مراکزداده موجودات و سیستم‌هایی نیستند که به حال خود رها شوند و مثلا  پس از ساخت و راه‌اندازی، تا چندین سال نیازی به ارزیابی و بررسی کیفیتی  نداشته باشند. مراکزداده باید هر ساله و در برخی استانداردها هر چند ماه یک  بار تحت بازرسی‌های کامل و متنوعی قرار بگیرند تا سطح آمادگی عملیاتی،  کارایی و تطابق با استانداردهای رایج و مشخص شده آن‌ها ارزیابی شود. در  حالی‌که برخی از ممیزی‌های مرکزداده توسط اشخاص و سازمان‌های شخص ثالث برای  دادن امتیاز و درجه‌بندی مرکزداده یا احراز برخی گواهی‌نامه‌ها انجام  می‌شود؛ خود مراکزداده نیز باید بخشی از این ممیزی‌ها را برای بهبود کیفیت  خدمات و ارائه بهترین سرویس‌های ممکن به مشتریان، پیاده‌سازی و تکرار کنند.  

                                

ممیزی مرکزداده چیست؟

احتمالا همه فعالان صنعت شبکه و مرکزداده با بحث ممیزی آشنایی دارند و  می‌دانند چرا انجام می‌شود؛ چه مزایایی دارد یا چه اهدافی را پوشش می‌دهد  ولی باز پیش از بررسی استانداردها و بخش‌های یک ممیزی مرکزداده؛ می‌خواهیم  تعریف کلی از آن داشته باشیم تا با بینشی روشن وارد بحث شویم. 

 

به طور کلی، ممیزی (Audit) به یک پروسه بررسی منظم، دقیق، مستقل از سوابق  یا مالکیت شخصی و سازمانی برای سطح‌بندی کیفی خدمات یا استانداردهای رعایت  شده گفته می‌شود.

 ممیزی مشخص می‌کند یک مرکزداده در چه سطح کیفی است؛ آیا مشخصات و مختصات  مرکزداده با آن چیزی که ادعا شده تطابق دارد؟ تا چه میزان استانداردهای  مصوب سازمان‌های مرجع جهانی یا ملی در این مرکزداده رعایت می‌شوند و عملکرد  آن‌ها در بخش‌های مختلف چگونه است. ممیزی یک معیار برای درجه‌بندی و  اطمینان مشتریان است.

مشتریان می‌خواهند داده‌های حساس و حیاتی خود را روی یک مرکزداده ذخیره  کنند؛ پس باید اطمینان داشته باشند حداقل استانداردها و ضوابط در یک  مرکزداده رعایت شده باشد. از سوی دیگر، نهادهای حاکمیتی می‌خواهند به  مراکزداده تسهیلات و امکاناتی بدهند و به‌همین دلیل باید مراکزداده با  آپ‌تایم و کارایی بالاتر در الویت قرار بگیرند و خط‌کش و میزانی برای  اعتباردهی به مراکزداده وجود داشته باشد. 

 ممیزی تا حدودی با بازرسی و ارزیابی یک مرکزداده تفاوت دارد. اگرچه این دو  مقوله بسیار به هم نزدیک هستند ولی ممیزی همان‌طور که اشاره شد یک پروسه  منظم، تکرارپذیر و به صورت برنامه‌ریزی شده‌ای است و ماهیت مچ‌گیری یا  یافتن تخلف‌ها را ندارد. اگرچه در ممیزی باز هم دنبال یافتن ناسازگاری‌ها،  عدم تطابق‌ها و عدم رعایت استانداردها می‌روند ولی اساسا با میل و رغبت خود  صاحبان مراکزداده انجام می‌شود. 

 استانداردهای ممیزی مرکزداده

استانداردهای مختلفی برای ممیزی مرکزداده وجود دارد که هریک به جنبه‌ها  یا پارامترهایی اهمیت بیشتری داده و از یک یا چند زاویه مرکزداده را مورد  ارزیابی و درجه‌بندی قرار می‌دهند.

 برخی از استانداردها به طراحی و معماری مرکزداده بیشتر بها داده و  استاندارد دیگری امنیت یا ارتباطات مرکزداده را به طور دقیق بررسی می‌کند.  برخی از استانداردها هم دیدگاهی مکانیکال و الکتریکال دارند و مثلا وضعیت  شبکه برق، پایداری انرژی، کابل‌کشی‌های برق و نظایر این‌ها را بررسی  می‌کنند.

 قدیمی‌ترین استاندارد و در عین حال شناخته‌شده‌ترین استاندارد ممیزی  مرکزداده متعلق به شرکت Uptime و مفهوم رده (Tier) است. در این استاندارد،  مراکزداده به ۴ رده یا Tier تقسیم می‌شوند که مرکزداده رده 4 Tier دارای  آپ‌تایمی برابر با ۹۹/۹۹۵ درصد و بالاترین دسترس‌پذیری است.

 استاندارد آپ‌تایم، همان‌طور که از نامش مشخص است؛ بحث دسترس‌پذیری  مراکزداده را ارزیابی می‌کند و کمتر سراغ معیارها و پارامترهای دیگر  می‌رود. استاندارد بعدی مطرح، TIA-942 است که تا حدودی ضوابطی مطابق با  آپ‌تایم دارد.

 در بسیاری از کشورها از استاندارد ISO 27001 برای ممیزی مراکزداده  استفاده می‌شود که مورد توافق چهار سازمان بزرگ و بین‌المللی است و بیشتر  پیرامون استفاده یک مرکزداده از سیستم‌های امنیت اطلاعات است.

 از دیگر استانداردهای ممیزی مراکزداده می‌توان به HIPAA (سرنام Health  Insurance Portability and Accountability Act) اشاره کرد که از سال ۱۹۹۶  در ایالات متحده مورد استفاده قرار می‌گیرد و به بحث‌های سلامتی کارکنان و  محرمانگی اطلاعات اهمیت بیشتری می‌دهد.

 همین‌طور، استاندارد بعدی ممیزی مرکزداده PCI DSS (سرنام Payment Card  Industry Data Security Standard) است که توسط کنسرسیوم SSC یا مجموعه  صادرکنندگان کارت‌های اعتباری منتشر شده است. سازمان‌های دیگری مانند بیسکی  (Bicsi) نیز استانداردهایی برای ممیزی مرکزداده دارند.

 باید اشاره کرد که هر کشوری مجموعه‌ای از این استانداردها را به همراه  ضوابط و دستورالعمل‌های خودش معیار ممیزی مرکزداده قرار می‌دهد و لزوما  کشورها از یک رویه ثابت و مشخص برای درجه‌بندی مراکزداده استفاده نمی‌کنند.

 

چه بخش‌هایی از مرکزداده ممیزی می‌شوند؟

حالا که با تعریف و استانداردهای ممیزی مرکزداده آشنا شدیم؛ باید بدانیم  چه بخش‌هایی از یک مرکزداده مورد ممیزی قرار می‌گیرند. امنیت اطلاعات و  مدیریت امنیت، مصرف انرژی، تجهیزات زیرساختی، عملیات تعمیر و نگهداری و  انطباق استانداردها، بخش‌ها یا فاکتورهای شاخص ممیزی در یک مرکزداده هستند.  در ادامه نگاهی به هریک از این بخش‌ها خواهیم داشت:

 

  • ممیزی مدیریت امنیت و کنترل دسترسی

سطح بالای امنیت فیزیکی یکی از مهم‌ترین مزایای تجهیزات و دارایی‌های  ذخیره‌سازی در یک مرکزداده است. بسیاری از شرکت‌ها برای محافظت از داده‌های  ارزشمند و زیرساخت فناوری اطلاعات خود به سوی مراکزداده می‌آیند و انتظار  دارند از هرگونه مشکل امنیتی، خواه خطای انسانی یا حملات مخرب سایبری در  امان باشند.

 یکی از وظایف ممیزی، بررسی‌های منظم وضعیت امنیت اطلاعات و مدیریت امنیت  مرکزداده و پروتکل‌های کنترل دسترسی است تا محرز شود این مرکزداده تمام  تلاش خود را برای امن نگه داشتن درهای ورود مهاجمان انجام می‌دهد.  استانداردهای خوب ممیزی مرکزداده روی هر جنبه از مدیریت امنیت سیستم‌ها از  امنیت فیزیکی تا ارزیابی کارایی و وضعیت دوربین‌های نظارتی، اسکنرهای  بیومتریک و سنسورها نظارت دارند.

 همچنین، سیستم‌های اطفای حریق و امنیت رک‌ها در هر طبقه مرکزداده مورد  بررسی قرار می‌گیرند. این سیستم‌ها باید به خوبی کار کرده و در صورت بروز  هرگونه مشکلی حتی بسیار جزئی، اعلان‌های مناسب را ارسال کنند.

 به صورت دوره‌ای باید سیاست‌های دسترسی ارزیابی و تست شوند و اطمینان  حاصل شود که نیروهای امنیتی مرکزداده تمام مراحل احرازهویت را پیاده‌سازی  کرده و فهرست‌های کنترل دسترسی روزانه به‌روز می‌شوند. یک ممیزی امنیتی  مرکزداده باید آمادگی امنیتی کارکنان یا حتی سوابق و پیشینه آن‌ها به همراه  قراردادهای بسته شده با پیمانکاران را هم بررسی کند.

 

  • ممیزی بهره‌وری انرژی

مراکزداده برای سیستم‌های سرمایشی و محاسباتی خود، مقادیر زیادی انرژی  مصرف می‌کنند. در مجموع، سه درصد کل برق جهان توسط مراکزداده مصرف می‌شود.

 متاسفانه، مراکزداده کوچک به نسبت خود و در مقایسه با مراکزداده بزرگ،  مصرف انرژی بیشتری دارند که به ضعف در طراحی، فرایندهای ناسازگار و عدم  نظارت درست یا محدود مربوط است. با انجام ممیزی‌های منظم و متراکم بر  بهره‌وری انر‌ژی، مراکزداده می‌توانند عملیات‌ فناوری اطلاعات خود را بهبود  بخشیده، نرم‌افزار مدیریت انرژی خود را ارزیابی کرده و ضمن ارائه کارایی  بهتر، انرژی کمتری مصرف کنند.

 ممیزی انرژی نحوه استفاده از انرژی در محیط مراکزداده را ارزیابی  می‌کند. این کار با روندهای بررسی استفاده از انرژی برای شناسایی مناطق  احتمالی مشکل‌زا آغاز می‌شود و سپس به کنترل‌های محیطی، سیستم‌های روشنایی و  کارایی HVAC می‌رسد.

 در فاز بعدی، بررسی می‌کند آیا در فضای موجود انرژی به طور موثری  استفاده می‌شود؟ با محاسبه واحد PUE به صورت تقسیم کل انرژی مصرف شده بر  مصرف انرژی تجهیزات IT می‌توان دریافت یک مرکزداده دارای مصرف بهینه انرژی  است یا خیر!

 

  • ممیزی زیرساخت

مراکزداده، محیط‌های پیچیده‌ای با طیف‌های گسترده‌ای از دارایی‌های  مشتری و سخت‌افزارهای مهم برای ماموریت‌های حیاتی هستند. کابل‌کشی‌ها، منبع  تغذیه، سیستم‌های پشتیبان‌گیری، سرورها و رک‌ها همگی برای کارهای روزمره  فناوری اطلاعات ضروری و فوق‌العاده حیاتی هستند. بدترین اتفاق برای یک  مرکزداده می‌تواند قطع شدن برق سیستم پشتیبان‌گیری باشد.

 بروز یک مشکل جزئی مانند قطعی یا خرابی یک کابل می‌تواند به طور جدی  روی عملکرد مرکزداده و بعد از کار افتادن سرویس تجاری مشتری تاثیر منفی  بگذارد و روند کارها را مختل کند که در نهایت باعث می‌شود مشتری سراغ  ارائه‌دهنده خدمات مرکزداده دیگری برود.

 ممیزی‌های جامع زیرساخت می‌تواند به اشکال مختلفی مانند ممیزی  دارایی‌های تجهیزات محاسباتی یا ممیزی طراحی و اصول کابل‌کشی ساختاریافته  به بررسی مسایل زیرساختی مرکزداده بپردازد. این ممیزی‌ها مسیر کابل‌کشی و  روش‌های بهبود کابل‌کشی را بررسی کرده؛ مشخص می‌کند چه تجهیزاتی باید کجا  قرار بگیرند و چه تجهیزاتی زائد هستند تا اطمینان حاصل شود که زیرساخت  مرکزداده از نظر قابلیت اطمینان و کارایی بهترین وضعیت را دارد.

 

  • ممیزی عملیات‌ فناوری اطلاعات

حتی اگر یک مرکزداده تمام تجهیزات و فرآیندها برای ارائه خدمات با  کارایی بالا را داشته باشد؛ بدون داشتن تیم عملیاتی موثری برای مدیریت این  زیرساخت‌ها، فقط منابع خود را هدر داده است. این تیم‌ها می‌توانند از راه  دور یا با حضور در محل، از زیرساخت مرکزداده حفاظت کرده و بهبودهایی برای  پیش‌برد خدمات مشتریان اعمال کنند.

 عنصر انسانی در نگهداری از یک زیرساخت پیچیده و داده‌های ذخیره شده روی  آن بسیار مهم است. نقش خطاهای انسانی در خرابی‌های مرکزداده بیش از ۷۰  درصد است. ممیزی عملیات‌ IT می‌تواند اطمینان حاصل کند پرسنل یک مرکزداده  کاملا آموزش‌های لازم را گذرانده و برای ماموریت‌های حیاتی آمادگی لازم را  دارند. 

 

  • ممیزی انطباق‌پذیری

بخشی از ممیزی مراکزداده به تجهیزات، زیرساخت، امنیت و فرآیندها  برمی‌گردد اما بخش مهم دیگری متوجه استانداردها و انطباق‌پذیری یک مرکزداده  با این استانداردها است. این ممیزی قطعا باید توسط یک سازمان یا شخص ثالث  بیرونی انجام شود تا با ارزیابی کامل وضعیت یک مرکزداده و انطباق آن‌ها با  استانداردهای مشخص، تعیین شود یک مرکزداده چقدر در رعایت و پیاده‌سازی اصول  تعیین شده موفق عمل کرده است.

 در بالا به بخشی از این استانداردها که می‌توانند برای ممیزی استفاده  شوند؛ اشاره کردیم. استانداردهایی مانند ISO 27001 یا دیگر استانداردهای  ISO، استانداردهای SSAE 18، SOC 2 Type II و HIPAA/HITECH هریک می‌توانند  برای ارزیابی و بررسی یک مرکزداده به کار گرفته شوند.

 یک مرکزداده بدون داشتن این گواهی‌نامه‌ها، در بازار برای یافتن  مشتریان بیشتر دچار مشکل خواهد شد. مشتریان به مرکزداده‌ای اعتماد می‌کنند  که گواهی‌نامه‌ها و استانداردهای لازم را اخذ کرده باشد و از نظر  انطابق‌پذیری آن با اصول و دستورالعمل‌های تعیین شده، آسوده خاطر باشند.

 یک مرکزداده خوب کاملا تشخیص می‌دهد که ممیزی‌ها بیشتر یک فرصت هستند  تا تهدید و نباید از ممیزی بترسد. ممیزی‌ها تصویر کاملی از کارایی یک  مرکزداده ترسیم و نقاط ضعف، عدم انطباق‌ها و ناسازگاری‌ها را مشخص می‌کنند.  ممیزی منظم و سالیانه ضمن اینکه جایگاه مرکزداده را در بازار مشخص می‌کند؛  فرصت‌هایی برای رشد و بهبود رو به جلو فراهم می‌کند.