Bundesamt für Sicherheit in der Informationstechnik

G 3.100 Unsachgemäße Verwendung von Snapshots virtueller IT-Systeme

Durch Snapshots kann der Zustand einer virtuellen Maschine zu einem beliebigen Zeitpunkt eingefroren werden. Es ist hierbei nicht von Belang, ob das System in dem Moment der Erzeugung des Snapshots läuft oder nicht. Auf diesem Weg ist es möglich, ohne aufwendigen Prozess zu dem im Snapshot konservierten Zustand des virtuellen IT-Systems zu gelangen. Der Snapshot kann auch auf einen anderen Virtualisierungsserver übertragen werden oder als Datensicherung dienen.

Wird die virtuelle Maschine nach der Erzeugung eines Snapshots weiter betrieben und der konservierte Zustand später geladen, gehen alle seitdem am Gastsystem erfolgten Änderungen verloren. Dies kann bei einer unbedachten Vorgehensweise zu Datenverlusten führen und ist bei Produktivsystemen meist unerwünscht. Auch Änderungen am Betriebssystem, Diensten und Anwendungen des virtuellen IT-Systems können so zurückgesetzt werden. Unzureichende Dateiberechtigungen, Sicherheitslücken und Schwachstellen oder auch gelöschte Benutzerkonten werden auf diese Weise erneut aktiv.

Bei virtuellen Servern, die über offene Dateien oder Datenbanksitzungen verfügen, können inkonsistente Daten entstehen. Dies ist beispielsweise der Fall, wenn Informationen durch einen Client auf den virtualisierten Server geschrieben werden, während der Snapshot erstellt wird. Der zu speichernde Dateiinhalt ist dann nicht vollständig im Snapshot enthalten. Wird der eingefrorene Zustand der virtuellen Maschine nun erneut eingesetzt, befinden sich dort mit hoher Wahrscheinlichkeit defekte Dateien oder in ihrer Integrität gestörte Datenbanken.

Verteilte Systeme wie Datenbank-Cluster oder auch Active Directory Domaincontroller nutzen in der Regel einen Replikationsmechanismus um sicher zustellen, dass ihre Daten synchronisiert werden. Hierbei können erhebliche Probleme auftreten, wenn diese auf einen Snapshot zurückgesetzt werden. Es kann in einem solchen Fall zu Inkonsistenzen in den Datenbanken kommen, die durch den Replikationsmechanismus nicht aufgelöst werden können.

Ist nicht genügend Speicherplatz für umfangreiche oder mehrere Snapshots vorhanden, kann es passieren, dass es zu Speicherplatzengpässen kommt und keine weiteren Informationen abgespeichert werden können.

Beispiel:

Ein großes Fotolabor entwickelt Filme für seine Kunden. Dazu sendet der Kunde seinen Film in einer Versandtasche ein und gibt auf dieser Tasche die Rücksendeadresse an. Alle Versandtaschen sind mit einer eindeutigen Nummer versehen. Im Labor wird den Filmen zusätzlich eine interne Bearbeitungsnummer zugeordnet. Diese interne Bearbeitungsnummer dient dazu, die Filme zu anonymisieren. Für das automatische Versandverfahren wird die Bearbeitungsnummer mit der maschinenlesbaren Versandtaschennummer in einer Datenbank abgelegt. Sind die Bilder fertig entwickelt, werden sie mittels der Bearbeitungsnummern automatisch wieder den Versandtaschen zugeordnet. Die Versandtasche wird dann dem Kunden per Post zugeschickt.

Die Geschäftsleitung des Fotolabors hat sich nun entschieden, neben anderen IT-Systemen auch das Datenbanksystem, das für die Zuordbarkeit von Bearbeitungs- und Versandtaschennummer sorgt, zu virtualisieren.

Während die Produktion im Labor läuft, stellt der zuständige Administrator fest, dass es auf dem virtuellen Datenbankserver zu einem Problem gekommen ist. Um dieses schnell zu beheben, setzt er den Server auf einen Snapshot zurück. Er weiß, dass der Server zum dem Zeitpunkt, bei dem der Snapshot erstellt wurde, einwandfrei funktionierte. Nun stimmt aber die Zuordnung von Bearbeitungs- und Versandtaschennummern nicht mehr, da auch die Tabelle mit der Zuordnung der Bearbeitungsnummern zu den Versandtaschennummern auf den Snapshot zurückgesetzt worden ist. Der Fehler bleibt beim Versand unbemerkt. In der Folge werden einigen Kunden die falschen Filme zugestellt. Sehr viele Filme können auch gar nicht mehr den Kunden zugeordnet werden und es kommt zu einem Ansehensverlust des Fotolabors, der zu starken Umsatzeinbußen führt.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK