Bundesamt für Sicherheit in der Informationstechnik

M 6.138 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Ausfall von Virtualisierungsservern hat in der Regel weitreichende Folgen für den Informationsverbund. Dies liegt daran, dass nicht nur die Virtualisierungskomponente selbst von dem Ausfall betroffen ist, sondern auch alle virtualisierten IT-Systeme, die auf der Komponente betrieben werden.

Daher kann der Ausfall einer Virtualisierungskomponente nicht isoliert betrachtet werden. Es muss im Rahmen der Planung des Einsatzes der Virtualisierung von IT-Systemen im Rechenzentrum bedacht werden, dass durch die angestrebten Konsolidierungseffekte im Bereich des Hardwareeinsatzes auch das Schadensausmaß eines Ausfalls steigt. Dieses Schadensausmaß ist umso höher, je stärker sich die Konsolidierungseffekte auswirken. Daher muss der Schutzbedarf der Gesamtheit der virtuellen IT-Systeme auf den Schutzbedarf der Virtualisierungskomponenten abgebildet werden. Hierbei müssen das Maximumprinzip und das Kumulationsprinzip beachtet werden.

Es reicht des Weiteren häufig nicht aus, nur den Ausfall von Virtualisierungsservern, auf denen virtualisierte IT-Systeme betrieben werden, zu betrachten. Weitere IT-Systeme, die für den Betrieb der Virtualisierungsserver notwendig sind, müssen einbezogen werden. Der Ausfall dieser Systeme kann die Verfügbarkeit der Virtualisierungssysteme einschränken. Daher muss für die folgenden Systeme, falls vorhanden, eine Vorgehensweise bei ihrem Ausfall festgelegt werden:

  • Virtualisierungsserver
  • Verwaltungsserver (insbesondere auch Connection-Broker)
  • Lizenzierungsserver

Je nachdem, wie die Virtualisierungssysteme in den Informationsverbund integriert sind, müssen auch weitere Systeme wie Verzeichnisdienste und Dienste zur Namensauflösung mit betrachtet werden.

Da Infrastrukturdienste, wie Verzeichnisdienste oder Namensauflösungsdienste, auch auf virtualisierten IT-Systemen ausgeführt werden können, ist es möglich, dass sich durch den Ausfall einer oder mehrerer Virtualisierungskomponenten eine sehr komplexe Situation ergibt. So muss beispielsweise der Wiederanlauf eines stark virtualisierten Rechenzentrums wegen der sich hierbei häufig ergebenden Dienstabhängigkeiten detailliert geplant werden.

Folgende Aspekte müssen grundsätzlich berücksichtigt werden:

  • Die Notfallplanung für Virtualisierungssysteme muss in den existierenden Notfallplan integriert werden (siehe Baustein B 1.3 Notfallmanagement ).
  • Durch einen Systemausfall eines Virtualisierungsservers kann es zu Datenverlusten in allen virtuellen IT-Systemen kommen, die auf dem ausgefallenen Virtualisierungsserver ausgeführt werden. Daher muss für alle virtuellen IT-Systeme geprüft werden, inwieweit die vorhandenen Datensicherungskonzepte (vergleiche dazu Baustein B 1.4 Datensicherungskonzept ) an die gewählte Virtualisierungstechnik angepasst werden müssen. Es sollte für die virtuellen IT-Systeme geprüft werden, ob die neuen Techniken der Virtualisierung (Snapshots) zur Datensicherung genutzt werden können und welche Vor- und Nachteile sich hieraus ergeben könnten. Wichtige Images müssen in die Datensicherung einbezogen werden.
  • Fällt ein Virtualisierungsserver aus, so fallen alle darauf laufenden virtuellen IT-Systeme ebenfalls aus. Die Wahrscheinlichkeit, dass es bei mindestens einem betroffenen virtuellen IT-System zu einem ernsthaften Datenverlust kommt, steigt mit der Anzahl der betroffenen Systeme. Es ist also bei der Notfallplanung zu berücksichtigen, dass möglicherweise ein umfangreicherer Wiederherstellungsaufwand eingeplant werden muss.
  • Werden mehrere Virtualisierungsserver in einer Farm eingesetzt (virtuelle Infrastruktur), ist darauf zu achten, dass eine sinnvolle Gruppierung der virtuellen IT-Systeme gewählt wird. So sollten beispielsweise zwei Systeme, die wechselseitig die Aufgaben des jeweils anderen ausführen können, nicht auf einem Virtualisierungsserver betrieben werden.
  • Es muss sichergestellt werden, dass im Notfall für den Umgang mit virtuellen Infrastrukturen geschultes Personal zur Verfügung steht.
  • Die Systemkonfiguration der Virtualisierungsserver (siehe M 2.318 Sichere Installation eines IT-Systems , M 2.315 Planung des Servereinsatzes und M 4.237 Sichere Grundkonfiguration eines IT-Systems ) muss für die Administratoren jederzeit einsehbar sein. Sie muss so gestaltet sein, dass die Virtualisierungsserver im Notfall auch von Personal wiederhergestellt werden können, das mit der vorher vorhandenen Konfiguration nicht detailliert vertraut ist.
  • Es muss ein Wiederanlaufplan erstellt werden, der den geregelten Neustart der Virtualisierungsserver und der mit ihm ausgefallenen virtuellen IT-Systeme gewährleistet.
  • Es muss sichergestellt sein, dass die Wiederinbetriebnahme der Virtualisierungssysteme nicht von einem Dienst im Rechenzentrum abhängt, der ausschließlich von einem virtuellen IT-System bereitgestellt wird.

Im Rahmen der Notfallvorsorge sollten unterschiedliche Szenarien betrachtet werden, in dem die Virtualisierungssysteme ganz oder in Teilen kompromittiert worden sind. Für diese Szenarien ist präzise zu beschreiben, wie hierauf zu reagieren ist und welche Aktionen jeweils auszuführen sind. Die Vorgehensweise sollte regelmäßig geübt werden.

Eine rechtzeitige Notfallplanung mit vorgegebenen Handlungsanweisungen, die auch von Personen ausgeführt werden können, die nicht detailliert mit der Administration der Virtualisierungssysteme vertraut sind, kann die Folgen im Schadensfall verringern. Die entsprechenden Dokumente für Notfallsituationen müssen für berechtigte Personen zugreifbar sein. Da sie allerdings wichtige Informationen beinhalten, müssen sie geschützt aufbewahrt werden.

Im Einzelnen sollten mindestens die folgenden Notfallsituationen betrachtet werden:

Angriff

Wurden Angriffe auf die Virtualisierungssysteme entdeckt, kann nicht davon ausgegangen werden, dass diese auf die Virtualisierungssysteme selbst begrenzt waren. Es muss vielmehr geprüft werden, ob die auf den Virtualisierungssystemen betriebenen virtuellen IT-Systeme kompromittiert worden sind. Dabei muss in Betracht gezogen werden, dass auf den Virtualisierungsservern selbst, aber auch auf den virtuellen IT-Systemen, Schadprogramme (Backdoors, Trojanische Pferde) installiert worden sind. Des Weiteren ist es möglich, dass über die Netzkonfiguration der Virtualisierungsserver unerwünschte Kommunikationswege geöffnet worden sind. Zudem können virtuelle IT-Systeme kopiert worden sein.

Um zuverlässig solche Schadprogramme zu entfernen, wird eine komplette Wiederherstellung der Virtualisierungskomponenten empfohlen. Hierzu können die erstellten Datensicherungen herangezogen werden, aber auch die Dokumentation der Systemkonfiguration und die Installationsanweisungen. Besitzt die eingesetzte Virtualisierungsumgebung eine Benutzerverwaltung zur Steuerung von administrativen Zugriffen, sind die Benutzerkonten, insbesondere die der Superuser, auf korrekte Gruppenmitgliedschaften zu überprüfen. Sämtliche Passwörter sollten geändert werden, um die Erfolgschancen von Folgeangriffen zu senken.

Für die virtualisierten IT-Systeme, die auf den kompromittierten Virtualisierungsservern betrieben worden sind, sollten die in den entsprechenden Notfallplänen für diese Systeme aufgeführten Maßnahmen durchgeführt werden.

Diebstahl von (physischen) Virtualsierungsservern

Beim Diebstahl von Virtualisierungsservern sind alle Konten zur Verwaltung der Virtualisierungsserver mit neuen Passwörtern zu versehen. Es muss damit gerechnet werden, dass auch virtuelle IT-Systeme mit dem Virtualisierungsserver gestohlen worden sind, insbesondere dann, wenn diese auf lokalen Festplatten des Virtualisierungsservers abgelegt waren. Auch wenn dies nicht der Fall ist, muss davon ausgegangen werden, dass dem Dieb weite Teile der Systemkonfiguration der virtuellen IT-Systeme und der Virtualisierungsinfrastruktur im Rechenzentrum bekannt geworden sind. Daher muss geprüft werden, inwieweit Verbesserungen oder Veränderungen der Virtualisierungsinfrastruktur dazu dienen können, dass die Infrastruktur einem zukünftigen Angriff besser standhalten kann. Im Zweifelsfall sollte die komplette virtuelle Infrastruktur neu gestaltet werden.

Diebstahl von virtuellen IT-Systemen

Der Diebstahl eines virtuellen IT-Systems erfordert in der Regel keinen physischen Zugang zum Rechenzentrum. Ein Angreifer kann virtuelle IT-Systeme über Funktionen der Virtualisierungsserver z. B. kopieren. Hierzu benötigt er nur einen Netzzugang, um auf die Speicherressourcen zugreifen zu können, auf denen die virtuellen IT-Systeme abgelegt sind.

Vorbeugend sind Maßnahmen zu entwickeln, die diese Möglichkeiten erschweren (M 2.477 Planung einer virtuellen Infrastruktur , M 4.349 Sicherer Betrieb von virtuellen Infrastrukturen ). Des Weiteren muss geprüft werden, inwieweit solche Angriffe erkannt werden können.

Die Notfallplanung für virtuelle IT-Systeme sollte daher Regelungen enthalten, welche die Verfahrensweise nach einem solchen Diebstahl beschreiben.

Fehlkonfigurationen

Fehlkonfigurationen von Virtualisierungsservern können zu weitreichenden negativen Folgen für den Rechenzentrumsbetrieb führen. Daher ist die Virtualisierungssoftware im Rahmen der Notfallvorsorge regelmäßig auf Fehlkonfigurationen zu überprüfen. Werden solche entdeckt, muss ihr Ausmaß bewertet werden. Hierbei ist insbesondere zu prüfen, ob virtuelle IT-Systeme durch die Fehlkonfiguration betroffen sind.

Die notwendigen Änderungen zur Behebung der Konfigurationsfehler können je nach Ausprägung direkt vorgenommen werden. Es muss allerdings beachtet werden, dass virtuelle IT-Systeme möglicherweise während solcher Änderungen beeinträchtigt werden können. Daher kann es notwendig werden, die virtuellen IT-Systeme vor Konfigurationsänderungen an den Virtualisierungssystemen herunterzufahren.

Ausfälle durch höhere Gewalt

Durch Gefährdungen aufgrund von höherer Gewalt, z. B. Erdbeben, Überschwemmung, Feuer, Sturmschäden, Kabelbeschädigungen, kann die Verfügbarkeit der Virtualisierungsserver negativ beeinflusst werden. Hier sind angemessene Maßnahmen zur Erhöhung der Verfügbarkeit zu prüfen, wie beispielsweise redundante Kommunikationsverbindungen der IT-Systeme.

Prüffragen:

  • Wurden die Auswirkungen der mit einer virtuellen Infrastruktur einhergehenden Konsolidierungseffekte auf die Verfügbarkeitsanforderungen der Virtualisierungsserver geprüft?

  • Wurde eine Vorgehensweise bei einem Ausfall von Virtualisierungskomponenten festgelegt?

  • Wurden die Notfallpläne an die virtuelle Infrastruktur angepasst?

  • Wurden die Datensicherungskonzepte an die virtuelle Infrastruktur angepasst?

  • Ist sichergestellt, dass im Notfall entsprechende Dokumente und geeignetes Personal zur Verfügung stehen?

  • Wurden Regelungen erstellt, die die Verfahrensweise nach einem Diebstahl von virtuellen IT -Systemen beschreiben?

  • Werden die Virtualisierungsserver regelmäßig auf Fehler geprüft?

  • Wurde die Notwendigkeit für Maßnahmen geprüft, die die Verfügbarkeit in Fällen höherer Gewalt steigern?

Stand: 12. EL Stand 2011