Es el más sofisticado y ofrece protección total. El dispositivo genera continuamente una alimentación limpia con una onda sinusoidal perfecta gracias a la tecnología de doble conversión.

Transforma la electricidad de entrada (AC) a corriente continua (DC) mediante una primera conversión realizada por un Rectificador que alimenta un bus interno y el cargador de las baterías. Mediante una segunda conversión realizada por un Inversor DC/AC se transforma la electricidad del bus interno en una salida sinusoidal perfecta, quedando la carga protegida de cualquier anomalía de la red eléctrica. Como las baterías también están conectadas al bus interno, al producirse un corte de luz, el inversor pasa a alimentarse a partir de ellas sin cortes ni conmutaciones.

En caso de fallo o corte en el suministro eléctrico, los dispositivos protegidos no se ven afectados en ningún momento porque no hay un tiempo de conmutación. 

Inconvenientes: Las baterías trabajan más, por lo que deben sustituirse con más frecuencia y tienen un coste superior al de las demás topologías.

Su uso más común es en la protección de cargas críticas y dispositivos delicados o de mucho valor en empresas, tales como servidores, electrónica de red, ordenadores de monitorización, videograbadores y cámaras de seguridad, etc. 

Puesto que esta tecnología es la más eficiente para proteger cargas grandes, son los modelos más usuales a partir de los 2000VA y los únicos a partir de los 6-10KVA, consumos utilizados en centros de procesamiento de datos o CPD y aplicaciones trifásicas.

Otras características habituales de un SAI ó UPS:

• Conectores RJ11 o RJ45 para proteger los equipos conectados a una línea telefónica, en caso de que la línea reciba una sobretensión.
• Salida RS-232 y/o USB para conectarlos a un ordenador. Mediante el software adecuado, el ordenador es capaz de conocer el estado del SAI y de autoapagarse en caso de que tras un fallo de suministro prolongado, el ordenador vaya a quedarse sin alimentación. Esto es adecuado si cada ordenador se protege con un SAI, pero insuficiente si un SAI protege varios ordenadores al mismo tiempo.

Seguridad en el CPD

La empresa tienen que disponer de medidas de seguridad física y lógica que permitan desarrollar su actividad en condiciones normales ante situaciones adversas.

Las grandes empresas suelen disponer de un documento llamado Plan de continuidad de negocio (BCP), un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.

El BCP se basa en 3 estrategias: prevención, mitigación y recuperación e incluye medidas medidas como copia de datos en centro diferentes, uso de conexiones de alta velocidad, empleo de infraestructuras paralelas, etc.

1) Física

Los riesgos físicos pueden ser naturales como hundimientos, terremotos, temporales, inundaciones etc o no naturales como proximidad de otras instalaciones, actos vandálicos, atentados, etc.

En general los riesgos se reducen considerablemente si se elije una ubicación apropiada para el CPD.

De manera más específica el BCP contempla diferentes elementos a tener en cuenta respecto a la seguridad física:

• Control de Acceso a la sala
• Precauciones Anti incendio
• Sistemas de control de inundaciones
• Protección del sistema de cableado estructurado

Medidas preventivas:

• Ubicar la tecnología dentro de sitios seguros bajo llave restringiendo el acceso al personal autorizado mediante cerrojos (códigos de acceso, bandas magnéticas, biométricos, etc.
• Vigilancia con guardias de seguridad, cámaras de seguridad, sensores de movimiento o temperatura que activen alarmas, etc.

2) Lógica

Consiste en aplicar barreras y procedimientos que resguarden el acceso a los datos con el fin de mantener la integridad de la información y proteger la información confidencial de accesos no autorizados. Estos controles pueden implementarse en el SO, aplicaciones, bases de datos o paquetes específicos de seguridad.

Medidas preventivas:

• Restringir el acceso a programas y archivos usando permisos.
• Control de la transmisión de información.
• Sistemas alternativos secundarios de transmisión.

Enlaces

• CPD de la Universidad de Burgos
• Alcalá Data Center
• Data Center MMT seguros