Bundesamt für Sicherheit in der Informationstechnik

G 2.148 Fehlerhafte Planung der Virtualisierung

Die Einführung von Virtualisierungservern in ein Rechenzentrum bedeutet, dass eine neue Klasse von IT-Systemen in Betrieb genommen werden muss. Ein Virtualisierungsserver ist meist nicht nur ein Server, der den Betrieb virtueller IT-Systeme ermöglicht. Vielmehr integriert er die virtuellen IT-Systeme in das Rechenzentrum und steuert dabei deren Anbindung an weitere Infrastrukturelemente wie z. B. Netze und Speichernetze. Aus Sicht der virtuellen IT-Systeme stellt der Virtualisierungsserver also einen Bestandteil der Rechenzentrumsinfrastruktur dar.

In einer klassischen IT-Infrastruktur werden die (physischen) IT-Systeme häufig in einem arbeitsteiligen Prozess verwaltet. Die einzelnen Strukturelemente der IT-Infrastruktur werden von Administratoren betrieben, die sich auf die von ihnen betreuten IT-Systeme spezialisiert und konzentriert haben. In einer virtualisierten IT-Infrastruktur hingegen sind einzelne Strukturelemente der vorher getrennten Infrastruktur in einem Virtualisierungsserver zusammengefasst. Hierdurch verlagert sich möglicherweise ein Teil der Betriebsverantwortung für diese Rechenzentrumsressourcen von den spezialisierten Administratoren auf die Administratoren der Virtualisierungsserver.

Es verändert sich durch die Einführung der Virtualisierung auch die Sichtweise auf einen Informationsverbund insgesamt. Werden Infrastrukturkomponenten sowie eine Vielzahl von (virtuellen) Servern und (virtuellen) Arbeitsstationen innerhalb eines Virtualisierungsservers abgebildet, können die Unterschiede zwischen einem physischen und einem logischen Informationsverbund nicht wahrgenommen werden. Damit ist die logische Struktur nicht mehr klar erkennbar.

Fehlende oder mangelhafte Planung der Rollen und Verantwortlichkeiten

Virtualisierungsserver beinhalten meist auch einen großen Teil der für den Betrieb eines virtuellen IT-Systems notwendigen Infrastrukturkomponenten in virtueller Form. Diese Infrastrukturkomponenten, wie beispielsweise Switches oder Network-Attached-Storage-Systeme, werden sonst durch dedizierte Komponenten bereitgehalten. Dies bedeutet, dass Netzverbindungen eines virtualisierten IT-Systems nicht wie sonst üblich durch einen Switch, sondern in der Regel durch den Virtualisierungsserver bereitgestellt, verwaltet und überwacht werden. Ähnliches gilt für Speicherplatz in Speichernetzen und andere Ressourcen.

Wird beim Einsatz der Virtualisierungsserver nicht geplant, auf welche Weise die Server technisch und organisatorisch in das Rechenzentrum zu integrieren sind, besteht die Gefahr, dass

  • die Verantwortlichkeiten für unterschiedliche Bereiche wie z. B. Anwendungen, Betriebssysteme und Netzkomponenten nicht klar definiert sind,
  • sich die Zuständigkeiten für unterschiedliche Bereiche überschneiden oder
  • eine passende Rechtestruktur, um administrative Zugriffsmöglichkeiten für die unterschiedlichen Bereiche zu trennen, nicht vorhanden ist.

Für Infrastrukturelemente, wie z. B. Switches oder Speichernetze, sind im klassischen Rechenzentrumsbetrieb häufig verschiedene Personen mit voneinander getrennten Rollen verantwortlich. Durch eine nicht ausreichend konzeptionierte Virtualisierung können jedoch diese Rollenkonzepte zur Administration unterlaufen werden. So haben die Administratoren der virtuellen Infrastruktur weitreichenden Zugriff auf die Gastsysteme, auf deren Kommunikationsverbindungen und die durch sie verarbeiteten und bereitgestellten Informationen. Werden hier unklare oder womöglich keine Regelungen zur Verteilung und Delegation der Aufgaben zwischen den Administratoren getroffen oder wichtige Aspekte in der Planung übersehen und nicht berücksichtigt, können verantwortlichen Personen notwendige Informationen fehlen. In der Folge können durch Fehler, wie z. B.

  • unzureichende Bestimmung der Ressourcenanforderungen für die Virtualisierungsinfrastruktur,
  • nicht ausreichende Analyse der Performanceanforderungen der zu virtualisierenden Systeme,
  • ungenügende Planung und Beschaffung von Infrastrukturkomponenten für Netze und Speichernetze,
  • unzureichende Abstimmung der Infrastrukturkomponenten auf die virtuelle Infrastruktur und
  • fehlende Integration der Virtualisierungsserver sowie ihrer virtuellen Infrastrukturkomponenten und der virtuellen IT-Systeme in vorhandene Monitoringsysteme weitreichende, negative Folgen für den gesamten Informationsverbund entstehen.

Fehlende Einsatzplanung für Virtualisierungsserver

Wird für den Einsatz der Virtualisierungsserver nicht sichergestellt, dass die virtuellen IT-Systeme auf einheitlich konfigurierten Virtualisierungsservern betrieben werden und damit eine einheitliche Infrastruktur vorfinden, können beim Betrieb der virtuellen IT-Systeme Probleme auftreten. Als Beispiel sei hier die Virtualisierungsechnik Live Migration genannt. Sie erlaubt es, ein virtuelles IT-System von einem Virtualisierungsserver auf einen anderen zu verschieben:

  • Wird ein virtuelles IT-System in der Virtualisierungsinfrastruktur verschoben, kann es möglicherweise auf eine Ressource zugreifen, auf die ein Zugriff aus Gründen der Vertraulichkeit und Integrität nicht möglich sein sollte.
  • Zum Anderen könnte bedingt durch eine fehlerhaft geplante Virtualisierungsinfrastruktur der Zugriff eines virtuellen IT-Systems auf eine benötigte Ressource wie z. B. Namensauflösung ( DNS ) nach einer Live Migration nicht mehr möglich sein. Dies kann unmittelbare Folgen für die Verfügbarkeit eines virtuellen IT-Systems haben.

Werden die Hardwareaustattung der Virtualisierungsserver nicht detailliert geplant und keine Vorgaben für die Beschaffung der notwendigen Hardwarekomponenten gemacht, könnten für das gewählte Virtualisierungsprodukt inkompatible Komponenten beschafft werden. Dies kann Nachteile für die Herstellerunterstützung für das gewählte Produkt haben. Weiterhin ist es möglich, dass z. B. bestimmte Prozessoreigenschaften, wie Intel VT und AMD-V fehlen, die für den Betrieb der Virtualisierungslösung zwingend notwendig sind.

Sind die Hardwarekomponenten, die für eine Farm von Virtualisierungsservern beschafft werden, nicht einheitlich ausgestattet, können die Verfügbarkeit und Integrität der virtuellen IT-Systeme gefährdet sein. Beispielsweise kann eine unterschiedliche Prozessorausstattung der Virtualisierungsserver zu Stabilitätsproblemen der virtuellen IT-Systeme führen. Stehen bestimmte Prozessoreigenschaften auf einem Virtualisierungsserver nicht zur Verfügung, wenn ein virtuelles IT-System mittels Live Migration dorthin verschoben wird, kann das virtuelle IT-System abstürzen.

Fehlerhafte Netzintegration

Im Rechenzentrumsbetrieb haben sich bestimmte Verfahren zur Integration von Servern und ähnlichen Systemen in die Netzinfrastruktur herausgebildet. Diese Verfahren, wie beispielsweise MAC -Filter, dienen dazu, die Verfügbarkeit sowie Integrität und Vertraulichkeit der Netzverbindungen zu schützen. Werden diese Verfahrensweisen nicht beachtet und geeignet angepasst, ist es möglich, dass Maßnahmen, die für physische Systeme geeignet sind, für den Betrieb virtueller Systeme negative Folgen haben. Werden MAC-Filter auf den Switchports der Virtualisierungsserver ungeeignet eingerichtet, können einige Virtualisierungsfunktionen wie die Live Migration, also das Verschieben laufender virtueller IT-Systeme zwischen Virtualisierungsservern, nicht funktionieren. In einem solchen Fall verliert die verschobene virtuelle Maschine ihre Netzverbindung, da ihre (virtuelle) MAC-Adresse auf dem Switch-Port des neuen Virtualisierungsservers abgewiesen wird.

Fehlerhafte Integration in Speichernetze

Die Besonderheiten der Virtualisierungsserver beim Zugriff auf Speichernetze müssen schon bei der Planung geeignet berücksichtigt werden. Virtualisierungsserver benötigen Zugriff auf alle iSCSI- und Fibre Channel-Ressourcen eines Speichernetzes, die für den Betrieb der virtuellen IT-Systeme notwendig sind. Virtuelle IT-Systeme greifen in der Regel nicht mit eigenen iSCSI- oder Fibre Channel-Schnittstellen auf solche Ressourcen zu, sondern nutzen dazu die entsprechenden Schnittstellen der Virtualisierungsserver. Daher benötigen die Virtualisierungsserver auch den Zugriff auf Ressourcen, die eigentlich nur durch die virtuellen IT-Systeme genutzt werden sollen, da die Virtualisierungsserver diese Ressourcen den virtuellen Systemen sonst nicht zur Verfügung stellen können. Werden also im Vorfeld der Inbetriebnahme unklare Regelungen getroffen oder bleiben funktionale sowie zeitliche Anforderungen bei der Planung unbeantwortet, sind Störungen der Verfügbarkeit, Vertraulichkeit und Integrität im weiteren Lebenszyklus der Virtualisierungsumgebung möglich.

Wenn Virtualisierungsserver im Rechenzentrum eingesetzt werden sollen, besteht die Gefahr, dass durch eine nicht an die Virtualisierung angepasste Segmentierung des Speichernetzes ( SAN ) Gefährdungen entstehen. Es kann beispielsweise dazu kommen, dass virtuelle IT-Systeme den Zugriff auf von ihnen benötigte Ressourcen verlieren, wenn sie zwischen Virtualisierungsservern verschoben werden. Die Verfügbarkeit der von ihnen bereitgestellten Dienste ist damit gefährdet. Andererseits kann eine ungeeignete Planung der Speichernetzintegration dazu führen, dass zu weitreichende Zugriffsmöglichkeiten auf die Speichernetze eingeräumt werden. Dies kann die Vertraulichkeit von in diesen Speichernetzen abgelegten Informationen gefährden.

Fehlende Einsatzplanung für virtuelle IT-Systeme

Planungsfehler können auch in anderen Bereichen entstehen, in denen bestehende Verfahrensweisen nicht überprüft werden, wenn Virtualisierung eingesetzt werden soll. Werden in den Bereichen Serverbeschaffung und -bereitstellung sowie Betriebssysteminstallation die im Rechenzentrum üblichen Verfahrensweisen nicht angepasst, kann es zu einem oder mehreren der folgenden Probleme kommen:

  • Die fehlende Eignung einzelner Betriebssysteme, Dienste oder Anwendungen für die gewählte Virtualisierungsumgebung ist nie ganz auszuschließen. Weiterhin können Anpassungen der Virtualisierungsserver an die auf ihnen betriebenen virtuelle IT-Systeme bzw. deren Betriebssysteme und Anwendungen notwendig sein. Dies kann bei einer unzureichenden Überprüfung durch qualifiziertes Fachpersonal sowie einer unangemessenen Synchronisation der Projektbeteiligten untereinander möglicherweise unentdeckt bleiben. In der Folge können beim weiteren Betrieb der Virtualisierungsserver bzw. der virtuellen IT-Systeme Performanceprobleme oder Verarbeitungsfehler auf Grund von Inkompatibilitäten der eingesetzten Applikationen mit der eingesetzten Virtualisierungslösung auftreten. Hierdurch ist sind besonders die Integrität und Verfügbarkeit von Informationen gefährdet, die auf den virtuellen IT-Systemen verarbeitet werden.
  • Wird nicht geprüft, ob für die Applikationen, die auf virtuellen IT-Systemen betrieben werden sollen, bestimmte Hardwarekomponenten (wie z. B. Softwareschutzmodule (Dongles) oder ISDN -Karten), benötigt werden, die mit der gewählten Virtualisierungslösung genutzt werden können, kann es zu erheblichen Verzögerungen bei der Installation dieser IT-Systeme kommen. Möglicherweise kann ein solches System gar nicht virtualisiert werden, oder es muss erst eine mit der Virtualisierungslösung kompatible Komponente beschafft werden.
  • Werden virtuelle IT-Systeme (virtuelle Server, Arbeitsstationen und Switches) nicht vollständig inventarisiert, fehlt der Überblick über die im Rechenzentrum überhaupt betriebenen IT-Systeme. Dies kann dazu führen, dass
    • beispielsweise zu wenige Betriebssystem- oder Anwendungslizenzen vorhanden sind, und die Institution somit unterlizenziert ist,
    • IT-Systeme betrieben werden, für die keine Betriebsdokumentation besteht oder die nicht durch die Sicherheitskonzepte der Organisation erfasst werden,
    • IT-Systeme betrieben werden, deren Einsatzzweck unbekannt ist (siehe hierzu auch G 5.66 Unberechtigter Anschluss von IT-Systemen an ein Netz ),
    • IT-Systeme ohne die notwendige Planungs- und Betriebsvorbereitungen in Betrieb genommen werden,
    • IT-Systeme nicht nach den allgemeinen Regeln der Institution ausgesondert und aus den Inventarlisten gestrichen werden.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK