Bundesamt für Sicherheit in der Informationstechnik

M 4.346 Sichere Konfiguration virtueller IT-Systeme

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtuelle IT-Systeme (gelegentlich auch als virtuelle Maschinen bezeichnet) sind in erster Linie IT-Systeme. Sie sind daher wie in M 2.392 Modellierung von Virtualisierungsservern und virtuellen IT-Systemen beschrieben genauso zu behandeln und zu modellieren wie physische IT-Systeme.

Allerdings gelten für virtuelle IT-Systeme einige Besonderheiten, die beachtet werden müssen.

Virtuellen IT-Systemen muss oft der Zugang zu Geräten, die an den Virtualisierungsserver angeschlossen sind, wie beispielsweise CD - oder DVD -Laufwerke, USB -Dongles, Bandlaufwerke ( SCSI I) und andere Peripheriegeräte, ermöglicht werden. Dabei können Geräte, die der Virtualisierungsserver den virtuellen IT-Systemen zur Verfügung stellt, häufig über Gastwerkzeuge aus der virtuellen Maschine heraus gesteuert werden. So kann beispielsweise die Netzwerkkarte deaktiviert oder es können Datenträger über das physische in das virtuelle CD-/DVD-Laufwerk oder Diskettenlaufwerk geladen werden.

Bei einigen Virtualisierungssystemen besteht des Weiteren die Möglichkeit, Hauptspeicher oder Festplattenplatz zu überbuchen. Es wird von einer "Überbuchung" von Ressourcen gesprochen, wenn den virtuellen IT-Systemen in Summe mehr Ressourcen zugewiesen werden können, als tatsächlich physisch vorhanden sind. Um Ressourcenengpässen vorzubeugen, können durch die Gastwerkzeuge in virtuellen IT-Systemen Funktionen bereitgestellt werden, um diese Überbuchungsfunktionen zu steuern. Die Gastwerkzeuge des Herstellers VMware (VMware Tools) besitzen beispielsweise eine Funktion, um Hauptspeicher zu belegen, der anderen virtuellen IT-Systemen zur Verfügung gestellt werden kann (Balooning). Diese Werkzeuge können auch eine virtuelle Festplatte für eine Verkleinerung des Dateicontainers, in dem sie enthalten ist, vorbereiten. Hierzu werden alle belegten Blöcke einer virtuellen Festplatte an den Anfang des Containers verschoben und die frei gewordenen Blöcke mit Nullen überschrieben, damit sie von der Virtualisierungsschicht als frei erkannt werden können.

Daher sind bei der Inbetriebnahme von virtuellen IT-Systemen neben den aus dem physischen Serverbetrieb schon bekannten Maßnahmen noch die folgenden Aspekte zu beachten:

  • Veränderungen der Binärdateien von Kernel, Anwendungen und Systembibliotheken wirken sich bei der Betriebssystemvirtualisierung im Gegensatz zur Servervirtualisierung auf alle virtuellen IT-Systeme, die auf dem Virtualisierungsserver betrieben werden, sowie auf den Virtualisierungsserver selbst aus. Diese Daten sind auf Veränderungen hin zu überwachen, vor allem, da beispielsweise durch eine Kompromittierung solcher Dateien ein sehr hohes Schadenspotenzial entsteht. Siehe hierzu auch M 4.93 Regelmäßige Integritätsprüfung .
  • Die Gastwerkzeuge können es Benutzern der virtuellen IT-Systeme ermöglichen, auf Datenträger in Disketten- oder CD-/DVD-Laufwerken des Virtualisierungsservers zuzugreifen. Auch mechanische Vorgänge wie das Öffnen und Schließen der Laufwerksschublade eines physischen Laufwerkes können hierüber gesteuert werden. Es besteht daher die Möglichkeit, dass unberechtigt auf Datenträger in physischen Laufwerken zugegriffen wird, oder der Datenträger einem virtuellen IT-System entzogen wird, indem das Laufwerk von einem anderen virtuellen System aus geöffnet wird. Die virtuellen IT-Systeme und der Virtualisierungsserver müssen so konfiguriert sein, dass dies weitgehend ausgeschlossen ist. Am einfachsten kann dies geschehen, wenn den virtuellen IT-Systemen diese Geräte nur dann exklusiv zugeordnet werden, wenn sie aktuell benötigt werden. Werden sie nicht gebraucht, sollte die Verbindung zu diesen Geräten getrennt werden. Besteht die Möglichkeit, CD- oder DVD-Datenträger als Imagedateien ( ISO -Images) statt über physische Laufwerke bereitzustellen, sollte sie genutzt werden.
  • Funktionen, die die Überbuchung von Hauptspeicher oder Festplattenplatz ermöglichen, sind bei den virtuellen IT-Systemen zu deaktivieren, bei denen hohe Performanceanforderungen bestehen oder deren Datenintegrität besonders wichtig ist. Ressourcenengpässe bei einer Überbuchung von Hauptspeicher auf einem Virtualisierungsserver führen in der Regel zu starken Performanceeinbußen der davon betroffenen virtuellen IT-Systeme. Wird Festplattenplatz überbucht und reicht der physisch vorhandene Platz nicht mehr aus, werden durch den Virtualisierungsserver in der Regel keine weiteren Schreibzugriffe auf den überbuchten Speicherplatz zugelassen. Hierdurch treten in den virtuellen IT-Systemen Festplattenfehler auf, die zu Inkonsistenzen der abgespeicherten Daten führen können.
  • Die Vorbereitung von virtuellen Festplatten auf eine Verkleinerung ihres physischen Containers bedeutet eine starke Belastung der Massenspeicher der Virtualisierungsserver. Dies kann zu Einschränkungen der Performance aller virtuellen IT-Systeme führen, die auf dem Virtualisierungsserver ausgeführt werden. Greifen mehrere Virtualisierungsserver auf ein Speichernetz zu, können unter Umständen alle Virtualisierungsserver davon betroffen sein. Daher sollte diese Funktion deaktiviert werden, wenn sie nicht benötigt wird.
  • Die Deaktivierung von Geräten wie Netzwerkkarten über Gastwerkzeuge bildet ein virtuelles Äquivalent zur Entfernung des Netzwerkkabels eines physischen IT-Systems. Da dies in virtualisierten Umgebungen auch oft ohne Zutritt zu diesem System möglich ist, sollte diese Funktion deaktiviert werden. Sie sollte nur dann zeitweise aktiviert werden, wenn sie zwingend benötigt wird.

Einige der oben beschriebenen Funktionen werden über Gastwerkzeuge, die in den virtuellen IT-Systemen installiert werden können, gesteuert oder ermöglicht. Es sind daher verbindliche Regelungen zur Konfiguration und zum Einsatz dieser Gastwerkzeuge in virtuellen IT-Systemen zu erstellen.

Prüffragen:

  • Ist bei Umgebungen mit Betriebssystemvirtualisierungen die Integrität von Daten des Betriebssystemkerns, der Systembibliotheken und gemeinsam genutzten Anwendungen gewährleistet?

  • Sind verbindliche Regelungen zum Einsatz von Gastwerkzeugen in virtuellen IT -Systemen getroffen und umgesetzt worden?

  • Werden Geräte wie CD -Laufwerke nur dann mit einem virtuellen IT -Systemen exklusiv verbunden, wenn sie im betreffenden IT -System benötigt werden?

  • Sind für virtuelle IT -Systeme bei denen hohe Performanceanforderungen bestehen oder ein hoher Schutzbedarf bezüglich Integrität festgestellt worden ist, Überbuchungsfunktionen für Hauptspeicher oder Festplattenplatz deaktiviert?

  • Ist die Funktion, mit der Geräte wie Netzwerkkarten oder CD -/ DVD -Laufwerke über die Gastwerkzeuge aktiviert oder deaktiviert werden können, standardmäßig ausgeschaltet?

Stand: 12. EL Stand 2011