Bundesamt für Sicherheit in der Informationstechnik

M 5.153 Planung des Netzes für virtuelle Infrastrukturen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtualisierungsserver müssen allen virtuellen IT-Systemen den Zugriff auf von diesen benötigte Infrastrukturkomponenten wie Netze und Speichernetze, sowie auf Infrastrukturdienste wie DNS oder DHCP ermöglichen. Hierbei sind die folgenden Aspekte bei der Planung der Netzanbindung der Virtualisierungsserver zu beachten:

  • Netzanbindung der Virtualisierungsserver
    Virtualisierungsserver benötigen in der Regel Zugriff auf Infrastrukturdienste wie DNS sowie auf Speichernetze. Weiterhin werden sie häufig über das Netz administriert und bestimmte Virtualisierungsfunktionen wie die Live Migration, also das Verschieben eines virtuellen IT-Systems im laufenden Betrieb von einem Virtualisierungsserver auf den anderen, nutzen ebenfalls Netzverbindungen zwischen den Virtualisierungsservern. Daher werden auf den Virtualisierungsservern selbst Netzschnittstellen für diese Zwecke benötigt. Da über diese Schnittstellen auch die virtuellen IT-Systeme, die auf dem Virtualisierungsserver betrieben werden, verwaltet werden können, sind diese Schnittstellen besonders zu schützen und in einem Verwaltungsnetz zu betreiben. Der Zugriff auf dieses Verwaltungsnetz stellt das virtuelle Pendant des Zugangs zum Rechenzentrum oder Serverraum dar und sollte genau wie der Zutritt zu Serverräumen restriktiv gehandhabt werden (siehe auch Maßnahme M 1.58 Technische und organisatorische Vorgaben für Serverräume ). Das Verwaltungsnetz sollte deshalb separat betrieben werden, um sicherzustellen, dass die Verwaltungsfunktionen der Virtualisierungsserver nur von den vorgesehenen Arbeitsstationen aus und nur für die berechtigten Administratoren erreichbar sind. Das Verwaltungsnetz sollte insbesondere von den Netzen der virtuellen IT-Systeme getrennt werden.
    Es muss des Weiteren geprüft werden, ob für die Virtualisierungsfunktion Live Migration ein dediziertes Netz geschaffen werden soll. Da bei einer Live Migration die Hauptspeicherinhalte eines virtuellen IT-Systems möglicherweise unverschlüsselt über das Netz übertragen werden, kann eine solche Trennung je nach Schutzbedarf der virtuellen IT-Systeme notwendig sein.
  • Netzanbindung der virtuellen IT-Systeme
    Für virtuelle IT-Systeme (virtuelle Server, Clients und gegebenenfalls virtuelle Switche) sind die Maßnahmen des Bausteins B 3.101 Allgemeiner Server und B 3.302 Router und Switches genauso umzusetzen wie für physische. Bezüglich der Netzanbindung virtueller IT-Systeme sind bei der Planung einige Besonderheiten zu beachten. Virtuelle IT-Systeme nutzen die physischen Netzschnittstellen der Virtualisierungsserver, um auf Netze zuzugreifen. Hierbei existiert in der Regel keine direkte, eindeutige Zuordnung von Schnittstellen zu virtuellen IT-Systemen. Dies bedeutet, dass sich bei einigen Virtualisierungsprodukten mehrere virtuelle IT-Systeme dieselbe physische Schnittstelle teilen können. Da bei einer Störung dieser Schnittstelle gleich mehrere virtuelle IT-Systeme vom Netz getrennt werden, wird empfohlen, dass die Verfügbarkeit dieser mehrfach genutzten Netzschnittstellen gesteigert wird (Kumulationsprinzip). Dies kann z. B. durch redundante Netzschnittstellen und Techniken wie IEEE 802.3ad (Link Aggregation Control Protocol - LACP) oder anderer Load Balancing-Verfahren geschehen. Hierbei ist besonders zu beachten, dass die Verwendung solcher Protokolle in der Regel eine angepasste Konfiguration auf dem physischen Switch erfordert, an den diese Schnittstellen angeschlossen sind. Falls möglich, sind die physischen Schnittstellen mit unterschiedlichen Switchen zu verbinden.

Trennung von Netzsegmenten

Virtualisierungsserver werden oft mit einer Vielzahl von Netzen verbunden. Einige Virtualisierungsprodukte verfügen über Funktionen, um mehrere VLANs über eine physische Schnittstelle (Port Trunking gemäß IEEE 802.1q) zu nutzen. Es ist zudem möglich, auch in der virtuellen Infrastruktur VLANs zur Netzsegmentierung zu verwenden. Genügen zur Segmentierung der Netze VLANs, die lediglich eine logische Trennung darstellen, kann dies auch innerhalb der virtuellen Infrastruktur geschehen. Die virtuellen Netzkarten der betreffenden virtuellen IT-Systeme sind dann so auf physische Netzschnittstellen zu verteilen, dass diese nur untereinander Netzpakete austauschen können.

Wurden vor der Virtualisierung Netze aufgrund unterschiedlichen Schutzbedarfs physikalisch getrennt, müssen diese Netze auch in virtuellen Umgebungen voneinander isoliert werden. Es ist dann zu prüfen, ob die Mechanismen zur Netztrennung, sowie der Kapselung und Isolation der virtuellen IT-Systeme in der eingesetzten Virtualisierungslösung ausreichen, um virtuelle IT-Systeme mit hohem Schutzbedarf gemeinsam mit solchen niedrigen Schutzbedarfs auf einem Virtualisierungsserver betreiben zu können. Diese Prüfung kann z. B. darin bestehen, dass der Hersteller der betreffenden Virtualisierungslösung die genannten Mechanismen für diesen Einsatzzweck (Trennung von Maschinen unterschiedlichen Schutzbedarfs) als geeignet bezeichnet und dies durch eine entsprechende Zertifizierung nachweist.

Bei erhöhtem Schutzbedarf kann der Betrieb der jeweiligen Netze auf einem einzelnen Virtualisierungsserver jedoch problematisch sein, beispielsweise wenn Administratoren der virtuellen Infrastruktur keinen Zugriff auf virtuelle IT-Systeme in bestimmten Netzen außerhalb ihres Verantwortungsbereichs haben sollen. In diesem Fall sind die virtuellen Maschinen, die Zugang zu den betreffenden Netzen haben müssen, auf isolierten dedizierten Virtualisierungsservern bereitzustellen. Gegebenenfalls sollte das betreffende IT-System statt in einer virtuellen Umgebungen auf einem physischen IT-System betrieben werden.

Hochverfügbare virtuelle Infrastrukturen

Der kumulierte Schutzbedarf der einzelnen virtuellen IT-Systeme kann zu einem hohen oder sehr hohen Schutzbedarf dieses Virtualisierungsservers führen. In einem solchen Fall wird daher empfohlen, mehrere Virtualisierungsserver beispielsweise zu einem Cluster zu verbinden. Hierbei werden die virtuellen IT-Systeme auf den verbleibenden Virtualisierungsservern neu gestartet, wenn einer der Virtualisierungsserver im Cluster ausgefallen ist.

Fällt die Kommunikation zwischen mehreren Systemen eines Clusterverbundes gleichzeitig aus, muss jedes System entscheiden können, ob es selbst oder die anderen Systeme von dem Ausfall betroffen sind (Isolationsproblem), damit die durch einen Serverausfall betroffenen virtuellen IT-Systeme nicht mehrfach neu gestartet werden. Dieses Isolationsproblem wird in der Regel dadurch gelöst, dass ein Clustersystem prüft, ob bestimmter Ressourcen wie z. B. das Standardgateway erreichbar sind. Kann es diese Ressourcen nicht erreichen, betrachtet es sich als isoliert und entfernt sich selbst aus dem Cluster, je nach Konfiguration werden die auf ihm betriebenen virtuellen IT-Systeme dabei gestoppt.

Daher wird empfohlen, bei der Planung eines solchen Virtualisierungsclusters zu ermittelt, welche Ressourcen zur Prüfung der Isolation herangezogen werden. Diese Ressourcen sind dann in der Rechenzentrumsinfrastruktur mit einer ausreichenden Verfügbarkeit bereitzustellen. Die Netzverbindungen zwischen den Virtualisierungsservern, die Bestandteil des Clusters sind, sind ebenfalls mit einer ausreichenden Verfügbarkeit auszulegen.

Prüffragen:

  • Wurde für die Verwaltung der virtuellen Infrastruktur ein getrenntes Verwaltungsnetz realisiert?

  • Ist geprüft worden, ob für Virtualisierungsfunktionen wie die Live Migration ein eigenes Netz realisiert werden muss?

  • Wurde für die Anbindung der produktiven Gastsysteme ein getrenntes Netz realisiert?

  • Ist die Verfügbarkeit der für virtuelle IT -Systeme genutzten Netzschnittstellen ausreichend geplant?

  • Ist die Trennung der Netzsegmente durch das eingesetzte Virtualisierungsprodukt ausreichend sichergestellt, wenn virtuelle IT -Systeme unterschiedlichen Schutzbedarfs auf einem Virtualisierungsserver betrieben werden?

  • Sind die Netzverbindungen eines Clusters aus Virtualisierungsservern mit einer ausreichenden Verfügbarkeit geplant worden?

Stand: 12. EL Stand 2011