Bundesamt für Sicherheit in der Informationstechnik

M 2.490 Planung des Einsatzes von Virtualisierung mit Hyper-V

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Leiter IT

Microsoft stellt mit Hyper-V eine eigene hypervisorbasierte Virtualisierungslösung zur Verfügung. Beim Einsatz von Hyper-V muss grundsätzlich B 3.304 Virtualisierung auf den Server angewendet werden. Je nach Ausgestaltung der virtuellen Infrastruktur können dabei recht umfangreiche Abhängigkeiten in der Modellierung entstehen. Neben den virtualisierten Servern (den Gästen) werden auch eine virtuelle Netzinfrastruktur sowie möglicherweise virtuelle aktive Netzkomponenten aufgebaut.

Zusätzlich zu den im Baustein Virtualisierung behandelten Rahmenbedingungen müssen bei der Planung einer Hyper-V-basierten Virtualisierung systemspezifische Entscheidungen getroffen werden.

Hyper-V wird als Rolle unter Windows Server 2008 installiert. Nach der Installation läuft das Betriebssystem selbst unter dem Hypervisor als virtuelle Maschine. Es "degradiert" sich dabei zu einer reinen Management-Konsole und agiert als Ressourcenverwaltung für die anderen virtuellen Maschinen.

Besondere Beachtung bei der Planung für Hyper-V sollte der Schutzbedarf der Gastsysteme finden. Der Schutzbedarf für das Host-System und die Management-Instanz von Windows Server 2008 bestimmen sich nach dem Maximum- und Kumulationsprinzip aus dem Schutzbedarf der Gäste. Nach einer Erweiterung um weitere Gast-Systeme kann es erforderlich sein, den Schutzbedarf eines Host-Systems nachträglich anzupassen. Sind zukünftige Erweiterungen in der Planungsphase bereits absehbar, sollten diese daher entsprechend berücksichtigt werden.

Bestimmte Merkmale lassen sich nachträglich nicht oder nur mit großem Aufwand ändern und müssen bereits bei der Planung berücksichtigt werden. Dazu zählt insbesondere die Installation als Server Core (siehe M 4.416 Einsatz von Windows Server Core ), die sich bei erhöhtem Schutzbedarf zur Reduzierung der Angriffsfläche anbietet.

Auf die Installation als Server Core sollte nur dann verzichtet werden, wenn absehbar keine erhöhten Schutzanforderungen an die Gastsysteme gestellt werden. Der Nachteile der fehlenden Bedienoberfläche werden durch die Vorteile wie geringerer Ressourcenverbrauch, weniger Bedarf für Patches, geringere Angriffsfläche und die Remoteverwaltungstools für Hyper-V oft aufgewogen.

Als Alternative zur Installation als Server Core ist auch die Installation des Hyper-V Server 2008 R2 möglich. Diese Option ist eine eingeschränkte Version von Server Core, die nur die Hyper-V-Rolle unterstützt und ein verändertes Lizenzmodell ohne eingebaute Gastlizenzen aufweist

Da ein Hyper-V-Server eine ganze Infrastruktur inklusive Netz abbilden kann, sollten für die Administration differenzierte Rollen definiert werden, damit einzelne Administratoren nicht übermäßig viele Rechte erhalten. M 5.153 Planung des Netzes für virtuelle Infrastrukturen beschreibt beispielsweise die Trennung von Netzsegmenten auf virtualisierten Systemen. Ein Administrator eines Gastsystems, der die Verbindung der virtuellen Netzwerkkarten ändern kann, ist in der Lage, Mechanismen zur Netztrennung außer Kraft zu setzen (siehe G 3.99 Fehlerhafte Netzanbindungen eines Virtualisierungsservers ). Dies kann durch eine geeignete Planung der Administrationsrollen vermieden werden, bei der Hyper-V-Rollen die existierenden Berechtigungen auf die physischen Ressourcen (SAN, Netz-Anbindungen) widerspiegeln.

Für die Umsetzung der Administrationsrollen unter Hyper-V bietet Microsoft den ab Windows Server 2003 eingeführten Autorisierungs-Manager ("Authorization Manager" bzw. "azman.msc") an. Mit diesem Werkzeug können Rollen über die Kombination von Vorgängen ( z. B. Zuordnung externer Ethernet-Ports) und Bereichen (z. B. Gruppen von Gastsystemen) definiert werden. Die Rollen sollten bereits in der Planungsphase festgelegt werden.

Für die virtuelle Infrastruktur muss ein integriertes Backup-Konzept erarbeitet werden, das die systemspezifischen Aspekte von Hyper-V berücksichtigt. Hyper-V stellt mit dem Hyper-V VSS Writer ("Volume Shadow Copy Service") einen eigenen Backup-Mechanismus zur Verfügung, der auch Metadaten der Gastsysteme sichert. Die Nutzung setzt aber eine Kompatibilität mit der verwendeten Backup-Software voraus.

Prüffragen:

  • Ist der zukünftig zu erwartende Schutzbedarf in die Planung für die Virtualisierungsumgebung Hyper-V mit einbezogen worden?

  • Sind die Berechtigungsstrukturen der physischen Ressourcen (SAN, Netz-Anbindungen) in den Rollen für die Virtualisierungsumgebung Hyper-V abgebildet?

  • Ist ein integriertes Backup-Konzept für Server und Gastsysteme der Virtualisierungsumgebung Hyper-V vorhanden?

Stand: 13. EL Stand 2013