La seguridad física de los centros de datos es una cuestión de actualidad; los operadores conocen bien cómo proteger sus instalaciones. Pero a medida que nos acercamos al Edge y nos alejamos de la idea de tener gente constantemente en el sitio, algunos de estos enfoques tradicionales comienzan a volverse más difíciles.
Si bien muchas empresas dicen que ofrecen Edge, a menudo hablan del 'Edge regional'; un centro de datos tradicional de tamaño razonable que cuenta con personal las 24 horas del día, los 7 días de la semana. Asegurar la ventaja regional es fácil; Se trata de instalaciones tripuladas que tienen los mismos controles de seguridad que su centro de datos "tradicional" y se benefician de contar con personal de seguridad in situ si se produce un incidente.
Pero hay algunas empresas que buscan hacer Edge en torres y otros sitios no tripulados, a veces llamados Telco Edge o Far Edge. Asegurar la empresa de telecomunicaciones Edge es una cuestión mucho más compleja. Estos sitios son más pequeños (ofrecen menos oportunidades para instalar controles) y no cuentan con personal. La falta de personal en el sitio significa que el monitoreo del sitio se vuelve mucho más importante, al igual que los controles de seguridad en medio de un tiempo de respuesta mucho más largo.
Seguridad en el borde: ¿No es un problema actual?
Hace tiempo que se habla de los centros de datos no tripulados, pero ha habido pocas implementaciones en el mundo real y ninguna a cualquier escala. Del mismo modo, no hay una gran cantidad de centros de datos de telecomunicaciones o de Far Edge en todo el mundo. Pero empezaremos a verlos ambos próximamente.
Varias empresas de torres están lanzando instalaciones de telecomunicaciones Edge y, a medida que aumentan las implementaciones de 5G, Internet de las cosas (IoT) y ciudades inteligentes, aumentará la necesidad de más implementaciones de telecomunicaciones/Far Edge.
American Tower opera varios sitios pequeños de colocación de Edge en torres en Pittsburgh, Pensilvania; Jacksonville, Florida; Atlanta, Georgia; Austin, Texas; y Denver y Boulder, Colorado. En julio de 2023, presentó una solicitud para desarrollar una nueva instalación en una torre de telecomunicaciones en San Antonio, Texas.
American Tower ha dicho que había identificado más de 1.000 sitios que podrían admitir ubicaciones de centros de datos Edge de 1 MW. En 2023, Qualcomm también anunció una colaboración estratégica con la empresa de torres, diciendo que instalaría un servidor 2U basado en Arm en un centro de datos de American Tower Edge en Denver como parte de una "nueva clase de recursos informáticos escalables en el Edge más cercano".
Otra empresa de torres, SBA, inauguró recientemente un centro de datos Edge en una torre en Arlington, Texas. La compañía ha dicho que tiene "entre 40 y 50" sitios en desarrollo. Este año Vapor.io ha implementado hardware AWS Outpost en una torre de Cellnex en Barcelona, España. Vapor dijo que Cellnex ha puesto a disposición una "cartera de pequeños centros de datos Edge neutrales para operadores y espacio en tierra" para alojar Kinetic Grid de Vapor IO y AWS Outposts.
Verticle Bridge, propiedad de DigitalBridge, una empresa de torres con los mismos propietarios que DataBank, también ofrece servicios de construcción de centros de microdatos en sus torres.
En julio de 2023, la empresa estadounidense de infraestructura digital Ubiquity adquirió EdgePresence, una empresa que coloca módulos de centros de datos en sitios de telecomunicaciones y que anteriormente contaba con DataBank entre sus inversores.
El Edge se vuelve más sensible
“En Estados Unidos quieren Edge por la distancia. Creo que en el Reino Unido vamos a necesitar Edge debido a su capacidad”, dice Stuart Priest, fundador y director general de SonicEdge, un proveedor de centros de datos modulares prefabricados con sede en el Reino Unido y fundado en 2020.
“Los sitios Edge son tan pocos actualmente que probablemente pueda contarlos con los dedos de las manos y de los pies. Pero creo que el panorama dentro de 10 años será completamente diferente; se predice que tendremos un millón de dispositivos IoT al año en línea en el Reino Unido”.
“Actualmente, hay suficiente ancho de banda para todo lo que sucede en el Edge. Hasta que empecemos a tener muchos más dispositivos IoT en la red; Hogares inteligentes, sensores en farolas y semáforos, CCTV inteligentes, etc., no creo que sea necesario utilizar esos sitios”, dice Priest.
Los espacios de telecomunicaciones rara vez son atacados (y normalmente cualquier incidente es obra de teóricos de la conspiración anti-5G o de vándalos en lugar de ladrones), ya que generalmente hay poco valor para robar que pueda venderse fácilmente. Eso significa que la seguridad en algunos de los sitios más remotos o menos críticos podría ser tan simple como una valla, una cámara y una cerradura. Sin embargo, la perspectiva de colocar hardware informático costoso en estos sitios significa que su valor (y el costo de los daños o el tiempo de inactividad) aumenta sustancialmente.
“Cuando lleguemos a un punto en el que los servicios de almacenamiento informático lleguen a esos sitios, tendremos que aumentar la seguridad. No tiene absolutamente ningún sentido construir una cápsula barata y poner un Rolls Royce dentro. Simplemente no tiene sentido hacerlo y los clientes lo entienden. Pero los costos aumentarán significativamente para esos sitios”.
Asegurando el Edge
Las torres y su computación son comunes y tienen medidas de seguridad, y muchos de los controles de seguridad aplicables a las implementaciones modulares existentes son igualmente relevantes para las instalaciones Edge no tripuladas.
Las vallas antiescalada son estándar y vienen en varias formas y tamaños, a menudo con alambre de púas o un elemento disuasorio similar. Algunos sitios pueden tener sensores de presión subterráneos para detectar cuando alguien camina hacia algún lugar inesperado, por ejemplo, en el interior de una cerca perimetral.
Los paneles y puertas tienen clasificaciones SR, que van desde SR-1, donde alguien podría atravesarlas con algo como un destornillador, hasta SR-8, donde la instalación podría resistir disparos de armas pequeñas y una explosión cercana. Priest dice que los clientes a menudo solicitan módulos con clasificación SR-3 a -4, lo que significa que a alguien con herramientas eléctricas le tomaría hasta 30 minutos atravesar una pared o puerta, lo que daría tiempo a los operadores y/o a las autoridades a llegar al sitio.
“Ya sea un sitio de telecomunicaciones o un sitio Edge, si no hay nadie en las proximidades, obviamente la clave es evitar que las personas entren y, si entran, evitar que entren en el módulo para tener tiempo suficiente para llamar a la policía. La mayoría de las empresas quieren al menos un período de 30 minutos”.
En un despliegue en Aston, un barrio de Birmingham en el Reino Unido, SonicEdge implementó un módulo rodeado por una valla anti-escalada de dos metros y medio, paredes con clasificación SR-4 y CCTV infrarrojo, con unidades de vibración en las vallas y puertas para detectar movimiento.
Priest dice que SonicEdge pinta muchos de los módulos de sus clientes en el color del mobiliario urbano, descrito como “una especie de verde o gris apagado”, para hacerlos menos interesantes para los posibles ladrones. Nick Ewing, director general del proveedor de módulos de centros de datos EfficiencyIT del Reino Unido, señala que su empresa pintará los módulos de varios colores según las especificaciones del cliente para que se integren mejor con el entorno.
"Con Edge no quieres destacar, estos entornos tienen que mezclarse con su entorno", afirma.
Una vez pasada la valla perimetral, el acceso a los centros de datos reales desde el exterior estará protegido mediante una combinación de biometría, escaneo de huellas dactilares, tarjetas de acceso, códigos PIN y cerraduras con llave tradicionales. Al igual que las puertas y las paredes, las cerraduras se pueden clasificar según lo difícil que sea comprometerlas. En el Reino Unido, el CPNI tiene su propia clasificación de tipos de cerraduras.
Una vez atravesada la puerta exterior, algunos diseños de centros de datos tendrán un vestíbulo o antesala con una puerta de seguridad secundaria para proteger aún más la sala de datos y ampliar la cantidad de tiempo que los operadores tienen para responder a los intrusos. E incluso entonces, los racks dentro de las salas de datos pueden bloquearse.
"Tenemos clientes en los que bloqueamos completamente los racks y es necesario tener un cierto nivel de clasificación para que se les permita acceder a ellos", dice Ewing.
Priest dice que en los más de tres años que lleva SonicEdge, no hay dos implementaciones iguales.
“Muchas de estas empresas quieren utilizar la misma seguridad para todo su patrimonio. No quieren que sus ingenieros tengan que aprender cinco o seis sistemas diferentes”, señala.
Gran parte de las discusiones que la compañía tiene sobre las implementaciones de módulos se refieren a preguntar a los clientes qué sistemas de seguridad ya utilizan para que los ingenieros puedan comenzar a trabajar sin capacitación ni sistemas adicionales que monitorear.
“No existe un enfoque único para estas implementaciones de Edge”, afirma Elliott Turek, director de gestión de categorías para Europa de Schneider Electric.
“Muchos proveedores quieren soluciones repetibles para aprovechar las economías de escala para fines de CapEx y servicios predecibles en el lado de OpEx, pero en última instancia existen limitaciones cuando se trata de acciones prácticas. Estos sitios pueden estar en cualquier lugar, desde concurridos centros metropolitanos hasta una zona boscosa a kilómetros de la carretera más cercana”.
La automatización y el mallado son clave para la resiliencia del Edge
Actualmente, con tan pocas implementaciones perimetrales no tripuladas, no existen las mismas expectativas de tiempo de actividad que los centros de datos tradicionales, y los enfoques operativos no están realmente configurados para una huella distribuida masiva.
"Creo que en este momento debido a que no ha despegado tanto, la opinión es que si se cae, cuando vayamos y lo arreglemos, ya estará funcionando", dice Priest. “Los SLA no son, por ejemplo, cuatro horas para volver a ponerlo en funcionamiento, porque son muy pocos y espaciados. La opinión en este momento es que si se cae, cuando vayamos y lo arreglemos, ya estará funcionando”.
Sin embargo, en el futuro, si el Edge despega y tenemos una gran cantidad de sitios procesando y transmitiendo grandes cantidades de datos de IoT, habrá mucha más dependencia de la interoperabilidad entre otros sitios para garantizar la resiliencia frente a la seguridad debido a las incidencias o fallos del sistema.
"Algunos operadores pueden permitirse una redundancia de nivel N", afirma Turek de Schneider. "Pero, en el contexto de los sitios Edge 'apagados', es un riesgo que supera cualquier ahorro consegudo inicialmente". Priest dice que: "Puede que haya alguien que encuentre £10 mil millones para construir un montón de centros de datos de nivel III en todo el Reino Unido, pero yo mismo no puedo verlo".
"El consenso en este momento, hablando con mis iguales, es que, en términos de SLA, el funcionamiento real del centro de datos probablemente será de Nivel I", añade. “Porque habrá tantos que si uno se cae, es como una red WiFi. El siguiente lo retomará hasta que vuelva a estar en línea”.
“Pero la seguridad no será de Nivel I, porque lo último que quieren los clientes que ponen su información en esos centros es que alguien pueda entrar allí y cogerla. Si llegamos a un punto en el que hay 100.000 libras esterlinas en computación en centros de datos remotos, entonces serán como Fort Knox”.
El software y la automatización se vuelven cada vez más importantes en las grandes implementaciones de Edge. Si bien los operadores actualmente pueden gestionar manualmente las idas y venidas y las operaciones de un puñado de sitios remotos con suficiente planificación, rápidamente podría volverse abrumador si la huella crece. Del mismo modo, garantizar que los sistemas de respaldo y fallas estén automatizados será fundamental para garantizar la disponibilidad de los servicios.
"En un entorno distribuido, siempre se trabaja sobre la base de que uno de sus nodos va a fallar y su red e infraestructura se construirán de manera que tenga esa capacidad de conmutación por error", dice Ewing.
El análisis predictivo puede eliminar algunos de los problemas que suponen los fallos de componentes o sistemas: puede avisar de los incidentes antes de que ocurran y avisar a los operadores con suficiente antelación para prepararse o prevenir posibles problemas.
"Lo bueno del software que tenemos disponible ahora es que casi puedes predecir que sucederán muchas de estas cosas", dice Ewing. "Tiene aplicaciones basadas en la nube donde puede obtener análisis predictivos sobre si el UPS va a fallar este año o si es posible que desee cambiar una batería".
Ewing también señala que el acceso preprogramado con una tarjeta de acceso temporal podría brindar a los clientes o contratistas externos acceso en fechas y horas específicas; la programación previa también es importante cuando hay varios sitios que administrar.
¿La seguridad perimetral necesita más redundancia?
A la industria de los centros de datos le encanta la redundancia; se gastan millones de dólares en hacer redundantes los sistemas de refrigeración, energía y fibra para garantizar el tiempo de actividad. Esto también es así en el Edge; Priest señaló que un cliente de telecomunicaciones del Reino Unido estaba buscando implementar sitios remotos en un futuro cercano con energía solar in situ y 48 horas de combustible para generadores de respaldo para garantizar el tiempo de funcionamiento si falla la red.
Pero si bien los clientes se preocupan por la seguridad y pagarán lo necesario para proteger los sitios en el grado deseado, tanto Priest como Ewing admiten que a menudo hay poca consideración al agregar redundancia 'N+X' a los sistemas de seguridad.
“En términos de respaldo, no tenemos solo una cámara en un sitio, tenemos varias cámaras. Y también utilizamos otra otra cámara situada en un mástil, que permite ver toda la instalación”, dice Priest. "Así que hay una serie de redundancias para poder gestionarlo de modo que cubra múltiples ángulos".
Sin embargo, si bien las cámaras pueden superponerse hasta cierto punto, si los sistemas de control para los controles de acceso están en el propio centro de datos, a menudo no tienen múltiples sistemas redundantes.
"A veces estos se convierten en puntos únicos de falla", dice Ewing de EfficiencyIT. "Por lo general, hay una cabecera en lugar de dos, por ejemplo".
Y señala que estos sistemas generalmente también están diseñados para no abrirse. Si se corta la energía en un sistema biométrico, por ejemplo, generalmente se configurará para que no se abra por motivos de salud y seguridad. En lugar de la redundancia tradicional, la seguridad a menudo se trata más de capas: la llamada fortaleza en profundidad.
"En términos de control de acceso, tienes biométrico, tienes un teclado, tienes algo de retina en estos días y también hay un lateral, que es un sistema clave", dice Priest. “Dependiendo del camino que tomen, siempre hay básicamente dos formas de entrar; Tendrás, por ejemplo, un teclado y una cerradura o un sistema biométrico y una cerradura”.
En última instancia, la resiliencia de la instalación tendrá que ser dictada por los clientes y las cargas de trabajo de la instalación.
“¿Es crítico para la vida, es crítico para el negocio, es crítico para la misión?” dice Ewing. “Si sirve a un hospital local, quiero que sean redundantes. Quiero que cuenten con mecanismos de seguridad para que el trabajo que están realizando reciba apoyo y no se vea interrumpido”.