ENI Green Data Center: la sicurezza

Il Green Data Center che ENI ha inaugurato nelle ultime ore a Ferrera Erbognone (il cantiere venne aperto nel 2011 sotto l’appellativo di “Progetto Zephyr“) avrà il compito di gestire elaborazioni estremamente delicate ed importanti nel novero delle attività del gruppo. Oltre alla normale contabilità aziendale, infatti, il datacenter dovrà elaborare dati relativi alle estrazioni petrolifere nel mondo, supportare i sistemi di produttività interna e gestire i siti Web propri dell’attività del gruppo. Tutto ciò impone però una grave responsabilità: la necessità di rendere sempre massima l’efficienza operativa del datacenter. I danni derivanti da un eventuale problema tecnico tale da fermarne le attività, infatti, sarebbero incalcolabili.

Il progetto ha messo dunque questo punto tra le proprie priorità assolute: la sicurezza. Non solo l’impianto deve poter funzionare in qualsiasi condizione, ma deve saper anche aggirare eventuali imprevisti, affrontare condizioni estreme che dovessero presentarsi, implementare soluzioni di ripiego in caso di disastro e prevedere addirittura l’ipotesi di attacchi fisici dall’esterno. Troppo importante il ruolo del datacenter per ignorare la benché minima possibilità di arresto delle macchine, dunque tutto è stato progettato per difendere i server, tenerli aggiornati nel tempo, e considerare ridondanze e duplicazioni ad hoc per qualsivoglia eventualità.

Punto primo: il software. ENI spiega di aver previsto non soltanto una protezione perimetrale dei propri sistemi, ma anche una verifica a livello di macchina ed a livello di dati. La protezione è insomma integrata, a più livelli, e dispone di soluzioni gerarchiche per far sì che nessuna intromissione esterna possa mai compromettere i lavori in corso o i dati archiviati. Uno degli aspetti più importanti di questa missione è il realismo: durante l’inaugurazione del 29 ottobre si è chiaramente detto che il datacenter è da considerarsi “ragionevolmente” sicuro. La sicurezza totale, infatti, non è elemento considerabile, mentre una più saggia valutazione della dinamicità delle soluzioni e delle minacce prevede una altrettanto plastica capacità di adattamento alle diverse situazioni che potrebbero presentarsi.

Punto secondo: la difesa fisica degli apparati. ENI spiega di aver costruito il datacenter con tecniche antiterroristiche, tali da prevedere anche l’interramento di parte della struttura e la difesa delle parti fondamentali all’interno di una barriera di ferro e calcestruzzo. Capillari sistemi di sorveglianza garantiscono inoltre dall’accesso esterno, proteggendo così la struttura da qualsivoglia pericolo (anche in questo caso, all’interno di canoni di dovuta “ragionevolezza”).

Punto terzo: l’alimentazione energetica. Sebbene tutto sia progettato per funzionare al meglio, l’inconveniente è sempre dietro l’angolo e ad esempio una semplice interruzione dell’alimentazione potrebbe arrecare danni irreparabili all’operatività del sistema. Complessi UPS di progettazione italiana sono stati implementati per garantire continuità di alimentazione, ma al contempo sono pensati in modo da rimanere disattivi fin quando un allarme non ne richieda l’immediata attivazione.

Ogni flusso elettrico è sempre ridondato a livello di quadri elettrici per garantire l’alimentazione di ciascun ramo dell’impianto anche in caso di intervento di manutenzione o di fault di una delle linee principali di distribuzione. Un guasto su un lato di una sala può quindi mettere in fault sempre e solo un sottoinsieme di apparati, al massimo metà dell’alimentazione: l’altra metà deve essere sempre in grado di reggere l’intero carico dei sistemi accesi. […] Si è pensato di utilizzare UPS di taglia media (200kW), che operano però in tecnologia off-line cioè sono sempre spenti, in stato di stand-by, e intervengono solo quando avviene una effettiva discontinuità di alimentazione elettrica rilevante; apparati di nuova concezione, ad altissima efficienza (99,4% già al 50% del carico).

Punto quarto: la temperatura. In caso di guasto ad un qualche sistema di raffreddamento dei server, deve intervenire un sistema di acqua refrigerata in grado di compensare il free-cooling per mantenere alla giusta temperatura i singoli percorsi verso le macchine. In caso di incendio non viene attivato alcun gas né altre soluzioni particolari: ancora una volta è la sola acqua ad intervenire per spegnere l’eventuale focolaio. Tale sistema si dimostra peraltro più sicuro anche per i dipendenti al lavoro (circa una ventina), poiché l’acqua non determinerebbe i rischi che altri sistemi potrebbero invece porre in essere.

Punto quinto: la difesa dei dati. In ogni caso è questo il valore che un datacenter deve gestire e proteggere: i dati, gli algoritmi e la loro elaborazione. Qualunque problema deve sempre e comunque garantire la sicurezza dei bit ed a tali fine interviene un complesso sistema di ridondanza nelle archiviazioni. Due gli obiettivi che si è posto il progetto: primo, resistere al primo guasto o incidente, di qualsiasi natura, senza alcun intervento umano; secondo, consentire continuità di servizio sempre e comunque. La duplicazione dei dati di maggior importanza coinvolge così un secondo impianto, dislocato a distanza di sicurezza da Ferrera Erbognone, così che qualsiasi eventualità imprevedibile non ricada comunque sull’integrità delle informazioni che l’ENI ha la necessità di preservare:

Anche se l’Eni Green Data Center garantisce altissima affidabilità, assicura la possibilità di ospitare sistemi in configurazione di alta affidabilità (in quanto costituito di fatto da 2 strutture indipendenti di Data Center), l’architettura complessiva del network IT e TLC aziendale eni prevede, in aggiunta al Green Data Center di Ferrera, anche un sito alternativo di Disaster Recovery (posto a circa 50km di distanza), ottenendo in questo modo un livello di sicurezza e di protezione del sistema informativo aziendale di assoluta eccellenza.

Nessun problema, invece, dal punto di vista del rischio sismico: Ferrera Erbognone è all’interno del territorio con il minor rischio in tutta la penisola. Edificato su un sostrato sabbioso, inoltre, l’edificio è garantito anche da eventuali scosse imprevedibili in profondità.