C’è un paradosso nella sicurezza informatica moderna: si investono risorse considerevoli in firewall, sistemi di rilevamento delle intrusioni, cifratura end-to-end e controllo delle identità digitali, mentre la sicurezza fisica dell’infrastruttura che ospita i data center viene spesso trattata come una questione operativa di secondo piano.
Eppure, ogni misura di sicurezza logica può essere vanificata da un accesso fisico non autorizzato: un attaccante che riesce ad accedere fisicamente a un rack server può estrarne i dischi, collegare dispositivi di intercettazione o semplicemente distruggere l’hardware.
La sicurezza fisica non è un prerequisito della sicurezza informatica: è sicurezza informatica.
Questa considerazione è ancora più rilevante nel contesto dell’outsourcing: quando un’organizzazione affida i propri sistemi a un data center di colocation o a un provider cloud, delega la gestione della sicurezza fisica a un soggetto terzo. La qualità di questa delega, come viene contrattualizzata, come viene verificata, come si integra con il programma di sicurezza complessivo dell’organizzazione, è determinante per la resilienza operativa dell’intera infrastruttura.
L’approccio strategico della difesa in profondità nei data center
La difesa in profondità, il principio per cui la sicurezza non dipende da un singolo controllo ma da una serie di strati sovrapposti che un attaccante deve superare sequenzialmente, è il framework concettuale di riferimento per la sicurezza fisica dei data center.
Ogni strato ha una funzione specifica e la compromissione di uno strato non comporta automaticamente la compromissione degli strati successivi.
Un intruso che supera il perimetro esterno trova ancora il controllo degli accessi all’edificio; uno che entra nell’edificio trova ancora il controllo degli accessi alla sala server; uno che entra nella sala trova ancora i controlli a livello di rack.
Questa stratificazione è il principio che trasforma la sicurezza fisica da un singolo punto di fallimento a un sistema resiliente.
Nei data center moderni, i livelli di protezione sono tipicamente strutturati in sei anelli concentrici che procedono dall’esterno verso l’interno:
- il perimetro geografico e strutturale dell’edificio;
- il perimetro fisico esterno (recinzione, barriere antiintrusione, illuminazione);
- il perimetro dell’edificio (ingressi controllati, tornelli, reception di sicurezza);
- le zone di accesso interne (corridoi, sale tecniche, locali UPS e generatori);
- la sala server principale, e infine
- i singoli rack e cabinet.
Ogni anello applica controlli propri, e la transizione da un anello all’altro richiede una verifica di identità e autorizzazione specifica.
I livelli di protezione dall’isolamento perimetrale ai singoli rack
Il primo livello, il perimetro geografico e strutturale, riguarda la struttura fisica dell’edificio e la sua relazione con l’ambiente circostante.
Un data center sicuro è costruito con materiali che resistono a sollecitazioni fisiche significative: muri portanti in calcestruzzo armato, porte blindate con resistenza certificata all’effrazione, vetri antiproiettile nelle zone di accesso visibile dall’esterno.
Il tetto e il pavimento sono progettati per resistere a carichi eccezionali. Le aperture tecniche (condotte HVAC, canaline cavi, tubazioni idriche) sono dimensionate per impedire il passaggio di una persona e dotate di sensori di intrusione.
Il secondo livello, il perimetro fisico esterno, include le barriere che impediscono l’avvicinamento non autorizzato all’edificio: recinzioni perimetrali con sensori di vibrazione o fibra ottica, bollard antiveicolo nelle aree di accesso pedonale e carrabile, illuminazione perimetrale con copertura senza zone d’ombra e videosorveglianza con copertura a 360 gradi.
La distanza di standoff, ossia la distanza minima tra la strada pubblica e l’edificio, è un parametro critico per la protezione contro attacchi con veicoli: i data center più sicuri mantengono una distanza di standoff di almeno 30 metri con barriere fisiche che impediscono l’accesso veicolare ravvicinato.
A livello di rack, i controlli fisici includono serrature elettroniche con log degli accessi, sensori di apertura integrati nel sistema di gestione della struttura (BMS, Building Management System). Mentre, per i rack contenenti sistemi particolarmente critici come sistemi di autenticazione, HSM e sistemi di backup, vengono previste gabbie metalliche dedicate con controllo degli accessi separato dal resto della sala server.
Questo ultimo livello di protezione è particolarmente rilevante nei data center di colocation, dove rack di clienti diversi coesistono nella stessa sala: la sicurezza dell’infrastruttura di un cliente non può dipendere dalla sicurezza dei clienti adiacenti.
Criteri geografici e strutturali per la scelta del sito ospitante
La scelta della localizzazione geografica di un data center è una decisione che ha implicazioni di sicurezza fisica significative e spesso irreversibili.
I criteri geografici rilevanti per la sicurezza includono:
- la distanza da rischi naturali documentati (zone alluvionali, zone sismiche ad alta pericolosità, zone costiere a rischio tsunami);
- la distanza da rischi infrastrutturali (aeroporti militari e civili, impianti industriali a rischio incidente rilevante, linee ad alta tensione);
- la disponibilità di percorsi di connettività ridondanti (almeno due percorsi fisici diversi per la connessione a internet e alla rete elettrica);
- il contesto urbano (vicinanza a caserme dei vigili del fuoco, tempo di risposta dei servizi di emergenza, livello di criminalità nell’area).
Per i soggetti NIS2 che ospitano sistemi classificati come critici, la scelta del sito deve considerare anche la sua classificazione rispetto al perimetro di sicurezza nazionale cibernetico: un data center che ospita sistemi nel perimetro deve soddisfare requisiti specifici definiti da ACN, che possono includere vincoli sulla localizzazione geografica (esclusione di alcune zone di confine o di aree con particolari criticità geopolitiche).
Questi requisiti non sono sempre pubblicamente disponibili in dettaglio, ma devono essere verificati con ACN prima della scelta definitiva del sito.
Controllo degli accessi e gestione delle identità del personale
Il controllo degli accessi fisici è il secondo pilastro della sicurezza dei data center ed è anche l’area in cui si concentra la maggior parte delle vulnerabilità operative nelle strutture reali.
Le tecnologie disponibili per il controllo degli accessi fisici sono mature e ben documentate; la sfida principale non è tecnica ma organizzativa: mantenere la disciplina operativa nel tempo, gestire le eccezioni in modo formale, e garantire che il provisioning e il deprovisioning degli accessi seguano processi rigorosi indipendentemente dalla pressione operativa del momento.
Il principio cardine è lo stesso che governa la gestione delle identità digitali: il minimo privilegio applicato agli accessi fisici.
Ogni persona – dipendente del data center, personale tecnico del cliente, manutentore di sistemi impiantistici, visitatore – deve avere accesso solo alle zone che sono strettamente necessarie per il proprio ruolo, e solo durante gli orari in cui tale accesso è giustificato.
Questo principio, apparentemente ovvio, è sistematicamente violato nella pratica per ragioni di convenienza: accessi permanenti concessi per task temporanei, zone di accesso più ampie del necessario per evitare di dover aggiornare i permessi, accessi non revocati per ex-dipendenti o per personale che ha cambiato ruolo.
Sistemi di autenticazione biometrica e monitoraggio video continuo
I sistemi di autenticazione biometrica – lettori di impronte digitali, sistemi di riconoscimento del palmo della mano, sistemi di riconoscimento dell’iride – sono oggi standard de facto per l’accesso alle aree più sensibili dei data center, tipicamente la sala server principale e le zone contenenti sistemi critici.
Il vantaggio della biometria rispetto ai tradizionali sistemi badge è l’eliminazione del rischio di prestito, furto o clonazione del credenziale: l’impronta digitale non può essere dimenticata a casa, prestata a un collega o rubata senza che l’incidente sia immediatamente evidente.
I sistemi di controllo degli accessi moderni nei data center di alta qualità implementano l’autenticazione multi-fattore fisica (combinazione di almeno due fattori tra badge, biometria e PIN) e applicano il concetto di mantrap (o sally port) per le zone più critiche: una camera di transizione a doppia porta in cui l’apertura della seconda porta è condizionata alla corretta autenticazione e alla chiusura completa della prima, impedendo il tailgating (l’ingresso di persone non autorizzate subito dopo una persona autorizzata).
La videosorveglianza continua (CCTV ad alta risoluzione con copertura senza zone cieche, monitoraggio in tempo reale da parte di personale di sicurezza dedicato e conservazione delle registrazioni per almeno 90 giorni) è il complemento indispensabile dei sistemi di controllo degli accessi: registra chi ha avuto accesso a quale zona in quale momento, fornendo l’evidenza forense necessaria per l’analisi di eventuali incidenti.
Politiche di autorizzazione temporanea per visitatori e manutentori esterni
La gestione degli accessi temporanei per visitatori, clienti che accedono ai propri rack, tecnici di manutenzione di sistemi impiantistici e auditor è uno dei punti di maggiore vulnerabilità operativa nella sicurezza fisica dei data center.
La pressione di facilitare il lavoro di personale esterno che deve svolgere task urgenti porta spesso a compromessi: accessi concessi senza verifica adeguata dell’identità, zone di accesso più ampie del necessario, accompagnamento non garantito per l’intera durata della visita.
Un processo di gestione degli accessi temporanei robusto prevede:
- preregistrazione obbligatoria della visita con almeno 24 ore di anticipo (ridotta a 4 ore per emergenze documentate);
- verifica dell’identità con documento ufficiale all’ingresso;
- emissione di badge temporanei visivamente distinti da quelli permanenti con scadenza incorporata;
- accompagnamento obbligatorio da parte del personale del data center per l’intera durata della visita nelle zone riservate;
- log dettagliato di ogni accesso con timestamp e zone visitate;
- revoca automatica del badge temporaneo all’uscita verificata dalla struttura.
Per i manutentori esterni di sistemi critici (tecnici UPS, specialisti HVAC, manutentori di generatori) il processo deve includere anche la verifica preventiva delle credenziali dell’azienda di manutenzione e del personale specifico che effettuerà il lavoro.
Continuità operativa e protezione dei sistemi ambientali critici
I sistemi ambientali critici di un data center (alimentazione elettrica, raffreddamento, protezione antincendio, sistemi anti-alluvione) sono la precondizione fisica per l’operatività dell’IT.
Un incendio non gestito in tempo, un’interruzione elettrica non coperta dalla ridondanza, un surriscaldamento dovuto al malfunzionamento del sistema di raffreddamento: questi eventi fisici possono causare l’interruzione completa e potenzialmente permanente dei servizi IT ospitati, con impatti che vanno ben oltre quelli di un attacco informatico sofisticato.
La protezione dei sistemi ambientali non è, quindi, una questione separata dalla sicurezza informatica: è il suo fondamento fisico.
Gestione del rischio incendio e sistemi di rilevamento precoce dei fumi
L’incendio è il rischio fisico con il potenziale di danno più elevato in un data center: può causare la distruzione permanente dell’hardware, la perdita dei dati non protetti da backup geograficamente separati e l’interruzione prolungata dei servizi.
La gestione del rischio incendio in un data center di qualità opera su tre livelli temporali:
- la prevenzione (eliminazione delle sorgenti di rischio, controllo dei materiali combustibili, separazione delle zone a rischio);
- il rilevamento precoce (sistemi VESDA, Very Early Smoke Detection Apparatus, che analizzano continuamente l’aria campionata dalle sale server per rilevare tracce di fumo a concentrazioni impercettibili all’olfatto umano);
- la soppressione (sistemi a gas inerte che spengono l’incendio senza danneggiare l’hardware e senza lasciare residui).
I sistemi di rilevamento precoce VESDA o sistemi equivalenti basati su tecnologia di aspirazione sono particolarmente critici nelle sale server ad alta densità, dove il calore generato dall’hardware può accelerare significativamente la propagazione di un principio di incendio.
La differenza tra un sistema VESDA e un rilevatore di fumo tradizionale è la finestra temporale di intervento: il VESDA rileva i prodotti di combustione prima ancora che si formi il fumo visibile, consentendo l’intervento in una fase in cui l’incendio può essere spento con un’erogazione minima di agente estinguente e senza interruzione dei sistemi IT. Un rilevatore tradizionale rileva il fumo quando l’incendio è già sviluppato, richiedendo un’erogazione massiva di agente estinguente e spesso l’evacuazione e lo spegnimento dei sistemi.
Ridondanza elettrica e sistemi di condizionamento per la stabilità termica
La ridondanza dei sistemi di alimentazione elettrica è quantificata attraverso la classificazione Tier dell’Uptime Institute e la corrispondente classificazione ISO 22237: dal Tier I/Categoria 1 (con un singolo percorso di alimentazione e nessuna ridondanza, che garantisce una disponibilità del 99,671%) al Tier IV/Categoria 4 (con percorsi di alimentazione completamente ridondanti e isolati configurazione 2N, fault tolerance totale e disponibilità del 99,995%).
Per i sistemi critici NIS2, il livello minimo accettabile è Tier III/Categoria 3, che garantisce la manutenzione concorrente (possibilità di effettuare manutenzione su un componente senza interrompere il servizio) e una disponibilità del 99,982%, corrispondente a non più di 1,6 ore di downtime annuo.
Il sistema di condizionamento – HVAC specifico per data center, con unità CRAC (Computer Room Air Conditioning) o CRAH (Computer Room Air Handler) – è il secondo sistema critico per la continuità operativa.
Il surriscaldamento è una delle cause più frequenti di guasto hardware nei data center: temperature superiori a 35°C causano accelerazione dei fenomeni di usura nei componenti elettronici e aumentano significativamente la probabilità di guasti.
I sistemi di raffreddamento ridondanti, con configurazione N+1 minimo per Tier III, 2N per Tier IV, garantiscono che il guasto di un’unità CRAC non determini il surriscaldamento della sala.
Il PUE (Power Usage Effectiveness), il rapporto tra l’energia totale consumata dal data center e quella effettivamente utilizzata dall’IT, è un indicatore indiretto della qualità del sistema di raffreddamento: un PUE superiore a 1,5 in un data center moderno indica inefficienze che spesso si accompagnano a una gestione termica subottimale.
Standard di conformità e certificazioni internazionali sulla sicurezza fisica
Il mercato dei data center si è dotato nel tempo di un ecosistema di standard e certificazioni che consentono di valutare e confrontare la qualità delle strutture su basi oggettive e verificabili da terze parti indipendenti.
I due framework di riferimento più rilevanti per il contesto europeo e per i soggetti NIS2 sono lo standard americano TIA-942 e lo standard europeo ISO 22237, complementari nella loro copertura e sempre più citati entrambi nelle gare di fornitura e nella documentazione di conformità normativa.
Requisiti infrastrutturali previsti dalle normative TIA-942 e ISO 22237
Lo standard TIA-942 (Telecommunications Infrastructure Standard for Data Centers), nella versione aggiornata TIA-942-B del 2017, classifica i data center in quattro livelli Rated (R1-R4) in funzione della ridondanza dei sistemi infrastrutturali e della disponibilità garantita.
La certificazione Rated viene rilasciata dall’Uptime Institute dopo una valutazione indipendente della struttura e costituisce oggi lo standard de facto per la comunicazione della qualità infrastrutturale nel mercato colocation globale.
Per i data center certificati Rated, la classificazione è verificabile pubblicamente nel registro Uptime Institute, che consente di distinguere le strutture con certificazione reale da quelle che dichiarano «equivalenza Tier» senza verifica indipendente.
Lo standard europeo ISO 22237, pubblicato nel 2018 e articolato in sette parti che coprono rispettivamente i concetti generali, l’alimentazione elettrica, il condizionamento, le telecomunicazioni, la sicurezza, la gestione e il monitoraggio, offre un approccio più modulare che consente di certificare singoli domini senza necessariamente certificare l’intera struttura.
La parte dedicata alla sicurezza fisica, la ISO 22237-5, definisce requisiti specifici per ogni categoria di struttura, dalla protezione perimetrale al controllo degli accessi, dalla videosorveglianza alla gestione delle emergenze.
Per i soggetti NIS2, la certificazione ISO 22237 offre una documentazione di conformità strutturata che si allinea più facilmente al framework normativo europeo rispetto alla sola certificazione TIA-942.
Come valutare i protocolli di sicurezza fisica di un fornitore cloud o colocation
La valutazione della sicurezza fisica di un fornitore cloud o di colocation è una componente critica della gestione del rischio cyber dei fornitori terzi: un provider con eccellenti controlli logici ma con sicurezza fisica carente è un provider con un rischio residuo significativo che le difese digitali non possono compensare.
La valutazione deve avvenire prima della firma del contratto e non solo sulla base delle dichiarazioni commerciali del provider, attraverso un processo strutturato che combina verifica documentale, sopralluogo fisico e audit periodici.
Il processo di valutazione si articola in tre fasi sequenziali. La prima è la verifica documentale: richiesta e analisi della documentazione delle certificazioni (TIA-942/Uptime Institute, ISO 22237, ISO 27001 per la sicurezza delle informazioni), dei report di audit di terza parte più recenti, dei piani di business continuity e disaster recover e delle policy di gestione degli accessi fisici.
Questa fase può essere condotta da remoto e consente di escludere rapidamente i provider che non soddisfano i requisiti minimi senza investire le risorse necessarie per un sopralluogo fisico.
La seconda fase è il sopralluogo fisico: una visita alla struttura condotta da personale tecnico con competenze specifiche sulla sicurezza fisica dei data center, che segue una checklist strutturata per verificare l’effettiva implementazione dei controlli dichiarati nella documentazione.
Il sopralluogo deve coprire:
- il perimetro esterno e le barriere fisiche;
- i sistemi di controllo degli accessi e la procedura di gestione dei visitatori;
- i sistemi di videosorveglianza e il loro monitoraggio;
- i sistemi di alimentazione elettrica con verifica dei test documentati;
- i sistemi di raffreddamento e il monitoraggio ambientale;
- i sistemi antincendio con verifica del CPI e dell’ultima ispezione.
La terza fase è il monitoraggio continuo: audit periodici (almeno biennali per i provider critici), verifica annuale della documentazione dei test impiantistici, e revisione del contratto per assicurarsi che il diritto di audit fisico sia formalmente previsto e operativamente esercitabile.
La sicurezza fisica di un data center non è una caratteristica binaria, sicuro o non sicuro, ma un continuum che si gestisce attraverso processi continui di verifica, miglioramento e adattamento.
Le strutture che garantiscono la maggiore resilienza sono quelle che trattano la sicurezza fisica con la stessa disciplina metodologica con cui le organizzazioni più mature gestiscono la sicurezza informatica: valutazione del rischio strutturata, controlli documentati e verificati periodicamente, processi di escalation definiti per le anomalie rilevate e una cultura organizzativa in cui la sicurezza non è percepita come un costo ma come un prerequisito operativo.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link






