La guida

Standard per i data center: da Uptime Institute alla ISO 22237, ecco quali sono

Parametri di riferimento per classificare i data center e definirne i i livelli di prestazione e disponibilità: ecco un utile vademecum per far chiarezza tra gli standard esistenti, con riferimento a norme americane ed europee, distinguendoli dalle linee guida

08 Ott 2020
G
Alessandro Gasperi

Data center specialist e privacy officer


L’idea degli standard per i data center è quella di poter classificare le infrastrutture per riuscire a definire i livelli prestazionali di disponibilità ed affidabilità attesi.

Ovviamente, oggi la disponibilità dei servizi informatici è vitale per qualsiasi azienda e quando si parla di “sicurezza informatica” è necessario considerare tutti i componenti attivi e passivi che consentono l’erogazione dei servizi IT.

La “disponibilità” di un sistema informatico non dipende solo dal server o dal sistema operativo dove il servizio IT viene eseguito, ma dipende soprattutto da quelle che vengono definite “facility”, cioè le infrastrutture di base, che consentono a quel server e sistema operativo di funzionare regolarmente.

Stiamo parlando dei sistemi che vengono identificati come M&E (Meccanici ed Elettrici) e che forniscono elettricità e condizionamento ai server e agli apparati di rete.

Quindi nel valutare la “sicurezza informatica” di un servizio IT si deve valutare anche il data center, termine con il quale si identifica l’edificio o parte di edificio che ospita i “computer” e tutti i sistemi a supporto. Vediamo dunque quali sono standard e linee guida di riferimento nell’ambito.

Gli standard e le linee guida

Innanzitutto, vorrei distinguere subito ciò che può essere definito standard (nel vero senso del termine) e ciò che invece è una semplice linea guida.

Semplificando, uno standard è un metodo riconosciuto per fare qualcosa, come ad esempio, gestire o fornire un servizio, gestire dei processi, produrre qualcosa. Lo standard, per essere tale, dovrebbe innanzitutto essere “pubblico”.

Di fatto gli standard “privati”, “pubblici” e Linee guida attualmente in uso nel mondo dei data center sono:

  • “Standard Tier Topology” di Uptime Institute
  • TIA-942
  • EN50600 e ISO 22237
  • ANSI/BICSI 002-2014

Più o meno tutti questi standard e linee guida identificano quattro tipologie di classificazione:

  • Classificazione base.
  • Classificazione con componenti ridondati.
  • Classificazione dove è possibile eseguire la manutenzione ordinaria senza impatto sull’erogazione dei servizi.
  • Classificazione Fault Tolerant, dove il guasto viene gestito in modo automatico, senza alcun impatto sui servizi.

AgID e i data center

L’Agenzia per l’Italia Digitale (AgID) negli ultimi anni ha messo in atto un piano per ottimizzare e razionalizzare le infrastrutture Data Center nazionali.

Con la Circolare n. 01 del 14 giugno 2019 di AgID intitolata “Censimento del patrimonio ICT delle Pubbliche Amministrazioni e classificazione delle infrastrutture idonee all’uso da parte dei Poli Strategici Nazionali“.

Nell’allegato “A” della circolare, vengono indicati i “Requisiti preliminari delle infrastrutture della PA per l’utilizzo da parte di un Polo Strategico Nazionale e requisiti per la classificazione a “Gruppo A””. Il punto 8 “Aspetti Infrastrutturali / Architettura DC” indica come requisito che “Il data center deve essere stato progettato e realizzato secondo standard di riferimento infrastrutturali, ad esempio ANSI/BICSI 002, TIA-942, EN 50600, Uptime Institute Tier Certification o analoghi”.

L’AgID per valutare le infrastrutture data center ha fatto quindi riferimento a tutti gli standard e linee guida attualmente disponibili.

Il successivo punto 9 della medesima sezione “Aspetti Infrastrutturali / Architettura DC” richiede che “L’ente deve avere adottato formalmente procedure per la gestione delle emissioni dei gas prodotti dai suoi data center (es. ISO 14064), o per la gestione dell’energia dei propri data center (es. ISO 50001), o per la gestione ambientale dei propri data center (es. ISO 14001)”.

I punti 1, 2 e 3 nella sezione “Aspetti Organizzativi e gestionali / Nome/Procedure/presidio” richiedono poi sistemi di Gestione conformi ISO 20000, ISO 22313 e ISO 27001.

Dopo questo preambolo sulla circolare di AgID, che tornerà utile nelle conclusioni finali, illustriamo le peculiarità (positive e negative) di ogni singolo standard o linee guida così che possiate avere un quadro generale dell’attuale “mercato”.

Standard per i data center: Uptime Institute

Partiamo da Uptime Institute, nato nel 1993 come consorzio di società impegnato nello sviluppo di corsi, pubblicazioni, consulenze e conferenze relative al mondo dei data center.

Con il suo “Standard Tier Topology” rappresenta dal punto di vista storico l’origine degli standard per i Data Center. Questa certificazione non deriva da uno standard pubblico, ma, lasciatemi passare il termine, è un “prodotto/servizio” esclusivo di Uptime Institute, che è l’unica Organizzazione che può effettuare le attività di certificazioni. Si tratta quindi di un sistema di certificazione proprietario e non pubblico.

WHITEPAPER
Ecco come fornire servizi IT in outsourcing in modo efficace
Software
Trade

Le stesse diciture TIER I, II, III e IV sono dei marchi registrati.

In sostanza chi scrive lo “standard” è poi anche colui che lo verifica e lo certifica. La “Standard Tier Topology” analizza esclusivamente la parte meccanica ed elettrica del data center.

L’eventuale valutazione della “Gestione” del data center fa parte di un altro percorso di certificazione chiamato “Tier Certification Operational Sustainability”. La certificazione di Uptime Institute è assolutamente “solida” e riconosciuta a livello mondiale ed avviene con delle prove in campo molto approfondite e puntuali.

Il percorso di certificazione è complesso e passa obbligatoriamente attraverso una prima fase di certificazione dei progetti, definita “Design certification”, per poi entro 3 anni effettuare la certificazione in campo del “costruito”, definita “Facility certification”.

La classificazione dei data center è indicata con un numero romano da I a IV e dal termine TIER; TIER I, TIER II, TIER III, TIER IV.

Standard per i data center: ANSI/TIA-942

Nel 2005 la TIA rilascia la norma ANSI/TIA-942, denominata “Telecommunications Infrastructure Standard for Data Center”.

Questa norma è decisamente stata sopravvalutata e a mio modo di vedere “forzata” per certificare le infrastrutture Data Center, quando in realtà, anche la versione attuale TIA-942-B, non nasce come standard per certificare i data center ma come standard per il cablaggio strutturato e le infrastrutture di telecomunicazione.

Come si evince anche dal titolo, “Data Center Cabling Standard” e “Telecommunications Infrastructure Standard for Data Center“, si tratta di uno Standard per la realizzazione dei cablaggi (cabling) con alcuni (e pochi) riferimenti diretti alle infrastrutture meccaniche ed elettriche.

Da notare che la TIA-942 è equiparata alla ISO/IEC 14763-2 o alla EN 50174-2, standard che trattano l’implementazione del “Cablaggio Strutturato”.

La maggior parte della TIA-942 è dedicata alla realizzazione e alla gestione del cablaggio con ampi riferimenti alla ANSI/TIA 606. Vi sono poi dei requisiti obbligatori sugli impianti della terra (riferimento a ANSI/TIA 607) e alla sicurezza fisica (riferimento ANSI/TIA 5017).

Tutta la parte relativa all’infrastruttura data center, cioè quella definita M&E (Meccanica ed Elettrica) è riportata nell’ANNEX F che però non fa parte dello standard come più volte riportato all’interno dello stesso documento:

  • pagina XI “Annexes. There are nine annexes to this Standard. Annexes A, B, C, D, E, F, G, H and I and Informative and not considerd to be requirements of this Standard”.
  • La prima riga della sezione “Annex F (Informative) Data Center Infrastructure Rating” (pagina 66) riporta “This annex is informative only and is not part of this Standard”.

Tutta la checklist dei requisiti nella tabella 11 dell’annex F sono quindi riportati solo a titolo informativo e molti di questi controlli fanno parte delle “best practices” del BICSI-002 che vedremo più avanti.

Premesso questo, la TIA-942 è lo standard, che insieme ad Uptime Institute, rappresenta la certificazione più richiesta.

La classificazione dei data center è pressoché identificata a quella di Uptime Institute ma con il termine Rating seguito da un numero: Rating 1, Rating 2, Rating 3 e Rating4. Il Rating 1 è la classificazione base mentre il rating 4 è classificazione più completa.

A differenza di Uptime Institute, oltre alle componenti Meccaniche ed Elettriche, vengono anche valutati gli aspetti Architetturali e di Telecomunicazione. Il 7 agosto 2020 la TIA (Telecommunications Industry Association), l’associazione che rappresenta i produttori e i fornitori di reti di comunicazione, ha annunciato il nuovo schema per fornire ai data center audit e certificazioni ufficiali secondo lo standard ANSI/TIA-942.

Sarebbe il primo “standard” dedicato alle infrastrutture data center con uno schema di accreditamento per i CABs (Conformity Assessment Bodies), cioè per le organizzazioni che effettuano gli audit e la relativa certificazione.

La TIA ha deciso di affidare l’accreditamento ad una Società di Singapore la CERTAC (https://certac.org/), invece di utilizzare i membri IAF (International Accreditation Forum) e questo a lungo andare, almeno sul territorio Europeo, potrebbe indebolire lo standard a favore dei nuovi standard ISO ed EN.

Standard per i data center: EN 50600 e ISO 22237

Lo standard EN50600 nasce nel 2010. Per chiarire, “EN” è la sigla che identifica le norme elaborate dal CEN (Comité Européen de Normalisation) che è l’organismo di normazione Europea.

I Paesi membri CEN devono obbligatoriamente recepire le norme EN (nel caso dell’Italia esse diventano UNI EN).

Le norme “EN” servono ad uniformare la normativa tecnica in tutta Europa. E’ lo standard più completo di tutti quelli precedentemente analizzati e si presta a far parte di un Sistema di Gestione integrato insieme alle altre norme ISO 9001, serie 27000, 50001, 14001 e 22313.

Si tratta come detto di uno Standard Europeo, che fa riferimento ad altre norme Europee, a differenza ad esempio della TIA-942 che fa riferimento a normative Americane.

Al momento, non c’è un percorso di accreditamento per i “Certification Bodies”, ma il documento 50600-99-3:2018 fornisce le linee guida per l’applicazione della serie 50600 nelle attività di valutazione di 1a, 2a e 3a parte.

I documenti principali della serie EN 50600 sono stati portati sulla ISO TS 22237 che diventerà in un prossimo futuro lo standard certificabile.

Quando verrà definito il percorso di accreditamento questo sarà gestito come per le altre norme ISO/IEC/UNI dagli enti di accreditamento nazionali riconosciuti.

Come per le nuove revisioni ISO 27001 e 9001 anche la EN 50600/ISO 22237 richiede come primo passo una analisi dei rischi secondo le linee guida ISO 31010.

La conformità con lo standard EN 56000 o ISO 22237 richiede quindi:

  1. analisi dei rischi;
  2. definizione della classe di disponibilità in base alle risultanze dell’analisi dei rischi;
  3. definizione del livello di sicurezza in base alle risultanze dell’analisi dei rischi;
  4. definizione del livello di efficienza energetica.

La serie 50600 (e sarà così anche per la ISO 22237) integra una serie di documenti (50600-4-1, 50600-4-2, 50600-99-1) per il controllo ambientale e la gestione dell’energia, conformi ai requisiti di AgID (punto 9 – ISO 14000 e ISO 50000).

La EN50600 ha integrato il “Code Of Conduct for Energy Efficiency in Data Centres” sviluppato dalla Comunità Europea presso il JRC che detta le linee guida per l’efficientamento energetico dei data center. Farà parte della serie (documento TR 50600-99-4 in fase di sviluppo) anche il “Data Center Maturity Model” (DCMM) ereditato dal “The Green Grid”, con il quale sarà possibile valutare l’attuale livello di “maturità” delle infrastrutture data center.

La EN50600 come la ISO 22237 classifica i data center con tre parametri distinti per “disponibilità”, “sicurezza” ed “efficientamento energetico”:

  • per quanto riguarda la “disponibilità” riferita ad impianti meccanici ed elettrici ci sono 4 classi definite “Availability Class”: Class 1, Class 2, Class 3 e Class 4 (dalla “1” la base alla “4” che identifica i data center con caratteristiche di “fault tolerance”);
  • per quanto riguarda gli aspetti di sicurezza fisica (accesso, intrusione, protezione su eventi esterni, protezione su eventi interni) c’è una seconda classificazione identificata come: Zone 1, Zone 2, Zone 3 e Zone 4 (da “1” zona meno sicura a “4” zona con massima sicurezza). I livelli di sicurezza sono completamente indipendenti rispetto ai livelli di disponibilità;
  • per l’efficientamento energetico i data center vengono classificati in 3 livelli: Level 1, Level 2 e Level 3 (“1” rappresenta il meno efficiente e il “3” il più efficiente).

Standard per i data center: ANSI/BICSI 002-2014

Per finire la ANSI/BICSI 002-2019 “Data Center Design and Implementation Best Practices” è un insieme di “Linee Guida” da utilizzarsi a complemento degli altri standard per le telecomunicazioni quali TIA, CENELEC, ISO/IEC, come anche riportato al paragrafo “2 Scope”.

BICSI è accreditata da ANSI e la certificazione/conformità viene rilasciata da professionisti formati direttamente da BICSI. Il “BICSI 002-2019” copre tutti gli ambiti di un data center, compresa la fase di progettazione, pianificazione e commissioning.

Conclusioni

Fino ad oggi le certificazioni Tier Tipology di Uptime Institute e la TIA-942 sono state quelle più richieste e “spendibili” dal punto di vista commerciale.

Con la definizione degli Standard EN ed ISO, che oggi hanno raggiunto una buona “maturità”, è ora possibile creare un sistema di gestione integrato che comprenda ad esempio la ISO 27001 e la ISO 20000 o altre norme della famiglia ISO/EN.

La possibilità offerta dagli Standard EN e ISO di classificare l’efficientamento energetico è sicuramente un “plus” rispetto alla concorrenza, come anche la classificazione indipendente della sicurezza fisica che basandosi sull’analisi preventiva dei rischi consente di valutare qualsiasi tipo di rischio ambientale interno o esterno.

Da non sottovalutare poi il costo totale del processo di certificazione che per le norme ISO/EN si prospetta inferiore rispetto ad Uptime Institute, mentre in confronto con la TIA-942 la conformità ISO/EN 22237/50600 ha generalmente dei costi di adeguamento infrastrutturale inferiori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4