B4-CPDs y TIERs

Question 1

Clasificación TIER

Answer 1

Es el estándar del Uptime Institute que mide la confiabilidad y redundancia de un centro de datos.

Question 2

TIER 1 CAPACIDAD BÁSICA

Answer 2

Nivel más bajo de la clasificación. Cuentan con una infraestructura más sencilla que proporciona una disponibilidad básica.
No hay duplicación de componentes críticos y pueden experimentar tiempo de inactividad planificado para tareas de mantenimiento o actualizaciones.
Bebe incluir un SAI (fuente de alimentación ininterrumpida).
Su principal beneficio es su bajo costo inicial.

Question 3

TIER II CAPACIDAD REDUNDANTE

Answer 3

Ofrecen una mayor disponibilidad y redundancia en comparación con el nivel anterior. Cuentan con sistemas redundantes para algunos aspectos críticos, como fuentes de alimentación y equipos de enfriamiento, lo que permite realizar tareas de mantenimiento sin tener que parar la actividad inactividad o, si no es posible, planificar cortes de conexión breves.

Question 4

TIER III MANTENIBILIDAD CONCURRENTE

Answer 4

Se caracterizan por una alta disponibilidad y redundancia. Tienen sistemas duplicados y rutas de distribución de energía y refrigeración independientes, lo que permite realizar mantenimiento y actualizaciones sin interrumpir las operaciones.
Gozan de una mayor disponibilidad en comparación a los Tier II. Están diseñados para proporcionar un tiempo de inactividad mínimo ante fallos imprevistos, lo que los hace adecuados para aplicaciones y servicios críticos que requieren un alto nivel de confiabilidad.

Question 5

TIER IV TOLERANTE A FALLOS

Answer 5

Nivel más alto de clasificación en términos de disponibilidad y redundancia. Cuentan con componentes y sistemas completamente duplicados, así como rutas de distribución de energía y enfriamiento completamente independientes. Pueden soportar fallos o errores de cualquier componente sin interrupción del servicio.
Están diseñados para aplicaciones y servicios críticos que no pueden permitirse ningún tiempo de inactividad.

Question 6

Cálculo indisponibilidad TIER

Answer 6

TIER I 99.671 %
100 - 99.671 = 0.329 %
0.329:% * 365 días * 24 horas = 28.82 h (> 1 día)

TIER II 99.741 %
100 - 99.741 = 0.259 %
0.259 % * 365 días * 24 horas = 22.69 h (< 1 día)

TIER III 99.982 %
100 - 99.982 = 0.018 %
0.018 % * 365 días * 24 horas = 1.58 h (> 1 hora)

TIER IV 99.995 %
100 - 99.995 = 0.005 %
0.005 % * 365 días * 24 horas = 0.438 h = 0.438 h * 60 min = 26.28 min (<1 hora)

Question 7

ANSI/TIA-942 o TIA 942

Answer 7

Definida como un estándar de calidad creada por el American National Standards Institute (ANSI, por sus siglas en inglés) y el Telecommunications Industry Association (TIA, por sus siglas en inglés) para lograr la adecuada implementación de Data Center a nivel mundial.

Question 8

Infraestructura de soporte de un Data Center

Answer 8

Está compuesta por cuatro subsistemas:

Telecomunicaciones
Arquitectura
Sistema eléctrico
Sistema mecánico

Question 9

Telecomunicaciones

Answer 9

Cableado de armarios y horizontal, accesos redundantes, cuarto de entrada, área de distribución, backbone, elementos activos y alimentación redundantes, patch panels y latiguillos, documentación.

Question 10

Arquitectura

Answer 10

Selección de ubicación, tipo de construcción, protección ignífuga y requerimientos NFPA 75(Sistemas de protección contra el fuego para información), barreras de vapor, techos y pisos, áreas de oficina, salas de UPS y baterías, sala de generador, control de acceso, CCTV, NOC (Network Operations Center – Centro operativo).

Question 11

Sistema Eléctrico

Answer 11

Número de accesos, puntos de fallo, cargas críticas, redundancia de UPS y topología de UPS, puesta a tierra, EPO (Emergency Power Off- sistemas de corte de emergencia) baterías, monitorización, generadores, sistemas de transferencia.

Question 12

Sistema Mecánico

Answer 12

Climatización, presión positiva, tuberías y drenajes, CRACs y condensadores, control de HVAC (High Ventilating Air Conditionning), detección de incendios y sprinklers, extinción por agente limpio (NFPA 2001), detección por aspiración (ASD), detección de líquidos.

Question 13

Diferencias entre ANSI/TIA-942-A y B

Answer 13

La versión B de la norma, sustituye a la A. El principal cambio ha sido la separación de las organizaciones Uptime Institute y TIA.

Según el Uptime Institute, creador del término “Tier”, utiliza esta denominación para determinar los niveles de clasificación de las empresas que desean certificar sus Data Center. Es una etiqueta propia del instituto.

Este término marcó esencialmente la diferencia entre ambas versiones de la norma. Y, en el 2017, se estableció la nueva clasificación en “Rated”, una clasificación universal.

Question 14

Parámetros de la norma:

Answer 14

Infraestructura eléctrica.
Sistema mecánico de enfriamiento.
Ubicación del Data Center.
Arquitectura del Data Center.
Seguridad de Datos.
Seguridad de las instalaciones.
Sistemas de detección y supresión de incendios.

Question 15

Niveles de clasificación del estándar ANSI/TIA-942-B

Answer 15

Se establecen cuatro categorías jerárquicas de clasificación para los Data Centers.
Cada una de estas categorías están estructuradas según los niveles de cumplimiento de los alcances y de allí se determina el “Rated” o calificación.

Question 16

Rated-1: Basic Site Infrastructure

Answer 16

Se aplica a un Data Center que tiene la capacidad de distribución de datos única, sin redundancia, donde posee una limitada capacidad de protección contra cualquier evento adverso.

Question 17

Rated-2: Redundant Capacity Component Site Infrastructure

Answer 17

Se le otorga a un Data Center que posee capacidades de redundancia en datos y suministro eléctrico, y una ruta de distribución única no redundante.

Adicionalmente, también posee cierta capacidad de protección contra eventos físicos adversos.

Question 18

Rated-3: Concurrently Maintainable Site Infrastructure

Answer 18

Corresponde al Data Center que posee los componentes para su capacidad de redundancia y también varias rutas de distribución de la misma de forma independiente.

En este caso, solo una ruta de distribución es de utilidad para el equipo informático. Este sitio posee la capacidad de mantenerse comunicado a pesar del reemplazo, eliminación o cambio de algunos componentes.

Este nivel posee una protección más elevada contra la mayoría de los eventos físicos planificados. Soporta operaciones 24×7.

Question 19

Rated-4: Fault Tolerant Site Infrastructure

Answer 19

Se le otorga a un Data Center que posee componentes de capacidades redundantes, así como múltiples vías de distribución de información y servicios de forma independiente.

En este caso, todos los equipos informáticos están activos, y si ocurre una (01) falla en cualquier componente de la instalación, puede continuar su operatividad sin problemas.

También posee un nivel de protección elevado contra casi todos los eventos adversos físicos posibles.

Question 20

Última actualización

Answer 20

ANSI/TIA-942-C se publicó en mayo de 2024.

Question 21

¿Qué es una DMZ?

Answer 21

Zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente en Internet.
El objetivo de una DMZ es que se permitan las conexiones desde la red externa a la DMZ, se controlan generalmente utilizando port address translation (PAT).
En general no se permitan las conexiones desde la DMZ a la red interna (los equipos de la DMZ no deben conectarse directamente con la red interna).
Se crea a menudo a través de las opciones de configuración del cortafuegos

Question 22

Dual firewall

Answer 22

Es un planteamiento más seguro, usar dos cortafuegos, esta configuración ayuda a prevenir el acceso desde la red externa a la interna.
Este tipo de configuración también es llamado cortafuegos de subred monitorizada (screened-subnet firewall).
Se usan dos cortafuegos para crear la DMZ. El primero (llamado “front-end”) debe permitir el tráfico únicamente del exterior a la DMZ. El segundo (llamado “back-end”) permite el tráfico únicamente desde la red interna a la DMZ.

Question 23

Firewall

Question 24

IDS (sistema de detección de intrusos)

Answer 24

Programa de detección de accesos no autorizados a un computador o a una red. Utiliza sensores virtuales para obtener los datos.
Análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc.
No solo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall.

Question 25

Tipos de IDS (van desde sistemas antivirus hasta sistemas jerárquicos )

Answer 25

HIDS (HostIDS)
NIDS (NetworkIDS):
IDS basados en firmas
IDS basados en anomalías
IDS Pasivo
Identificación reactiva

Question 26

HIDS (HostIDS)

Answer 26

El principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

Question 27

NIDS (NetworkIDS)

Answer 27

Un IDS basado en red, detecta ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Question 28

IDS basados en firmas

Answer 28

Los IDS basados en firmas supervisan todos los paquetes de la red y los comparan con la base de datos de firmas, que son patrones de ataque preconfigurados y predeterminados. Funcionan de forma similar al software antivirus.

Question 29

IDS basados en anomalías

Answer 29

Estos IDS monitorean el tráfico de red y lo comparan con una línea de base establecida. La línea base determina lo que se considera normal para la red en términos de ancho de banda, protocolos, puertos y otros dispositivos, y el IDS alerta al administrador de todo tipo de actividad inusual.

Question 30

IDS pasivo

Answer 30

Este sistema IDS realiza el sencillo trabajo de detección y alerta. Simplemente alerta al administrador de cualquier tipo de amenaza y bloquea la actividad en cuestión como medida preventiva.

Question 31

Identificación reactiva (ya sería IPS)

Answer 31

Detecta actividad malintencionada, alerta al administrador de las amenazas y también responde a esas amenazas.

Question 32

IPS (sistema de prevención de intrusos)

Answer 32

Software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.
Su tecnología provee de un tipo de control de acceso más cercano a las tecnologías cortafuegos.
Toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos.
Pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.
Monitoriza el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa, pudiendola detener.
Alerta al administrador ante la detección de intrusiones o actividad maliciosa
Establece políticas de seguridad para proteger al equipo o a la red de un ataque.

Question 33

Clasificación IPS

Answer 33

Basados en Red LAN (NIPS): monitorizan la red LAN en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación LAN.

Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación inalámbrico.

Análisis de comportamiento de red (NBA): Examina el tráfico de red para identificar amenazas que generan tráfico inusual, como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red.

Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoriza un host único en busca de actividad sospechosa.

Question 34

IPS Forma en que detectan el tráfico malicioso

Answer 34

Detección basada en firmas: como lo hace un antivirus.
Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.
Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.