Neproniknutelná datová pevnost: Jak O2 a CETIN chrání nejen kritickou infrastrukturu státu, ale i videa Netflixu

Datová centra jsou klíčovým prvkem technologické infrastruktury dnešní doby. Slouží nejen jako úložiště dat, ale také jako zázemí pro provoz webových služeb, jako jsou bankovní služby, aplikace, hry, přehrávání hudby či videí z Netflixu, nebo služby státní infrastruktury či provoz krizových systémů, které udržují v chodu integrovaných záchranný systém. Společnost O2, vlastněná skupinou PPF, provozuje několik datových center a tvrdí, že se pyšní jedním z nejmodernějších v České republice, které je ukázkou špičkové technologie pro úschovu a správu dat a zároveň jejich bezpečnosti.

Prohlídku vedli Filip Martinec (Business Development Manager pro datová centra O2), Josef Šmíd (Cetin architekt a manažer datových center, který datacentrum ve Stodůlkách naprojektoval), Josef Jirák (ředitel kompetenčního ICT centra O2), Anastasia Brykova (produktová manažerka datových center O2) a Jaroslav Slavíček (produktový manažer pro síťovou bezpečnost).

Datové centrum, vlastněné a spravované sesterskou společností CETIN, spustilo provoz na podzim 2020 a jedná se o druhé datacentrum v Praze. První se nachází na Chodově. Třetím bylo Nagano Park, které ale v roce 2023 provoz ukončilo. O2 v Česku disponuje celkem pěti datacentry. To ve Stodůlkách odpovídá certifikační třídě 3 dle Uptime Institute, která znamená vysoké nároky na zabezpečení dat a zároveň značí, že servery budou dostupné 99,982 % roku, což v přepočtu odpovídá teoreticky „povolenému” výpadku 1,6 hodiny za celý rok.

Počátky za Telefónicy pro telekomunikační služby, nyní dostupné pro kohokoli

O2 a CETIN mají s provozem datových center více než 25 let zkušeností. Původní lokality na Žižkově a Chodově sloužily jako základy, na kterých byla postavena současná infrastruktura. Významný milník nastal v roce 2005, kdy tehdejší Telefónica zahájila velký rozvoj datových služeb. „Příprava na stěhování z původních prostor trvala dva roky. Za jednu sobotní noc se musely převézt servery stovek klientů. Byla to noční můra, aby se nic nepoškodilo,“ vzpomínal Filip Martinec, který řídil přesun dat do nového centra. Na podzim v roce 2020 pak O2 úspěšně otevřelo nové moderní datové centrum v pražských Stodůlkách, které se stalo jedním z nejdůležitějších uzlů pro státní i komerční klienty. Datové centrum ve Stodůlkách je součástí kritické infrastruktury České republiky.

Mezi klíčové systémy, jejichž provoz podporuje toto centrum, patří funkcionalita mobilní sítě O2, ale i například datové schránky, registr vozidel a STK, evidence půdy a vinic, rejstřík trestů nebo tísňová linka 112. Centrum je zaplněno z více než 70 % a státní systémy nepřesahují 50 %. O2 nedělá rozdíly mezi státem, podnikatelem nebo drobnou fyzickou osobou. Kdokoli, kdo chce mít prostor v racku v moderním datovém centru, může, limity se na zákazníky nekladou. O2 se tak touto širokou nabídkou a moderním přístupem snaží získat zákazníky před konkurenčními datacentry, jako je Ha-vel, T-Mobile, Eviden či Quantcom (dříve Dial Telecom).

Bezpečnost je hlavní priorita, dostat se do budovy je obtížné

Bezpečnost je v datových centrech zásadní a zahrnuje jak fyzickou ochranu, tak digitální zabezpečení. Vstup do centra je možný pouze po ověření krevního řečiště dlaně pomocí biometrického skeneru. Tento systém generuje lokální hash, který se každou půlnoc maže, což minimalizuje riziko zneužití. „S nadsázkou lze říct, že nepomůže useknutí ruky a následné získání přístupu, protože krevní řečiště se ztratí,“ pronesla Anastasia Brykova, produktová manažerka datových center O2.

Samotný sken ruky nestačí, musíte být zaměstnancem zařízení a přijít jen v čase své směny, případně musíte mít dopředu sjednané povolení. Každý v budově musí mít neustále při sobě přístupovou kartu a pokud vstupuje do oddělení například se servery, nestačí jen přiložit kartu, musí znovu přiložit ruku a učinit tak dvoufaktorovu autorizaci. V datovém centru je neustálý dohled a monitoring osob s povoleným pohybem v objektu. Sledují se jak pohyb osob, tak pohyb veškerého materiálu a zařízení.

Kontrolou prochází i samotní klienti, po budově jsou vždy doprovázeni zaměstnanci datacentra. Pro zákazníky, kteří vyžadují speciální ochranu svých zařízení, jsou k dispozici oddělené klece s možností zabezpečení až ke stropu i pod podlahou. Podlaha je zde dvojitá a jednotlivé části dlažby jsou oddělitelné, u klecového zabezpečení však ochrana zasahuje jak do dvojité podlahy, tak do dvojitého stropu.

Není možné se k nim nijak dostat, nedostanou se k nim ani zaměstnanci datacentra, k nim má přístup jen sám klient. Kamery jsou k dispozici všude a například u klecových systémů se instalují tzv. sólo kamery, které streamují přímo ke klientovi. Takové klece využívají například banky.

Protipožární ochrana je řešena pomocí hasicího systému Inergen, který snižuje koncentraci kyslíku v místnosti na úroveň bránící hoření, ale stále je bezpečný pro pohyb člověka v lokalitě kde hoří, aniž by se udusil. „Standardní hašení vodou zde prostě není možné, spolupracujeme s hasičským sborem, který má přesné postupy, jak v případě požáru správně postupovat,“ řekla o zabezpečení Anastasia Brykova. Tento přístup minimalizuje riziko poškození citlivého hardwaru při hašení požáru. Systém Inergen je složen z inertních atmosférických plynů, převážně dusíku, argonu oxidu uhličitého.

Všechny prostory jsou od sebe dostatečně oddělené, když vypukne požár, který nelze kontrolovat, tak další části datacentra jsou protipožárně separovány. Stejně tak jsou ostatní části napájeny zvlášť a mají i vlastní záložní zdroje. A i kdyby k takovému požáru došlo a servery shořely, O2 všechna data z cloudových služeb zálohuje na dvou místech.

Energetická soběstačnost a zálohování

Provoz datového centra vyžaduje stabilní a spolehlivý přísun energie. Centrum ve Stodůlkách má kontinuální spotřebu 3 MW a disponuje robustním záložním systémem. Každá serverovna má vlastní napájení s kapacitou 1 MWh v bateriích UPS, které slouží k pokrytí krátkodobých výpadků napětí až do 20 minut. Pro delší výpadky a zachování kontinuálního provozu je připraveno pět dieselových generátorů každý s kapacitou 5000 litrů paliva od společnosti Čepro a pět motogenerátorů. Jen náklady na energie jsou v desítkách milionů korun ročně.

Tyto nádrže jsou od začátku války na Ukrajině trvale plné kvůli geopolitickým rizikům. Nafta se během roku celá spotřebuje, kvůli zátěžovým testům agregátů, které jsou navíc konstantně ve stavu podobném režimu spánku na počítačích, kdy část agregátu je neustále v provozu, protože v případě výpadku by celé nahození agregátu trvalo desítky minut. V připraveném režimu může naskočit do plné zátěže do minuty, dobu mezi tím vyplní baterie. V případě palivové krize by bylo datacentrum zásobováno v rámci přednostního práva přímo státem.

Energie je do centra přiváděna dvěma nezávislými přívody přes vlastní rozpínací stanici a následně distribuována do jednotlivých částí infrastruktury budovy. Zmíněné baterie jsou pravidelně testovány – jednou za půl roku se řízeně vybíjejí, aby byla zajištěna jejich spolehlivost. Zásoba energie je zde tedy reduntantní a pravidelně ověřována její funkčnost. Chlazení serverů je další klíčovou oblastí provozu. O2 postupně přechází na vodní chlazení, které je až sedmkrát efektivnější než tradiční vzduchové systémy. Například olejové vany se zde nepoužívají, architekti serveroven je nevnímali jako dostatečně efektivní. Při návštěvě jsme se mohli podívat do serverovny, kde se používá chlazení vzduchem. A stěží šlo slyšet člověka, který stál hned vedle mě, navíc neustálý proud chladného vzduchu nebyl příjemný. Přechod na vodní chlazení bude nejenom efektivnější, ale i komfortnější pro samotnou správu racků.

Zákazníkem může být kdokoliv, o server se i technicky postarají

Datové centrum O2 nabízí široké spektrum služeb jak velkým korporacím, tak menším firmám či jednotlivcům. Zákazníci si mohou pronajmout prostor od jednoho racku (U server) až po celé dedikované místnosti. K dispozici je také služba „Remote hands“, která umožňuje vzdálenou správu zařízení prostřednictvím techniků přímo v centru. Georedundance je dalším důležitým prvkem nabízených služeb – data jsou zálohována v dalších centrech O2 (celkem tři v Praze, jedno v Brně a jedno v Ivančicích). To zajišťuje vysokou dostupnost služeb i při regionálních výpadcích způsobených například živelnými pohromami. Zákazníci si mohou do centra přinést i vlastní hardware nebo využít nabídku housingu od O2. Prostor je navržen tak, aby vyhovoval různorodým potřebám – od jednotlivců, malých firem až po velké státní instituce.

Nepředstavitelné množství dat a množství certifikací

Datové centrum měsíčně zpracovává přes 900 petabajtů dat, což odpovídá obrovskému množství informací zpracovaných státními institucemi i komerčními subjekty. Jen pro představu, 900 petabajtů je přibližně 180 miliard fotek o velikosti 5 MB nebo 225 milionů filmů o velikosti 4 GB.

„Centrum splňuje přísné normy SLA (Service Level Agreement), které garantují vysokou dostupnost napájení a konektivity. S příchodem evropské směrnice NIS2 a bankovní normy DORA se očekává další nárůst požadavků na bezpečnost a kapacitu datových center, na vše již je však plně datacentrum připraveno,“ zdůraznil Jaroslav Slavíček produktový manažer pro síťovou bezpečnost O2. Zástupci společnosti CETIN uvedli, že kromě auditů k plnění výše zmíněných norem, plní i různorodé certifikace ISO či SOC 2. Zároveň umožňují svým zákazníkům provádět vlastní audity.

Budoucnost datových center

Datová centra, jako to ve Stodůlkách, představují páteř moderní digitální společnosti. Díky pokročilým technologiím, vysoké úrovni zabezpečení a flexibilním službám poskytují spolehlivé zázemí pro data soukromých uživatelů i státních institucí a nadnárodních korporací. A takových datacenter bude potřeba více.

O2 plánuje další investice do rozvoje své infrastruktury, a to jak do hardwarového vybavení současného centra, tak i do výstavby nového, aby bylo schopno pojmout požadavky zákazníků. „Výstavba nového centra může dosáhnout nákladů až jedné miliardy korun,“ zmínil Josef Jirák ředitel kompetenčního ICT centra O2. Jirák též doplnil, že sehnat vhodnou lokalitu s dobrou dostupností a vyhověním všem energetickým a bezpečnostním nárokům je v dnešní době velice obtížné.