Bundesamt für Sicherheit in der Informationstechnik

M 2.477 Planung einer virtuellen Infrastruktur

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Aufgrund der hohen Komplexität ist eine detaillierte Planung beim Aufbau einer virtuellen Infrastruktur unerlässlich. Daher sollte schon bei einer konzeptionellen Betrachtung und im Vorfeld einer Projektierung eine genaue Analyse der notwendigen Rahmenbedingungen durchgeführt werden.

Festlegung der Virtualisierungstechnik

In einem ersten Planungsschritt ist daher unter Berücksichtigung der für eine Virtualisierung infrage kommenden IT-Systeme festzulegen, auf welcher Virtualisierungstechnik (Server- oder Betriebssystemvirtualisierung) die virtuelle Infrastruktur basieren soll. Hierbei sind im Wesentlichen folgende Kriterien heranzuziehen:

  • Die Servervirtualisierung, bei der ein vollständiger Server mit all seinen Hardwarekomponenten virtuell dargestellt wird, eignet sich besonders gut für den Betrieb von sehr unterschiedlichen virtuellen IT-Systemen mit stark variierenden Aufgaben. Bei Systemen auf der Basis einer Servervirtualisierung ist es möglich, unterschiedliche Betriebssysteme (Windows, Linux, Solaris) in den virtuellen IT-Systemen gleichzeitig auf einem Virtualisierungsserver zu betreiben, da jedes virtuelle System seinen eigenen Betriebssystemkern nutzen kann. Mit Hilfe der Servervirtualisierung kann eine sehr starke Kapselung der virtuellen IT-Systeme erreicht werden. Dies bedeutet, dass das virtuelle IT-System beispielsweise keine Betriebssystemkomponenten oder Softwarebibliotheken des Virtualisierungsservers oder anderer virtueller IT-Systeme nutzt. Weiterhin sind bei der Servervirtualisierung die virtuellen Systeme stärker voneinander isoliert als bei der Betriebssystemvirtualisierung, d. h. eine wechselseitige funktionale Beeinflussung ist weitgehend ausgeschlossen.
  • Mittels der Betriebssystemvirtualisierung können auf einfache Weise große Mengen gleichartiger Server auf einem Virtualisierungsserver betrieben werden. Mit der Betriebssystemvirtualisierung können daher hohe Verdichtungsgrade (Verhältnis von virtualisierten IT-Systemen zu Virtualisierungsservern) erreicht werden. Es ist allerdings mit der Betriebssystemvirtualisierung in der Regel nicht möglich, unterschiedliche Betriebssysteme auf einem Server als virtuelle Systeme zu betreiben, da die virtuellen IT-Systeme meist den Betriebssystemkern und die Softwarebibliotheken des Virtualisierungsservers nutzen. In Grenzen ist dies bei einigen Produkten innerhalb einer Betriebssystemfamilie möglich. Beispielsweise ermöglicht Parallels Virtuozzo die Nutzung unterschiedlicher Editionen des Betriebssystems Microsoft Windows Server 2003. Die virtuellen IT-Systeme sind untereinander nicht so stark isoliert wie bei der Servervirtualisierung. Beispielsweise werden Softwarebibliotheken gemeinsam genutzt und die virtuellen IT-Systeme nutzen den selben Betriebssystemkern. Die Kapselung der virtuellen IT-Systeme ist meist gar nicht vorhanden oder nur sehr schwach ausgeprägt, da sie Soft- und Hardwarekomponenten des Virtualisierungsservers mit nutzen.

Diese schwache Kapselung der virtuellen IT-Systeme bei der Betriebssystemvirtualisierung führt dazu, dass virtuelle IT-Systeme mit stark unterschiedlichen Anforderungen an den Schutzbedarf nicht ohne Weiteres gemeinsam auf einem Virtualisierungsserver betrieben werden können. Dies ist bei Virtualisierungslösungen auf Basis einer Servervirtualisierung in der Regel anders, da die Kapselung der virtuellen Systeme stärker ausgeprägt ist. Ob allerdings virtuelle IT-Systeme mit unterschiedlichem Schutzbedarfs auf einem Virtualisierungsserver zusammen betrieben werden können, hängt neben dem verwendeten Produkt auch von den individuellen Gefährdungen und Anforderungen der Organisation bzw. der virtuellen IT-Systeme ab. Daher ist bei der Planung zu bewerten, inwieweit die in Frage kommende Virtualisierungstechnik dafür geeignet ist, virtuelle IT-Systeme unterschiedlichen Schutzbedarfs auf einem Virtualisierungsserver gemeinsam zu betreiben.

Auswahl eines Virtualisierungsproduktes

Ist die Virtualisierungstechnik ausgewählt, müssen konkrete Virtualisierungsprodukte geprüft werden, ob sie für den konkreten Anwendungsfall geeignet sind. Die hierbei zu berücksichtigenden Anforderungen leiten sich dabei aus den innerhalb der virtuellen Umgebung benötigten Prozessorarten sowie deren Funktionen und der Verfügbarkeit von erforderlichen Geräteemulationen oder Schnittstellen ab.

In einer möglichst frühen Planungsphase muss geprüft und entschieden werden, mit welcher Technik virtuelle IT-Systeme mit dem Netz des Rechenzentrums verbunden werden sollen: Entweder durch eine direkte Zuordnung von physischen Netzkarten des Servers zu den virtuellen IT-Systemen oder die Verbindung der virtuellen Systeme über einen so genannten virtuellen Switch. Auf dieser Basis kann festgelegt werden, wie Regelungen und Richtlinien umgesetzt werden können, die auf der Basis der Maßnahmen M 2.141 Entwicklung eines Netzkonzeptes , M 5.61 Geeignete physische Segmentierung sowie M 5.62 Geeignete logische Segmentierung entwickelt worden sind. Hierdurch ergeben sich schon frühzeitig Vorgaben für den Aufbau der Virtualisierungsserver und der dazugehörigen Infrastruktur.

Sind die Anforderungen an die Zielumgebung geklärt, können eine passende Virtualisierungslösung und hierzu kompatible physische IT-Systeme ausgewählt werden.

Rechenzentrumsübergreifende Planung

Auf Virtualisierungsservern können eine Vielzahl von virtuellen IT-Systemen betrieben werden. Auf diesen virtuellen IT-Systemen, in der Regel Serversysteme mit unterschiedlichen Betriebssystemen, können weiterhin eine große Anzahl von verschiedenen Applikationen ausgeführt werden. Diese Applikationen wiederum benötigen in der Regel grundlegende Dienste wie DNS, Verzeichnisdienste zur Authentisierung oder Datenbanken. Daher müssen die Virtualisierungsserver auf alle Ressourcen zugreifen können, die für den Betrieb der Virtualisierungsserver selbst sowie der virtuellen IT-Systeme nötig sind. Die folgenden Anforderungen müssen bei der Planung eines Virtualisierungsprojektes beachtet werden. Die Virtualisierungsserver benötigen

  • physische Verbindungen in alle Netze, in denen virtuelle IT-Systeme betrieben werden sollen.
  • Verbindungen in Speichernetze zum Zugriff auf Massenspeicherkomponenten.
  • Zugriff auf Infrastruktursysteme wie DNS -, DHCP - und Verzeichnisdienstserver.

Daher sollten alle Administratorengruppen, die mit der Bereitstellung dieser Dienste beauftragt sind, bei der Einführung der Virtualisierung angemessen beteiligt werden, damit diese ihre Kenntnisse einbringen und ihrerseits Anforderungen an das Virtualisierungsprojekt formulieren können.

Planung der Rollen und Verantwortlichkeiten

Da die Virtualisierungsserver häufig den Zugriff der virtuellen IT-Systeme und der darauf betriebenen Applikationen auf grundlegende Dienste des Rechenzentrums, sowie Netze und Speichernetze bereitstellen, sind sie aus der Sicht der virtuellen IT-Systeme selbst Bestandteil der Rechenzentrumsinfrastruktur. Daher wird empfohlen, für den Zugriff auf Netze und Speichernetze existierende Regelungen und Richtlinien an die Erfordernisse der virtuellen Infrastruktur anzupassen. Werden zum Beispiel gemäß M 5.130 Absicherung des SANs durch Segmentierung Vorgaben zur Segmentierung des Speichernetzes und zur Zugriffsregelung auf Speicherressourcen gemacht, muss sichergestellt sein, dass diese auch innerhalb der virtuellen Infrastruktur umgesetzt werden können. Der Zugriff auf Speicherressourcen muss für die Virtualisierungsserver möglicherweise weiter gefasst werden, da diese auf die Speicherressourcen vieler virtueller IT-Systeme zugreifen können müssen, damit sie wiederum selbst den virtuellen IT-Systemen Ressourcen zur Verfügung stellen können. Trotzdem sind die Anforderungen der angegebenen Maßnahme im Rahmen des Bausteins B 3.303 Speicherlösungen / Cloud Storage umzusetzen. Die Umsetzung muss hier jedoch mit den Mitteln der verwendeten Virtualisierungslösung möglich sein. Dies zeigt, dass durch die Administratoren der Virtualisierungsserver möglicherweise Aufgaben wahrgenommen werden müssen, die vorher durch die Administratoren des Speichernetzes bzw. der Speicherkomponenten darin ausgeführt wurden.

Gleiches gilt für die Aufgaben der Netzadministration. Die Verbindung von virtuellen IT-Systemen zu den unterschiedlichen Netzen des Informationsverbunds wird auf einem Virtualisierungsserver durch dessen Administratoren festgelegt, da sie die virtuellen IT-Systeme den physischen Netzverbindungen des Virtualisierungsservers zuordnen. Dies ist traditionell eine Aufgabe der Netzadministratoren. Sollen auf einem Virtualisierungsserver virtuelle IT-Systeme in unterschiedlichen Netzen betrieben werden, muss die Verantwortung für die richtige Netzzuordnung und die Überwachung dieser Zuordnung durch die Administratoren der Virtualisierungsserver übernommen werden. Zusätzlich muss berücksichtigt werden, dass das mit der Segmentierung des Netzes verfolgte Ziel, die Sicherheit durch Aufteilung der IT-Systeme auf verschiedene Bereiche des Rechenzentrums zu steigern, durch eine fehlende Kapselung und Isolation der virtuellen IT-Systeme auf dem Virtualisierungsserver nicht unterlaufen werden kann.

Es muss daher bei der Planung einer virtuellen Infrastruktur entschieden werden, wie die Aufgaben der Netz- und Speichernetzadministratoren, falls bei der gewählten Virtualisierungslösung notwendig, von den Administratoren der Virtualisierungsserver wahrgenommen werden sollen. Weiterhin ist zu prüfen, ob die Aufgaben der Verwaltung von Netz- und Speichernetzverbindungen durch die Administratoren der Virtualisierungsserver an die Netz- und Speichernetzadministratoren delegiert werden können. Die Betriebsverantwortung für die Umsetzung von bestehenden Regelungen und Richtlinien muss eindeutig und klar festgelegt werden.

Anpassung der Infrastruktur an die Virtualisierung

In klassischen Informationsverbünden sind IT-Systeme wie Server meist mit nur einem, seltener mit mehreren Netzen verbunden. Ein Virtualisierungsserver muss jedoch mit mehreren Netzen verbunden sein, wenn auf diesem Server virtuelle IT-Systeme in unterschiedlichen Netzen betrieben werden sollen. Daher wird empfohlen, die Umsetzung der folgenden Maßnahmen aus dem Baustein B 4.1 Lokale Netze und B 3.302 Router und Switches

an die Besonderheiten und Erfordernisse der Virtualisierungsserver anzupassen. Es muss darauf geachtet werden, dass die Virtualisierungsserver in einer virtuellen Infrastruktur alle Verbindungsanforderungen der virtuellen IT-Systeme erfüllen können.

Werden beispielsweise MAC-Filter auf Switch-Ports (siehe auch M 4.206 Sicherung von Switch-Ports ) eingesetzt, muss die Konfiguration dieser Filter an die Erfordernisse der virtuellen Infrastruktur angepasst werden. Wenn das nicht der Fall ist, können virtuelle IT-Systeme, die bei einigen Virtualisierungslösungen eine eigene MAC-Adresse besitzen, nicht von einem Virtualisierungsserver auf einen anderen verschoben werden. Da diese Funktion möglicherweise für die Verteilung von virtuellen IT-Systemen auf Virtualisierungsserver benötigt wird, um auf Performance-Engpässe zu reagieren, ist ohne geeignete Anpassungen der Filterregeln die Verfügbarkeit von virtuellen IT-Systemen gefährdet.

Auch bei der Umsetzung der folgenden Maßnahmen aus dem Baustein B 3.303 Speichersysteme und Speichernetze müssen gegebenenfalls Anforderungen, die sich aus der Nutzung von Virtualisierungstechniken ergeben, berücksichtigt werden:

Einsatzplanung für Virtualisierungsserver

Bei der Einsatzplanung müssen neben der Umsetzung der Maßnahme M 2.315 Planung des Servereinsatzes einige Besonderheiten beachtet werden. Diese Besonderheiten ergeben sich daraus, dass auf einem Virtualisierungsserver in der Regel mehrere virtuelle IT-Systeme betrieben werden sollen. Es muss daher ermittelt werden, wie viel Prozessorleistung, Hauptspeicher und Festplattenplatz für den Betrieb der virtuellen IT-Systeme benötigt wird. Weiterhin muss festgelegt werden, welche Netzverbindungen für die Virtualisierungsserver und die virtuellen IT-Systeme benötigt werden (siehe auch M 5.135 Sicherer Medientransport mit SRTP ).

Für die Auswahl geeigneter Virtualisierungsserver sind die Gesamtanforderungen bezüglich Performance und Ressourcenverbrauch für die geplanten virtuellen IT-Systeme zu ermitteln. Hierdurch erst kann die Anzahl und die benötigte Leistungsfähigkeit der Virtualisierungsserver festgelegt werden.

Bei einer Migration bereits produktiv betriebener physischer IT-Systeme in virtuelle Umgebungen sollte zudem der tatsächliche Ressourcenbedarf nicht einfach durch Addition der Ressourcen der zu virtualisierenden IT-Systeme ermittelt werden. Stattdessen empfiehlt es sich, die Performance der zu virtualisierenden Systeme zu messen und die Anforderungen an die Virtualisierungsserver auf Basis der erforderlichen Performancewerte der gemessenen physischen Server festzulegen.

Neben ausreichenden Ressourcen für die individuellen virtuellen Maschinen müssen darüber hinaus weitere Kapazitäten in der virtuellen Infrastruktur vorgehalten werden, die durch die Virtualisierungssoftware selbst benötigt werden. So entsteht ein zusätzlicher Bedarf an Massenspeicherkapazität etwa für die Speicherung von Snapshots, Ereignisprotokollen und Auslagerungsdateien des Virtualisierungsservers. Weiterhin benötigt der Hypervisor eines Virtualisierungsservers ebenfalls Prozessorkapazität und Hauptspeicherplatz.

In Test- und Entwicklungsumgebungen kann von den obigen Vorgaben abgewichen werden. Es ist bei der Planung solcher Umgebungen darauf zu achten, dass sich keine unerwünschten Wechselwirkungen mit Produktivsystemen ergeben. Daher sind Test- und Entwicklungsumgebungen hinreichend von Produktivumgebungen abzuschotten.

Verfügbarkeit der virtuellen Infrastruktur

Es wird empfohlen, in der Planungsphase schon zu berücksichtigen, dass für die Virtualisierungsserver möglicherweise höhere Anforderungen an die Verfügbarkeit bestehen, da auf Virtualisierungsservern eine große Zahl an IT-Systemen betrieben wird. Fällt ein Virtualisierungsserver aus, sind auch alle darauf laufenden virtuellen IT-Systeme nicht mehr lauffähig. Dadurch übertragen sich alle Verfügbarkeitsanforderungen der einzelnen virtualisierten IT-Systeme auf den Virtualisierungsserver (Kumulationsprinzip). Es ist ratsam, zu prüfen, ob für Virtualisierungsserver eine hochverfügbare oder fehlertolerante Architektur gewählt werden sollte, oder ob in einer aus mehreren Virtualisierungsservern aufgebauten virtuellen Infrastruktur Mechanismen existieren, die den Ausfall eines oder mehrerer Virtualisierungsserver kompensieren.

Prüffragen:

  • Steht die Vorgehensweise zur Nutzung von Virtualisierungsservern und virtuellen IT -Systemen in Einklang mit den Regelungen und Richtlinien für den Betrieb von IT -Systemen, Applikationen, Netzen und Speichernetzen?

  • Sind die Aufgaben der einzelnen Administratorengruppen (Anwendungs-, Server-, Netz- und Speichernetzadministratoren) klar voneinander abgegrenzt?

  • Ist die Betriebsverantwortung für die einzelnen Komponenten einer virtuellen Infrastruktur (Virtualisierungsserver, virtuelle IT -Systeme, Speichernetz, Netz) klar geregelt und können die jeweiligen Verantwortlichen ihre Aufgabe auch technisch wahrnehmen?

  • Enthält die virtuelle Infrastruktur ausreichend Redundanzen, um den Verfügbarkeitsanforderungen Rechnung zu tragen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK