Bundesamt für Sicherheit in der Informationstechnik

M 2.449 Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zahlreiche gängige Lösungen zur Virtualisierung von IT-Systemen bieten die Möglichkeit, sich entweder lokal am Virtualisierungsserver oder über ein Netz von einer entfernten Arbeitsstation aus mit Hilfe einer Clientsoftware an der Virtualisierungssoftware anzumelden ( z. B. Citrix XenCenter oder VMware Console). Diese Clientsoftware dient dazu, die Virtualisierungssoftware auf dem Virtualisierungsserver einzurichten, sowie sie zu warten und zu überwachen. Bei Produkten zur Servervirtualisierung muss sie aber auch genutzt werden, um auf die Konsolen der virtuellen Maschinen zu zugreifen. Dies ist bei diesen Produkten in der Regel auf Grund der Architektur der virtuellen IT-Systeme auch nicht anders realisierbar, da ein virtuelles IT-System keine physische Konsole besitzt. Auf diese Weise kann z. B. der Betriebszustand einer virtuellen Maschine auch während des Bootprozesses überwacht werden.

Virtuelle IT-Systeme bestehen bei einer Servervirtualisierung ausschließlich aus virtuellen Hardwarekomponenten. Diese Geräte, wie Netzwerkkarten, Massenspeichergeräte und Grafikkarten, müssen durch die Virtualisierungssoftware nachgebildet (emuliert) werden. Bei der Emulation von Netzwerkkarten und Massenspeichergeräten können die Befehle der virtuellen IT-Systeme in der Regel einfach an die jeweiligen physischen Geräte übermittelt werden. Sie müssen daher nicht vollständig emuliert werden. Grafikkarten müssen jedoch in der Regel vollständig durch die Virtualisierungssoftware emuliert werden. Daher wird dem virtuellen IT-System aus Performancegründen die ständige Existenz der Grafikkarte nur vorgespiegelt. Erst beim Zugriff auf die Konsolenschnittstelle eines virtuellen IT-Systems wird die tatsächliche Emulation in Software gestartet. Dies bindet in der Regel erhebliche Prozessor- und Speicherressourcen auf dem Virtualisierungsserver.

Da Konsolenzugriffe auf die virtuellen IT-Systeme starken Einfluss auf die Leistungsfähigkeit der Verwaltungssoftware eines Virtualisierungsservers haben, sind sie auf ein Mindestmaß zu beschränken.

Virtuelle IT-Systeme sollten somit möglichst nicht über direkte Konsolenzugriffe, sondern bevorzugt über das Netz, z. B. via RDP oder X-Window mittels SSH -Tunneling, gesteuert werden.

Prüffragen:

  • Sind die Konsolenzugriffe auf die virtuellen IT -Systeme auf ein Mindestmaß beschränkt, damit sie keinen Einfluss auf die Leistungsfähigkeit des Virtualisierungsservers haben?

  • Werden die virtuellen IT -Systeme über das Netz, z. B. via RDP oder X-Window mittels SSH -Tunneling gesteuert?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK