M 2.392 Sicherer Einsatz virtueller IT-Systeme
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Einführung
Bei einigen Rechner-Plattformen gibt es die Möglichkeit, virtuelle IT-Systeme einzurichten. Das bedeutet, dass auf einem physischen IT-System mehrere Betriebssystem-Instanzen, beispielsweise mehrere Instanzen des gleichen Betriebssystems oder mehrere unterschiedliche Betriebssysteme, praktisch gleichzeitig genutzt werden können. Die hierfür erforderliche Virtualisierungsschicht sorgt in der Regel dafür, dass
- sich jedes virtuelle IT-System für die darin ablaufende Software nahezu wie ein eigenständiger physischer Computer darstellt,
- die einzelnen virtuellen IT-Systeme voneinander isoliert werden und nur über festgelegte Wege miteinander kommunizieren können,
- die einzelnen virtuellen IT-Systeme in geordneter Weise auf die Ressourcen der Hardware zugreifen können.
Abhängig davon, wie die Virtualisierung der Ressourcen realisiert ist, werden diese Funktionen der Virtualisierungsschicht möglicherweise nur eingeschränkt erfüllt. So gibt es beispielsweise Lösungen, bei denen die Betriebssystem-Software leicht angepasst werden muss, bevor sie in einem virtuellen IT-System laufen kann. Ein anderes Beispiel für eingeschränkte Virtualisierung sind Lösungen, bei denen alle virtuellen IT-Systemen auf einem physischen Computer das gleiche Betriebssystem (allerdings verschiedene Instanzen davon) verwenden müssen.
Die Virtualisierungsschicht muss nicht notwendigerweise eine reine Software-Komponente sein. Bei einigen Plattformen unterstützt auch die Hard- oder Firmware die Virtualisierung der Ressourcen. Die Virtualisierungsschicht stellt den virtuellen IT-Systemen in der Regel konfigurierbare Zugriffsmöglichkeiten auf lokale Laufwerke und Netzverbindungen zur Verfügung. Dies erlaubt es den virtuellen IT-Systemen, miteinander und mit fremden IT-Systemen zu kommunizieren.
Virtuelle IT-Systeme (in einigen Fällen auch Virtuelle Maschinen genannt) werden häufig eingesetzt, um den IT-Einsatz zu flexibilisieren oder um die Kapazitäten vorhandener Hardware effizienter zu nutzen. Beispiele für Software-Produkte zur Virtualisierung von IT-Systemen mit x86-Architektur sind Microsoft Virtual PC/Server, Virtuozzo, VMware Workstation/Server und Xen. Im Bereich der zSeries-Großrechner kann eine Virtualisierung beispielsweise über die Nutzung von Logical Partitions (LPARs) oder über das Produkt z/VM erfolgen.
Thematische Abgrenzung
Im Bereich der Software-Entwicklung werden die Begriffe Virtuelle Maschine und Virtuelle-Maschinen-Monitor (VMM) manchmal auch für bestimmte Laufzeitumgebungen, beispielsweise beim Einsatz von Java oder Dot-NET, verwendet. Solche Laufzeitumgebungen werden in dieser Maßnahme nicht betrachtet. Gegenstand der Empfehlungen in dieser Maßnahme sind virtuelle
IT-Systeme, in denen Betriebssysteme ablaufen, die häufig auch direkt auf physischen IT-Systemen zum Einsatz kommen.
Beispiel-Szenario
Als Beispiel wird ein physischer Server S1 betrachtet, auf dem mit Hilfe einer Virtualisierungsschicht die drei virtuellen Server VM1, VM2 und VM3 betrieben werden. Als Basis-Betriebssystem kommt auf dem physischen Server S1 eine Unix-Version zum Einsatz. Die Virtualisierungsschicht ist in diesem Beispiel eine Software-Komponente, die unter Unix läuft. Die beiden virtuellen Server VM1 und VM2 werden mit Windows 2000 betrieben, auf VM3 ist hingegen Unix installiert. Applikationen können sowohl auf den drei virtuellen Servern als auch (unter Umgehung der Virtualisierungsschicht) direkt auf dem Basis-Betriebssystem des physischen Servers S1 ablaufen.
Die folgende Abbildung zeigt ein Schema dieser Beispiel-Konfiguration:

Abbildung: Schema der Beispiel-Konfiguration mit drei virtuellen Servern
Hinweis: Nicht bei allen Lösungen zur Virtualisierung kommt ein vollwertiges Basis-Betriebssystem unterhalb der Virtualisierungsschicht zum Einsatz.
Grundsatzüberlegungen und Konzeption
Zwar verhalten sich virtuelle IT-Systeme für die darin ablaufende Software meist wie nahezu eigenständige physische Computer, dennoch kann die Virtualisierung von Hardware-Ressourcen deutliche Auswirkungen auf die IT-Sicherheit haben.
Einerseits kann die Virtualisierung genutzt werden, um gezielt bestimmten Gefährdungen entgegenzuwirken. Ein Beispiel hierfür ist die verbesserte Trennung unterschiedlicher Programme auf einem Computer voneinander. Dadurch kann unter Umständen die Wahrscheinlichkeit dafür verringert werden, dass bei Problemen in einem Programm auch die anderen Programme beeinträchtigt werden.
Falls Applikationen von eigenständigen physischen IT-Systemen auf virtuelle IT-Systeme verlagert werden, können hierdurch jedoch auch zusätzliche Gefährdungen entstehen. Beispielsweise kann es dabei unter Umständen zu Engpässen bei der Verarbeitungsgeschwindigkeit oder bei der Speicherkapazität kommen.
Zu beachten ist außerdem, dass die Virtualisierungsschicht häufig auch vielfältige Möglichkeiten zur Vernetzung der virtuellen IT-Systeme bietet. Unter Umständen können die einzelnen virtuellen IT-Systeme auf einem physischen Computer dadurch gänzlich unterschiedliche Kommunikationsbeziehungen haben.
Der Einsatz virtueller IT-Systeme muss deshalb gründlich geplant werden. Dabei sollten insbesondere folgende Fragen beantwortet werden:
- Welche Ziele sollen mit der Virtualisierung von IT-Ressourcen erreicht werden?
- Welche Auswirkungen hat dies auf die IT-Risiken?
- Welche Anforderungen bestehen an die Isolation der virtuellen IT-Systeme?
- Können die Anforderungen an Verfügbarkeit und Durchsatz erfüllt werden?
- Ist der Einsatz virtueller IT-Systeme mit den festgelegten (Sicherheits)richtlinien vereinbar?
- Welche zusätzlichen IT-Sicherheitsmaßnahmen werden gegebenenfalls dafür erforderlich?
- Welche Hard- und Software-Komponenten eignen sich für die Virtualisierung?
- Welche Anwendungen sollen sich zukünftig auf virtuelle IT-Systeme stützen?
- Welche Auswirkungen hat dies auf die administrativen und betrieblichen Prozesse?
- Welche Auswirkungen der Virtualisierung von IT-Ressourcen ergeben sich für die Anwender und Benutzer?
Je nach Einsatzszenario sind in der Regel weitere Fragestellungen bei der Planung zu beachten. Die Planung des Einsatzes virtueller IT-Systeme sollte als Entscheidungsvorlage aufbereitet und den zuständigen Führungskräften vorgelegt werden. Die Entscheidung ist zu dokumentieren.
IT-Sicherheitskonzept und IT-Grundschutz-Modellierung
Um eine angemessene Gesamtsicherheit für den IT-Betrieb zu erreichen, müssen alle virtuellen IT-Systeme systematisch im IT-Sicherheitskonzept berücksichtigt werden. In Bezug auf die IT-Grundschutz-Vorgehensweise bedeutet dies insbesondere, dass alle virtuellen IT-Systeme in die IT-Strukturanalyse und in die Modellierung einbezogen werden müssen.
Als Modellierung wird in der IT-Grundschutz-Vorgehensweise die Zuordnung von Bausteinen zu den vorhandenen Zielobjekten (IT-Systeme, Anwendungen, Räume, etc.) bezeichnet. Grundsätzlich erfolgt die Modellierung virtueller IT-Systeme nach den gleichen Regeln wie bei eigenständigen physischen IT-Systemen. Das heißt, es sind die Hinweise in Kapitel 2.2 der IT-Grundschutz-Kataloge zu beachten. Die Zuordnung der IT-Grundschutz-Bausteine richtet sich in erster Linie nach der Funktion des IT-Systems (Server, Client, etc.), nach dem verwendeten Betriebssystem (Unix, Windows, etc.) und nach den darauf betriebenen Applikationen (Datenbank, Web-Server, etc.).
Um die Pflege des IT-Sicherheitskonzepts zu erleichtern und die Komplexität zu reduzieren, sollte besonders sorgfältig geprüft werden, inwieweit die virtuellen IT-Systeme zu Gruppen zusammengefasst werden können. Prinzipiell können auch solche virtuellen IT-Systeme, die sich auf unterschiedlichen physischen Computern befinden, in einer Gruppe zusammengefasst werden. Dies muss jedoch im Einzelfall geprüft werden. Hinweise zur Gruppenbildung finden sich in der IT-Grundschutz-Vorgehensweise.
Falls unterhalb der Virtualisierungsschicht ein vollwertiges und eigenständiges Basis-Betriebssystem zum Einsatz kommt, muss dieses Betriebssystem unabhängig von den virtuellen IT-Systemen in die Modellierung einbezogen werden. Auch hier ist zu prüfen, ob eine Gruppierung vorgenommen werden kann.
Falls die Voraussetzungen für eine Gruppierung von VM1 und VM2 erfüllt sind, könnte die Modellierung für das oben dargestellte Beispiel-Szenario wie folgt aussehen (Auszug):
Baustein | Zielobjekt |
---|---|
B 3.101 Allgemeiner Server |
S1 |
B 3.101 Allgemeiner Server |
VM3 |
B 3.101 Allgemeiner Server |
Gruppe aus VM1 und VM2 |
B 3.102 Server unter Unix |
S1 |
B 3.102 Server unter Unix |
VM3 |
B 3.106 Server unter Windows 2000 |
Gruppe aus VM1 und VM2 |
Tabelle: Zuordnung Bausteine zu Zielobjekten
Isolation
Abhängig von Einsatzzweck müssen die einzelnen virtuellen IT-Systeme auf einem physischen Computer mehr oder weniger stark isoliert werden. Das bedeutet, dass auf ein virtuelles IT-Systemen nicht unerlaubt vom Basis-Betriebssystem (sofern vorhanden) und von den anderen virtuellen IT-Systemen aus zugegriffen werden kann.
Eine wirksame Isolation ist bei virtuellen Servern meist wichtiger als beim Einsatz virtueller IT-Systeme auf Arbeitsplatzrechnern. Einen entscheidenden Stellenwert hat die Isolation, wenn virtuelle IT-Systeme dazu genutzt werden, eine Mandantenfähigkeit der Anwendung herzustellen.
Beim Einsatz virtueller IT-Systeme sind deshalb die folgenden Empfehlungen zu beachten:
- Es ist zu prüfen, ob mit der eingesetzten oder geplanten Lösung die Anforderungen an die Isolation der virtueller IT-Systeme erfüllt werden können.
- Sofern unterhalb der Virtualisierungsschicht ein Basis-Betriebssystem eingesetzt wird, muss geprüft werden, ob auch auf diesem Basis-Betriebssystem Anwendungsprogramme laufen dürfen, oder ob dies zu unerwünschten Zugriffsmöglichkeiten auf die virtuellen IT-Systeme führen kann.
- Es muss sichergestellt werden, dass nur die hierfür zuständigen Administratoren die Virtualisierungsschicht konfigurieren sowie virtuelle IT-Systeme einrichten oder löschen können.
- Die Zugriffsrechte auf die virtuellen IT-Systeme müssen gemäß den Anforderungen eingerichtet werden. Als Grundregel gilt auch hier, dass nur die tatsächlich erforderlichen Zugriffsmöglichkeiten erlaubt werden sollten.
Verfügbarkeit und Durchsatz
Der Einsatz mehrerer virtueller IT-Systeme auf einem physischen Computer kann erhebliche Auswirkungen auf die Verfügbarkeit, den Durchsatz und die Antwortzeiten der betriebenen Anwendungen haben. Diese Aspekte sind in der Regel bei Servern deutlich wichtiger als bei Arbeitsplatzcomputern.
Beim Einsatz virtueller IT-Systeme sind im Hinblick auf Verfügbarkeit und Durchsatz die folgenden Empfehlungen zu beachten:
- Der Einsatz virtueller IT-Systeme muss in der Schutzbedarfsfeststellung für den vorliegenden IT-Verbund berücksichtigt werden. Der Schutzbedarf virtueller IT-Systeme kann Auswirkungen auf den Schutzbedarf des physischen Computers haben, auf dem diese virtuellen IT-Systeme betrieben werden.
- Es ist zu prüfen, ob mit der eingesetzten oder geplanten Lösung zur Virtualisierung von Ressourcen die Anforderungen an die Verfügbarkeit und den Durchsatz der Applikationen erfüllt werden können.
- Vor der Überführung in den Wirkbetrieb muss getestet werden, ob beim Einsatz virtueller IT-Systeme akzeptable Antwortzeiten und Verarbeitungsgeschwindigkeiten erreicht werden.
- Die Leistungseigenschaften virtueller Server sollten überwacht werden, damit bei Engpässen zeitnah Anpassungen der Konfiguration vorgenommen werden können. Die Überwachung kann auf der Ebene der virtueller Server oder auf der Ebene des jeweiligen physischen Computers erfolgen. Bei der Festlegung des Überwachungskonzepts ist der Datenschutzbeauftragte zu beteiligen.
Ergänzende Kontrollfragen:
- Ist der Einsatz virtueller IT-Systeme gründlich geplant worden?
- Ist der Einsatz virtueller IT-Systeme in den vorhandenen IT-Sicherheitsrichtlinien definiert?
- Werden alle virtuellen IT-Systeme im IT-Sicherheitskonzept berücksichtigt?