Checkliste Rechenzentrum:
Praxis: Qualität, Leistung und Zukunftsfähigkeit von Datacentern bewerten

von Bernd Reder (bernd.reder@networkcomputing.de), Peter Knapp (Interxion)

Share
25.05.2010

Die Qualität eines Rechenzentrums hängt von vielen Faktoren ab, angefangen von der Gebäudesicherheit über die Zutrittskontrolle, Stromversorgung, Klimatisierung bis zur Netzwerkanbindung und Skalierbarkeit. Vor allem dann, wenn ein Anwender die Dienste eines Colocation-Anbieters nutzt, sollte er zuvor diese Faktoren kritisch prüfen. Die unten stehenden Checklisten helfen dabei.

Die Betriebs- und Kapitalkosten eigener Rechenzentren stehen immer stärker auf dem Prüfstand und stellen europaweit eine der größten Herausforderungen dar. Dies hat im vergangenen Jahr eine Studie von Interxion [1] in Zusammenarbeit mit IDC ergeben. Da die Investitions- und Betriebskosten mit der Umsetzung aktueller Sicherheitsstandards in Rechenzentren steigen, lässt sich eine hohe physische Sicherheit nicht immer und überall realisieren.

Datacenter, wie hier das von Interxion in Frankfurt am Main, müssen eine Vielzahl von Kriterien in Punkten wie Sicherheit und Skalierbarkeit erfüllen.

Auch aufgrund von Platzmangel oder Engpässen bei der Stromversorgung oder bei der Klimatisierung im eigenen Rechenzentrum entscheiden sich immer mehr Unternehmen für alternative Lösungen wie beispielsweise Colocation. Vor allem angesichts der schwierigen wirtschaftlichen Situation tendieren Unternehmen dazu, Leistungen bedarfsgerecht extern zu beziehen, statt selbst in eigene Anlagen zu investieren.

Bei Colocation wird eine Stellfläche im Rechenzentrum eines Dienstleisters angemietet. Diese ist mit ausfallsicherer Stromversorgung und Klimatisierung ausgestattet und physisch durch Sicherheitsmechanismen abgesichert. Die eigene IT wird mit eigenem Personal dort weiter betrieben, die Server und Systeme gehen somit nicht in fremde Hände über.

Studie ermittelt steigenden Bedarf an Colocation

Ein Colocation-Anbieter bürgt für die Sicherheit, die unterbrechungsfreie Stromversorgung und die optimale Klimatisierung der IT- und Telekommunikationssysteme seiner Kunden. Entsprechende Service-Vereinbarungen, die Service Level Agreements (SLAs), regeln die Verfügbarkeit, die Betriebszeiten und eventuelle Konsequenzen bei Nichteinhaltung durch den Dienstleister. Ein Vorteil, der sich bei einer internen Lösung nur schwer abbilden lässt.

Hinsichtlich Flexibilität, Wirtschaftlichkeits- und Haftungsaspekten stellt die externe Lösung in immer mehr Fällen eine interessante Alternative gegenüber dem eigenen Rechenzentrum dar. Dementsprechend plant laut der Studie von Interxion/IDC die Hälfte der deutschen Unternehmen mittel- bis langfristig ein Outsourcing oder Outtasking ihrer IT- und Telekommunikationssysteme.

Zertifizierte Rechenzentrumsbetreiber noch unterrepräsentiert

Wenn sich ein Unternehmen für ein externes Rechenzentrums entscheidet, sollte es darauf achten, dass der Rechenzentrumsanbieter nach ISO 27001 zertifiziert ist. Dies ist einer der strengsten internationalen Standards für System- und physikalische Sicherheitsprozesse.

Der Auditierungs- und Zertifizierungsprozess erstreckt sich auf alle Aspekte des Geschäfts inklusive Infrastruktur, physikalische Sicherheit und Zutrittsmanagement, Personal, Kommunikation, Operations, Compliance-Kriterien sowie Datensicherungs- und Disaster-Recovery-Systeme.

Da zurzeit nur wenige Rechenzentrumsbetreiber eine solche Zertifizierung vorzuweisen haben, dient die unten stehende Checkliste einer ersten Bestandsaufnahme und Beurteilung. Berücksichtigt wurden die wichtigsten Kriterien zu den Themen physische Sicherheit, Skalierbarkeit, Effizienz und Störungsmanagement.

1. Check: Gebäudesicherheit und Zutrittsregelung

Rechenzentren müssen gewährleisten, dass IT-Systeme stets verfügbar sind und die Vertraulichkeit, Verfügbarkeit und Integrität der dort gelagerten Daten sichergestellt ist. Die Voraussetzung dafür: eine ausgefeilte Zutrittskontrolle, die jeden Zutritt genauestens kontrolliert und protokolliert.

Ein Sicherheitselement in Datacentern sind Personenvereinzelungsanlagen.

Geprüft werden sollten folgende Punkte:

Wie wird sichergestellt, dass nur Befugte Zugang zum Rechenzentrum haben? Dies lässt sich mithilfe mehrstufiger Sicherheitssysteme, der Abfrage von biometrischen Merkmalen zur eindeutigen Erkennung, der Dokumentation der Zu- und Austritte von Personen oder Personenvereinzelungsanlagen erreichen.

  • Ist das Gebäude entsprechend gesichert? Bewährt hat sich die Kombination aus Sicherheitspersonal vor Ort und einer Kameraüberwachung aller kritischen und wichtigen Innen- und Außenbereiche mit anschließender Langzeitarchivierung der Bilddaten.
  • Sind einbruchsichere Türen und Fenster sowie Einbruchmeldeanlagen im Rechenzentrum vorhanden?
  • Haben autorisierte Mitarbeiter und Zulieferer ohne Vorankündigung rund um die Uhr an 365 Tagen im Jahr Zutritt zum Rechenzentrum? Rechenzentren müssen zwar sicher sein, doch darf die Sicherheit nicht allzu sehr behindern.
  • Kann ein unbefugter Zugang zur Technik im Inneren des Rechenzentrums vermieden werden, etwa von anderen Kunden des Rechenzentrumsanbieters? Gibt es hier zusätzliche Kameras oder getrennte Zugangssysteme und Bewegungsmelder?
  • Sind Leckage-Systeme vorhanden, die ein Eintreten von Wasser in den Rechenzentrumskern verhindern?

2. Check: Brandschutz

Brände können geschäftskritische Daten unwiederbringlich zerstörenDeshalb ist es wichtig, Brände frühzeitig zu erkennen.

Zur Branderkennung bieten sich Brandfrühesterkennungssysteme an. Sie prüfen mit Hilfe von Lasern permanent die Luft im Rechenzentrum. Bereits bei einem geringen Anteil an Rußpartikeln, die beispielsweise ein schmorendes Kabel freisetzt, schlagen solche Systeme Alarm.

Im Einzelnen:

  • Ist das Rechenzentrum in verschiedene Brandabschnitte unterteilt? Gibt es Room-in-Room-Lösungen, sind Brandschutzwände vorhanden und Brandbekämpfungssysteme nach dem neuestem Stand der Technik installiert?
  • Sind Brandschutztüren und -fenster installiert und wurde auf Brandabschottung der Trassen geachtet?
  • Werden Brandschutzvorschriften im Allgemeinen eingehalten? wie wird mit Brandlasten umgegangen?
  • Existieren Handfeuerlöscher?
  • Gibt es ein Brandfrühesterkennungssystem? Sind Sensoren und Detektoren auch im Doppelboden installiert, die auf Temperaturanstieg sowie auf Rauch- und Schwelgase reagieren?
  • Wie werden der interne Sicherheitsdienst und die Feuerwehr im Brandfall informiert?
  • Wird im Brandfall Löschgas verwendet, das der Technik nicht schadet?
  • Sind Entgasungs-, Ventilations- und Druckentlastungs-Systeme vorhanden?
  • Kann der Betrieb auf Kundenwunsch redundant ausgelegt werden und lässt sich die Brandprävention kundenspezifisch regeln? Kann also der IT-Betrieb aufrechterhalten werden, wenn nur ein Abschnitt oder ein Raum brennt?
  • Ist das Brandbekämpfungssystem redundant ausgelegt?

3. Check: Unterbrechungsfreie Stromversorgung

Bei Ausfall des öffentlichen Stromnetzes springt eine unterbrechungsfreie Stromversorgung (USV) ein. Zudem filtern solche Systeme Spannungsspitzen oder Störsignale heraus. Blitzschutz und USV sind somit alles andere als »Luxus«.

Im Einzelnen:

  • Hat das Rechenzentrum eine Blitzschutzvorrichtung, einen Überspannungsschutz und liegt bei den Außenleitungen eine galvanische Trennung vor?
  • Ist eine USV vorhanden und welche Verfügbarkeit ergibt sich aus der Konfiguration?
  • Welchen Zeitraum kann die USV unter Volllast überbrücken?
  • Gibt es (redundante) Netzersatzanlagen, die im Falle eines länger andauernden Stromausfalls die Versorgung übernehmen können?
  • Wie lange reicht der Treibstoffvorrat und gibt es Lieferverträge mit Treibstofflieferanten, um im Bedarfsfall sofort Diesel für die Generatoren zu erhalten?
  • Erfolgt der Übergang der Stromversorgung unterbrechungsfrei? Und zwar vom Normal- auf Notbetrieb und umgekehrt? Ist die Kompatibilität der Systeme gewährleistet oder existieren mehrere Systeme unterschiedlicher Hersteller nebeneinander?
  • Läuft die Krisenumschaltung vollautomatisch?
  • Ist die Stromverfügbarkeit in den Service-Level-Agreements verbindlich geregelt?
  • Werden regelmäßig Wartungsarbeiten durchgeführt und die Notstromversorgung überwacht, kontrolliert und getestet?
  • Bestehen langfristige Verträge über mögliche Kapazitätserweiterungen mit städtischen Energieversorgern oder Pläne eigener Kraftwerke vor Ort? Ist eine zusätzliche Versorgung durch das bestehende Netz überhaupt möglich?

4. Check: Klimatisierung (Kühlung und Luftfeuchtigkeit)

Da der größte Teil der zugeführten Energie von den Geräten in Form von Wärme wieder abgegeben wird, spielt neben der Stromversorgung die Klimatisierung eine wichtige Rolle. Vor allem im Sommer kann es eine große Herausforderung sein, im Rechenzentrum Temperatur und Luftfeuchtigkeit im Idealbereich zu halten.

Die immer leistungsfähigere Hardware und deren steigender Strombedarf lassen herkömmliche Klimatisierungskonzepte oftmals an ihre Grenzen stoßen. Sowohl bei der Stromversorgung als auch bei der Klimatisierung müssen Überkapazitäten vorhanden sein. Dadurch lassen sich ein (Teil-)Ausfall der Infrastruktur sowie Versorgungslücken kompensieren, die durch Wartungsarbeiten entstehen.

  • Ist das Klimatisierungssystem von den Geräten bis hin zum Kaltwasserversorgungsnetz redundant aufgebaut?
  • Sind Überwachungs- und Früherkennungssysteme installiert, welche die Temperatur und die Luftfeuchtigkeit jederzeit messen und protokollieren?
  • Sind Verfügbarkeiten und Servicebedingungen in SLAs geregelt?
  • Laufen Alarme und Warnungen an einer zentralen Stelle auf (NOC), die rund um die Uhr besetzt ist, damit etwa bei Überhitzung schnell reagiert werden kann?
  • Werden umweltfreundliche Kühlsysteme mit Freikühlungsfunktion verwendet?
  • Ist die Kühlungskapazität der IT-Dichte angemessen?
  • Sind die Anlagen auf weiteres Wachstum ausgelegt beziehungsweise stehen noch Kapazitäten zur Verfügung?
  • Ist die Infrastruktur so ausgelegt, dass Luftströme optimal geleitet werden können (keine Kabelbündel im Doppelboden et cetera)?
  • Können vorhandene Klimatisierungssysteme auf den Bedarf des Kunden abgestimmt werden?

5. Check: Netzwerkanbindung

Aus Sicherheitsgründen empfiehlt es sich, auf mindestens zwei Service-Provider zu setzen. Diese sollten über unterschiedliche Wege (Kabel) angebunden sein.

Als essenzieller Bestandteil für den externen Datenaustausch sollte die Netzwerkanbindung redundant aufgebaut sein. Optimal ist eine zusätzliche Anbindung, etwa durch einen zweiten Netzbetreiber mit einer alternativen Wegeführung der Kabel oder mithilfe von drahtlosen Übertragungswegen wie Richtfunk oder Satellit.

Im Detail sollte der Interessent folgende Punkte ansprechen:

  • Stehen mindestens zwei separate Hauseinführungen von zwei unterschiedlichen Netzbetreibern zur Verfügung?
  • Kann man mit Datenaustauschknoten/Carriern in Verbindung treten?
  • Ist Carrier-Neutralität gewährleistet?
  • Haben alle großen Netzbetreiber ihre Anschlusspunkte in dem ausgewählten Rechenzentrum?
  • Sind kurze Latenzzeiten gewährleistet?

6. Check: Skalierbarkeit

Ein Datacenter muss genügend Raum für Erweiterungen bieten.

Da ein Unternehmen nie genau planen kann, wann eine Expansion der IT- und Telekommunikationssysteme eintreten wird, ist es unerlässlich, dass das Rechenzentrum skalierbar ist und nicht von einem Tag auf den anderen an seine Kapazitätsgrenzen stößt.

  • Kann die Rechenzentrumsfläche insgesamt nach aktuellen Sicherheits- und Verfügbarkeitsstandards erweitert werden?
  • Inwieweit kann an jedem Punkt des Rechenzentrums die Gerätekapazität aufgestockt werden?
  • Existieren Baupläne oder Erweiterungspläne für die nächsten zehn Jahre?

7. Check: Energieeffizienz

Rechenzentrumsanbieter können sich nicht hinter dem Argument verstecken, dass sie selbst nicht viel in Richtung Green IT tun können, weil ihre Energiebilanz von der Hardware und dem Stromverbrauch ihrer Kunden abhängig ist. Colocation-Anbieter haben durchaus die Möglichkeit, mithilfe der richtigen Architektur und Klimatisierung für einen effizienteren Betrieb zu sorgen.

Einige Anbieter sind sogar Mitglied bei »The Green Grid« einem Konsortium, das sich weltweit für eine Verbesserung der Energieeffizienz in Rechenzentren stark macht. Ebenso wie bei einer Zertifizierung nach ISO-Standard 27001 sollte man bei Rechenzentrumsanbietern darauf achten, ob sie bei Organisationen wie The Green Grid aktiv sind.

Im Einzelnen:

  • Bietet der Rechenzentrumsanbieter Beratung bei Virtualisierung und Konsolidierung der Systeme, die der Nutzer dort platzieren möchte?
  • Werden energiesparende Klimatisierungsgeräte mit Freikühlungsfunktion eingesetzt und sind Luftströme aus Warm- und Kaltluft vollständig getrennt? Stehen auch Nachrüst-Systeme zur Trennung von Warm- und Kaltluft bei bestehenden älteren Serverschränken zur Verfügung?
  • Bestehen nachhaltige Raumkonzepte und sind die Serverräume durch ein Room-in-Room-Konzept von äußeren klimatischen Bedingungen abgeschottet?
  • Sind das Gebäude selbst und die Versorgungsinfrastruktur in Bezug auf Energieeffizienz aufeinander abgestimmt und bestehen auch darüber hinaus nachhaltige Verhaltensregeln für Angestellte sowie entsprechende (Kapazitäts-)Management und Wartungskonzepte?

8. Check: Störungsmanagement

Damit die Daten des Nutzers nicht auf dem Müll landen, muss ein Disaster-Recovery-Konzept erarbeitet werden.

Auch Maßnahmen für den Notfall dürfen nicht außer Acht gelassen werden. In Business-Continuity- oder Disaster-Recovery-Plänen muss beschrieben werden, wie im Krisenfall der Geschäftsbetrieb in kritischen Unternehmensbereichen wieder aufgenommen oder fortgesetzt werden kann:

  • Wie wird bei Zwischenfällen oder gar Krisen reagiert?
  • Liegen eine entsprechende Dokumentation und die Notfallpläne zur Einsichtnahme vor?
  • Werden das Verhalten im Notfall und eventuelle Krisenszenarien regelmäßig geprobt und durchgespielt?
  • Welche Szenarien können den Fortbestand des Unternehmens gefährden?
  • Gibt es im Unternehmen einen Verantwortlichen, der für Datensicherheit zuständig ist und auch in Notfallsituationen mit dem Rechenzentrumsanbieter zusammenarbeiten und vor Ort sein kann?
  • Stellt der Anbieter eigene Büros für das Personal seiner Kunden zur Verfügung?
  • Ist darüber hinaus dokumentiert, welche Bereiche der IT im Ernstfall zuerst wiederhergestellt werden müssen?

Der Autor: Peter Knapp ist Geschäftsführer von Interxion Deutschland [1]. Das Unternehmen mit Hauptsitz in Schiphol-Rijk (Niederlande) ist ein europäischer Anbieter von Carrier-neutralen Rechenzentren. Interxion betreibt in Europa 26 Datacenter.

[1] http://www.interxion.de/
[2] http://www.interxion.de/

Verwandte Artikel