Moderne Maschinensäle erhöhen die Sicherheit

Seit 2014 werden die Maschinensäle im Rechenzentrum modernisiert. Die Gründe für den Umbau sind:

• der Wille des Rektorats, dezentrale Serverräume in Uni-Einrichtungen zugunsten von Servern im Rechenzentrum zurückzubauen (siehe Struktur- und Entwicklungsplan der Universität Freiburg, S. 135)
• ein neues Konzept für das High-Performance-Computing (HPC) der Universität Freiburg und des Landes Baden-Württemberg
• der Aufbau des Regionalen Zentrums Virtualisierung (RZV)
• erhöhte Sicherheitsanforderungen für SAP und Verwaltungs-IT
• die Fortführung der GreenIT-Initiative des Rechenzentrums

Ein Teil der neuen Infrastruktur in den Maschinensäle ist für die professionelle Unterbringung von Servern reserviert, die von Fakultäten, Instituten und Professuren nach dem Stand der Technik und gemäß rechtlicher Vorgaben betrieben werden.

Die Maschinensäle des Rechenzentrums

Der Maschinensaal I ist die älteste Installation, die seit den 1970er Jahren existiert. Er ist in puncto Klimaeffizienz, Stromversorgung und Sicherheit in die Jahre gekommen. Auf einer Fläche von 100 Quadratmetern bietet er Platz für mehr als 50 Datenschränken mit 40+ Einschüben. Etliche davon sind im Juni 2016 mit Basis-Infrastrukturen wie TSM-Backup, aktiven oder passiven Netzwerkkomponenten belegt.

Mit der geplanten Renovierung wird die Sicherheit der zentralen Netzwerkkomponenten und in Zukunft besonders zu schützenden Systeme erhöht. Dieser Maschinensaal ist nach Abschluss des Umbaus für interne Nutzer des Rechenzentrums und die zentrale Verwaltung der Universität reserviert.

Im Maschinensaal II mit zwei Bereichen wurde der Teil a vor einigen Jahren mit Hilfe des Unibauamts neu eingerichtet, Bereich b wird im Moment komplettiert.
Die insgesamt vier Reihen von Stellflächen auf jeweils 100 m² schaffen im Endausbau Platz für insgesamt 40 wassergekühlte Schränke. Dank des Umbaus gibt es keine Gewichtsbeschränkungen, Großgeräte wie das neue bwForCluster NEMO lassen sich ohne Probleme unterstellen. Die Stellfläche von IIa ist zum Teil von Computern für virtuelle Maschinen und institutseigenen Server belegt, hat aber noch Platz für weitere Server, die bequem eingeschoben und über Standardanschlüsse mit dem Datennetz verbunden werden können.

Der Maschinensaal III in einem Gebäude der Innenstadt wird seit 2015 umgebaut. Er besteht nach dem Abschluss des Umbaus - das Rechenzentrum plant die Inbetriebnahme für den September 2016 - aus zwei flexibel abgetrennten Bereichen (IIIa und IIIb). Im Bereich a werden allgemeine Infrastrukturen der Universität untergebracht. Der zweite Bereich ist für den Bedarf der Institute in der Innenstadt vorgesehen.

Die Leitung der Maschinensaal-Betriebsgruppe überwacht die Regeln, unter anderem durch halbjährliche Rundgänge durch die Säle. Besonders das Lifecycle-Management mit expliziter Dekommissionierung von abgeschriebener Hardware wird für einen durchgehend modernen Maschinenpark sorgen.

Sicherheit erhöhen

In modernen wassergekühlten Schränken können Kunden ihre Server zusätzlich mit eigenen Maßnahmen sichern. Redundante Strom- und Klimaversorgung sowie Alarmsicherungen genügen aktuellen Sicherheitsanforderungen. In eigenen dezentralen Serverräumen wird der Aufwand für solche Maßnahmen zunehmend teurer und bindet interne Ressourcen, die mit einer Verlagerung eigener Server in die Maschinensäle des Rechenzentrums frei werden.

Eigene Maßnahmen ergänzen die des Rechenzentrums mit den Zielen Verfügbarkeit, Integrität und Authenzität. Für die Verfügbarkeit sorgen redundante Systeme mit geringen Ausfallzeiten. Professionell gemanagte Server stellen sicher, dass gespeicherte Daten nicht durch technische Fehler oder Manipulationen verändert werden und damit ihre Integrität wahren.

Die Authenzität wird sichergestellt durch die uniweit gültige Benutzerverwaltung, an die das Berechtigungskonzept angeschlossen ist. Der Zugang zu den Daten wird nicht nur durch Login-Mechanismen geregelt.

Zutrittsregelungen

Auch der Zutritt zu den Maschinensälen wird stärker reglementiert. Das ist ein wesentlicher Bestandteil des verschärften Sicherheitskonzepts. Die Server der zentralen Verwaltung, der Telefonie für die gesamte Universität wandern in die neuen Maschinensäle, ein strengeres Regiment ist daher absolut erforderlich.

Die Administration eigener Server, ob virtuell oder in eigenen, eingeschobenen Maschinen, wird dank der neuen Bedienkonzepte für Fernsteuerung deutlich einfacher werden. Der physische Zugriff, ohnehin nur bei untergestelltem eigenem "Blech" erforderlich, lässt sich auf Ein- und Ausbau oder Reparaturmaßnahmen reduzieren. Deshalb wurden die folgenden Grundsätze festgelegt:

• Die Anzahl des befugten Personals ist auf ein Minimum zu beschränken, um eine ausreichende Kontrolle der vergebenen Rechte zu gewährleisten.
• Ausschließlich befugtes Personal bekommt Zugang zu den Maschinensälen. Dabei gelten Abstufungen je nach Sicherheitslevel. Die Maschinensäle I und IIIa sind nur in Begleitung autorisierter Begleiter des Rechenzentrums zugänglich.

Zum befugten Personal zählen die Betriebsgruppe des Rechenzentrums und Sicherheitspersonal zur Durchführung entsprechender Sicherungspflichten. Die Mitglieder der Betriebsgruppe und ausgewählte Mitarbeiter der Fachabteilungen des Rechenzentrums, die mit Aufgaben für den Auf- und Abbau und unmittelbaren Betrieb der Hardware betraut sind, haben eigene Schließrechte.

Externem Personal wird der Zugang zum Maschinensaal II nur gewährt innerhalb der Geschäftszeiten des Rechenzentrums und nach An- und Abmeldung am Empfang. Das Rechenzentrum behält sich das Recht vor, begleitendes Personal mitzuschicken. Jede An- und Abmeldung muss im Zugangsbuch hinterlegt und protokolliert werden. Es werden erfasst unter anderem der Vorname und Nachname, das Datum und die Uhrzeit, Name der Person, die Zugang gewährt hat (Kürzel), sowie bei der Abmeldung eine Unterschrift des Betretenden.

Sollte der Zugang außerhalb der Geschäftszeiten nötig werden, gewährt eine externe Sicherheitsfirma den Zutritt nach dem gleichen Schema. Die Öffnung des Gebäudes und des Maschinensaals erfolgt dann durch den Dienstleister, im Juni 2016 die Firma Ziemann. Dieser Service ist kostenpflichtig und muss vom Auftraggeber getragen werden. Die Person, die eventuell Zugang außerhalb der Geschäftszeiten des Rechenzentrums benötigt, wird zuvor bei der Maschinensaal-Betriebsgruppe und bei der Firma Ziemann mit einem gültigen Personaldokument registriert. Dieses Dokument muss dem Mitarbeiter des Sicherheitsdienstes bei Zutritt zum Gebäude vorgelegt werden. Einmal pro Quartal wird die Liste der registrierten Personen aktualisiert.

Hardwarelaufzeit begrenzen

Die Laufzeit von Serverhardware orientiert sich an den allgemeinen Gepflogenheiten im HPC- und Hosting-Bereich. Sie folgt in mehreren Punkten der ökonomischen Logik im IT-Bereich, alte Hardware regelmäßig auszutauschen, die sonst hohe Kosten im Weiterbetrieb verursacht:

• Generell gilt die Erfahrung, dass Server-Hardware eine hohe Ausfallrate in den ersten Wochen des Betriebs und je nach Art des Bauteils ab vier bis sechs Jahren zeigt. Dann steigen die Wartungskosten durch dafür benötigtes Personal und Komponenten unverhältnismäßig stark an.
• Die allgemeine Leistungsentwicklung beschert im IT-Bereich ständig sinkende Preise für CPUs, RAM-Bausteine und Festspeicher (Festplatte und SSD). So sind nach fünf Jahren vergleichbare Ressource oft zu einem Viertel des Preises zu beschaffen.
• Die Energie für Strom und Kühlung ist ein nicht zu vernachlässigender Kostenfaktor und kann je nach Anwendung bis zu einem Drittel des Anschaffungspreises über fünf Jahre ausmachen. Neue Geräte sind zumeist deutlich effizienter als Altgeräte und begrenzen die Kosten für Energie.
• Nach Ende der Hardwarelaufzeit sollten Geräte entfernt oder ausgetauscht werden.
• Jedem Hardwareeigentümer steht es frei, nach Ablauf der primären Hardwarelaufzeit weitere Wartungsverträge abzuschließen und die Laufzeit jährlich zu verlängern.

Alle diese Maßnahmen verfolgen das Ziel, Hardware nicht länger als fünf Jahre zu betreiben. Das Virtualisierungskonzept von RZV und die Zentralisierung von HPC sind darauf ausgelegt, den kontinuierlichen Betrieb unabhängig von der geplanten physischen Erneuerung sicherzustellen. Das Rechenzentrum steht gerne zur Verfügung, um den eigenen Ressourcenbedarf zu kalkulieren.

Aufstellen von Schränken

Wird ein Stellplatz für einen Schrank gewünscht, bittet das Rechenzentrum um eine Mail an die Adresse maschinensaal@rz.uni-freiburg.de der Maschinensaal-Betriebsgruppe. Sie muss folgende Metadaten enthalten:

• benötigte Höheneinheiten
• Maschinentyp
• zuständiger Ansprechpartner

Diese Mail-Adresse ist an ein Ticketsystem angeschlossen und garantiert die Übereinstimmung mit gesetzlichen Anforderungen an Aufbewahrung und Transparenz von Bestelldaten. Über den Standort der Schränke entscheidet die Maschinensaal-Betriebsgruppen.

Die Bauformen der Einbauschränke haben eine Einschubgröße von 19 Zoll. In der Mehrzahl werden wassergekühlte Schränke eingesetzt, in denen ein guter Luftaustausch für zuverlässige Funktion gewährleistet werden muss.

Die Maschinensaal-Betriebsgruppe verwendet bei der Inventarisierung aller Datenschränke ein durchgehendes Format. Es enthält alle wesentlichen Metadaten der Systeme eines Schranks.

Die Nutzer und Besitzer von Schränken werden nach dem Best-Effort-Prinzip mindestens 24 Stunden vorher informiert, sobald geplante Ereignisse den Betrieb beeinflussen. Dafür muss eine aktiv genutzte Kontaktadresse in der Mailingliste maschinensaal-admins@rz.uni-freiburg.de hinterlegt werden.

Bei ungeplanten Ereignissen verpflichtet sich die Maschinensaal-Betriebsgruppe, die betroffenen Betreiber umgehend und umfassend zu informieren. Die zentrale News-Seite des Rechenzentrums lautet http://www.rz.uni-freiburg.de. Sie enthält alle Ereignisse/News und Störmeldungen.

Ulrich Gehring, Dirk von Suchodoletz, Jan Leendertse

Referenzen:

Maschinensaalbenutzungsordnung des Rechenzentrums