Bundesamt für Sicherheit in der Informationstechnik

B 3.304 Virtualisierung

Logo Virtualisierung

Beschreibung

Bei der Virtualisierung von IT-Systemen werden ein oder mehrere virtuelle IT-Systeme auf einem physischen Computer betrieben. Ein solcher physischer Computer wird als Virtualisierungsserver bezeichnet. Mehrere solcher Virtualisierungsserver können häufig zu einer virtuellen Infrastruktur zusammengefasst werden. In einer solchen virtuellen Infrastruktur können die Virtualisierungsserver selbst und die auf ihnen betriebenen virtuellen IT-Systeme gemeinsam verwaltet werden.

Die Virtualisierung von IT-Systemen bietet vielfältige Vorteile für den IT-Betrieb in einem Informationsverbund. Es können Kosten für Hardwarebeschaffung, Strom und Klimatisierung eingespart werden, wenn die Ressourcen der Server effizienter genutzt werden. Durch die damit verbundene Zentralisierung und Konsolidierung sowie die vereinfachte Bereitstellung von IT-Systemen können im Bereich Personal und Administration ebenfalls Kostenvorteile erreicht werden. Die Möglichkeiten der Virtualisierung stellen aber auch gleichzeitig eine neue Herausforderung für den Betrieb des Informationsverbundes dar. Da durch den Einsatz der Virtualisierungstechnik unterschiedliche Bereiche und Arbeitsfelder im Informationsverbund berührt werden, müssen Wissen und Erfahrungen aus den unterschiedlichsten Bereichen zusammengeführt werden.

Der Einsatz von Virtualisierungsservern und virtuellen IT-Systemen muss in der Schutzbedarfsfeststellung für den vorliegenden Informationsverbund berücksichtigt werden. Es ist zu beachten, dass der Schutzbedarf des Virtualisierungsservers durch den Schutzbedarf der auf ihm betriebenen virtuellen IT-Systeme beeinflusst wird. Probleme auf einem Virtualisierungsserver oder einem virtuellen IT-System können sich möglicherweise auch auf alle anderen virtuellen IT-Systeme, die auf dem selben Virtualisierungsserver betrieben werden, auswirken.

In diesem Baustein wird beschrieben, wie die Virtualisierung von IT-Systemen in den Informationsverbund eingeführt werden kann und unter welchen Voraussetzungen virtuelle Infrastrukturen im Informationsverbund sicher betrieben werden können.

Thematische Abgrenzung

In diesem Baustein wird nur die Virtualisierung vollständiger IT-Systeme behandelt, andere Techniken, die teilweise ebenfalls mit dem Wort "Virtualisierung" in Verbindung gebracht werden (Anwendungsvirtualisierung mittels Terminalservern, Storage-Virtualisierung etc.), sind nicht Gegenstand dieses Bausteins. Es werden Virtualisierungsserver und virtuelle IT-Systeme betrachtet, in denen Betriebssysteme ablaufen, die häufig auch direkt auf physischen IT-Systemen zum Einsatz kommen.

Im Bereich der Software-Entwicklung werden die Begriffe Virtuelle Maschine und Virtuelle-Maschinen-Monitor ( VMM ) manchmal auch für bestimmte Laufzeitumgebungen, beispielsweise beim Einsatz von Java oder Dot-NET (Microsoft .NET), verwendet. Solche Laufzeitumgebungen werden in diesem Baustein ebenfalls nicht betrachtet.

Gefährdungslage

Für den sicheren Betrieb von Virtualisierungsservern und virtuellen IT-Systemen gibt es auf Grund der vielfältigen Funktionen der Virtualisierungsserver und der Manipulationsmöglichkeiten für virtuelle IT-Systeme einige neue organisatorische und technische Gefährdungen. Dies hängt damit zusammen, dass ein neuer Infrastrukturbestandteil, nämlich die Virtualisierungsinfrastruktur für IT-Objekte, entsteht. Auch können virtuelle IT-Systeme neue Zustände einnehmen. So kann sich ein System, das ausgeschaltet wurde, dennoch im Zustand laufend befinden, wenn es durch die Virtualisierungssoftware lediglich eingefroren wurde. Zudem werden Lebenszyklen von virtuellen IT-Systemen in der Regel in wesentlich kürzeren Zeitabständen durchlaufen.

In virtuellen Infrastrukturen werden für den IT-Grundschutz die folgenden typischen Gefährdungen angenommen:

Organisatorische Mängel

G 2.29Softwaretest mit Produktionsdaten
G 2.32Unzureichende Leitungskapazitäten
G 2.37Unkontrollierter Aufbau von Kommunikationsverbindungen
G 2.60Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement
G 2.148Fehlerhafte Planung der Virtualisierung
G 2.149Nicht ausreichende Speicherkapazität für virtuelle IT-Systeme
G 2.150Fehlerhafte Integration von Gastwerkzeugen in virtuellen IT-Systemen
G 2.151Fehlende Herstellerunterstützung von Applikationen für den Einsatz auf virtuellen IT-Systemen

Menschliche Fehlhandlungen

G 3.16Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.28Ungeeignete Konfiguration der aktiven Netzkomponenten
G 3.36Fehlinterpretation von Ereignissen
G 3.79Fehlerhafte Zuordnung von Ressourcen des SAN
G 3.99 Fehlerhafte Netzanbindungen eines Virtualisierungsservers
G 3.100Unsachgemäße Verwendung von Snapshots virtueller IT-Systeme
G 3.101Fehlerhafter Einsatz der Gastwerkzeuge in virtuellen IT-Systemen
G 3.102Fehlerhafte Zeitsynchronisation bei virtuellen IT-Systemen

Technisches Versagen

G 4.74Ausfall von IT-Komponenten in einer virtualisierten Umgebung
G 4.75Störung der Netzinfrastruktur von Virtualisierungsumgebungen
G 4.76Ausfall von Verwaltungsservern für Virtualisierungssysteme
G 4.77 Ressourcenengpässe durch fehlerhafte Funktion der Gastwerkzeuge in virtuellen Umgebungen
G 4.78Ausfall von virtuellen Maschinen durch nicht beendete Datensicherungsprozesse

Vorsätzliche Handlungen

G 5.29Unberechtigtes Kopieren der Datenträger
G 5.133Unautorisierte Benutzung web-basierter Administrationswerkzeuge
G 5.147Unautorisiertes Mitlesen oder Stören des Virtualisierungsnetzes
G 5.148Missbrauch von Virtualisierungsfunktionen
G 5.149Missbräuchliche Nutzung von Gastwerkzeugen in virtuellen IT-Systemen
G 5.150Kompromittierung des Hypervisor virtueller IT-Systeme

Maßnahmenempfehlungen

Um einen Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. Für die Modellierung von Virtualisierungsservern und virtuellen IT-Systemen ist Folgendes zu beachten:

  • Der Baustein B 3.304 Virtualisierung ist auf jeden Virtualisierungsserver oder jede Gruppe von Virtualisierungsservern anzuwenden. Ein Virtualisierungsserver ist ein physisches IT-System (Client oder Server), auf dem virtuelle IT-Systeme betrieben werden. Neben dem Baustein B 3.304 müssen auch die jeweils relevanten Server- oder Client-Bausteine der Schicht 3 auf die Virtualisierungsserver angewandt werden.
  • Neben physischen IT-Systemen und Virtualisierungsservern müssen auch virtuelle IT-Systeme (virtuelle Maschinen, VM s) mit Hilfe der Bausteine aus den IT-Grundschutz-Katalogen modelliert werden. VMs werden grundsätzlich in der gleichen Weise wie physische IT-Systeme modelliert, das heißt, es werden die jeweils relevanten Bausteine der Schichten 3 und 5 herangezogen. Da es in der Praxis oft vorkommt, dass viele VMs eingerichtet werden, ist eine sinnvolle Modellierung der VMs häufig nur durch geeignete Gruppenbildung möglich. Für die Gruppenbildung gelten bei VMs die gleichen Regeln wie für physische IT-Systeme. Prinzipiell können auch solche VMs zu einer Gruppe zusammengefasst werden, die auf verschiedenen physischen IT-Systemen ablaufen. Weitere Hinweise zur Modellierung virtueller IT-Systeme finden sich in der Maßnahme M 2.392 Modellierung von Virtualisierungsservern und virtuellen IT-Systemen .

Planung und Konzeption

Bei der Planung einer virtuellen IT-Infrastruktur müssen eine Reihe von Rahmenbedingungen bedacht werden. Neben den Fragen nach der zur nutzenden Virtualisierungstechnik und entsprechenden Produkten (siehe M 2.477 Planung einer virtuellen Infrastruktur ) sowie nach der Eignung der in Frage kommenden Systeme bezüglich der Virtualisierung (M 2.444 Einsatzplanung für virtuelle IT-Systeme ) ist insbesondere die zukünftige Netzstruktur zu planen (M 5.153 Planung des Netzes für virtuelle Infrastrukturen ). Weiterhin sind auch eine Reihe von organisatorischen Regelungen anzupassen.

Da sich Virtualisierungsserver besonders für den Aufbau von Test- und Entwicklungsumgebungen eignen, sollten detaillierte Regelungen getroffen werden, wie mit den in diesen Umgebungen verarbeiteten Daten umgegangen werden soll (M 2.82 Entwicklung eines Testplans für Standardsoftware ).

Beschaffung

Bei der Auswahl der Hardware für Virtualisierungsserver ist darauf zu achten, dass Systeme beschafft werden, die für die gewählte Virtualisierungslösung geeignet sind. Die Systeme müssen leistungsfähig genug sein, um für alle geplanten virtuellen IT-Systeme genügend Performance bereitstellen zu können (M 2.445 Auswahl geeigneter Hardware für Virtualisierungsumgebungen ).

Umsetzung

Der Aufbau der virtuellen Infrastruktur bzw. die Installation der Virtualisierungsserver selbst kann gemäß der eingeübten Vorgehensweisen der Organisation durchgeführt werden (B 3.101 Allgemeiner Server ). Der Komplexitätsgrad eines Virtualisierungsprojektes insgesamt sollte jedoch nicht unterschätzt werden, daher sind einige Besonderheiten bei der Konfiguration der Netze (M 5.154 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen ) und der Gestaltung des administrativen Zugangs zu den Virtualisierungsservern (M 2.446 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern ) zu beachten.

Für die Bereitstellung virtueller IT-Systeme auf den Virtualisierungsservern müssen organisatorische Maßnahmen für die Installation der virtuellen IT-Systeme (M 2.447 Sicherer Einsatz virtueller IT-Systeme ) durch technische Maßnahmen ergänzt werden (M 4.346 Sichere Konfiguration virtueller IT-Systeme ), um deren sicheren Betrieb zu gewährleisten.

Auf den eigentlichen Virtualisierungsservern sollten möglichst nur solche Dienste betrieben werden, die zur Virtualisierungstechnik gehören. Andere Dienste sollten in den virtualisierten Instanzen (oder auf Systemen außerhalb der virtuellen Infrastruktur) bereitgestellt werden.

Betrieb

Die Maßnahmen M 2.448 Überwachung der Funktion und Konfiguration virtueller Infrastrukturen und M 4.349 Sicherer Betrieb von virtuellen Infrastrukturen von virtuellen Infrastrukturen bilden die Grundlage für den sicheren Betrieb sowohl der Virtualisierungsserver als auch der virtuellen IT-Systeme. Weiterhin ist die Maßnahme M 4.348 Zeitsynchronisation in virtuellen IT-Systemen zu beachten.

Notfallvorsorge

Bei der Notfallvorsorge für Virtualisierungsserver sollte berücksichtigt werden, dass das potentielle Schadensausmaß umso höher ist, je mehr virtuelle IT-Systeme auf einem Virtualisierungsserver betrieben werden. Daher muss der Schutzbedarf der Gesamtheit der virtuellen IT-Systeme auf den Schutzbedarf der Virtualisierungskomponenten abgebildet werden (M 6.138 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten ).

Nachfolgend wird das Maßnahmenbündel für den Baustein "Virtualisierung" vorgestellt.

Planung und Konzeption

M 2.82(B)Entwicklung eines Testplans für Standardsoftware
M 2.314(Z)Verwendung von hochverfügbaren Architekturen für Server
M 2.392(A)Modellierung von Virtualisierungsservern und virtuellen IT-Systemen
M 2.444(A)Einsatzplanung für virtuelle IT-Systeme
M 2.477(A)Planung einer virtuellen Infrastruktur
M 3.70(W)Einführung in die Virtualisierung
M 3.71(B)Schulung der Administratoren virtueller Umgebungen
M 5.153(B)Planung des Netzes für virtuelle Infrastrukturen

Beschaffung

M 2.445(C)Auswahl geeigneter Hardware für Virtualisierungsumgebungen

Umsetzung

M 2.83(B)Testen von Standardsoftware
M 2.446(B)Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern
M 2.447(A)Sicherer Einsatz virtueller IT-Systeme
M 3.72(W)Grundbegriffe der Virtualisierungstechnik
M 4.97(Z)Ein Dienst pro Server
M 4.346(A)Sichere Konfiguration virtueller IT-Systeme
M 4.347(Z)Deaktivierung von Snapshots virtueller IT-Systeme
M 5.154(B)Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen

Betrieb

M 2.448(B)Überwachung der Funktion und Konfiguration virtueller Infrastrukturen
M 2.449(Z)Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme
M 4.348(C)Zeitsynchronisation in virtuellen IT-Systemen
M 4.349(A)Sicherer Betrieb von virtuellen Infrastrukturen

Notfallvorsorge

M 6.138(C)Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten

Stand: 12. EL Stand 2011