Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.392 Sicherer Einsatz virtueller IT-Systeme - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.392 Sicherer Einsatz virtueller IT-Systeme

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Einführung

Bei einigen Rechner-Plattformen gibt es die Möglichkeit, virtuelle IT-Systeme einzurichten. Das bedeutet, dass auf einem physischen IT-System mehrere Betriebssystem-Instanzen, beispielsweise mehrere Instanzen des gleichen Betriebssystems oder mehrere unterschiedliche Betriebssysteme, praktisch gleichzeitig genutzt werden können. Die hierfür erforderliche Virtualisierungsschicht sorgt in der Regel dafür, dass

Abhängig davon, wie die Virtualisierung der Ressourcen realisiert ist, werden diese Funktionen der Virtualisierungsschicht möglicherweise nur eingeschränkt erfüllt. So gibt es beispielsweise Lösungen, bei denen die Betriebssystem-Software leicht angepasst werden muss, bevor sie in einem virtuellen IT-System laufen kann. Ein anderes Beispiel für eingeschränkte Virtualisierung sind Lösungen, bei denen alle virtuellen IT-Systemen auf einem physischen Computer das gleiche Betriebssystem (allerdings verschiedene Instanzen davon) verwenden müssen.

Die Virtualisierungsschicht muss nicht notwendigerweise eine reine Software-Komponente sein. Bei einigen Plattformen unterstützt auch die Hard- oder Firmware die Virtualisierung der Ressourcen. Die Virtualisierungsschicht stellt den virtuellen IT-Systemen in der Regel konfigurierbare Zugriffsmöglichkeiten auf lokale Laufwerke und Netzverbindungen zur Verfügung. Dies erlaubt es den virtuellen IT-Systemen, miteinander und mit fremden IT-Systemen zu kommunizieren.

Virtuelle IT-Systeme (in einigen Fällen auch Virtuelle Maschinen genannt) werden häufig eingesetzt, um den IT-Einsatz zu flexibilisieren oder um die Kapazitäten vorhandener Hardware effizienter zu nutzen. Beispiele für Software-Produkte zur Virtualisierung von IT-Systemen mit x86-Architektur sind Microsoft Virtual PC/Server, Virtuozzo, VMware Workstation/Server und Xen. Im Bereich der zSeries-Großrechner kann eine Virtualisierung beispielsweise über die Nutzung von Logical Partitions (LPARs) oder über das Produkt z/VM erfolgen.

Thematische Abgrenzung

Im Bereich der Software-Entwicklung werden die Begriffe Virtuelle Maschine und Virtuelle-Maschinen-Monitor (VMM) manchmal auch für bestimmte Laufzeitumgebungen, beispielsweise beim Einsatz von Java oder Dot-NET, verwendet. Solche Laufzeitumgebungen werden in dieser Maßnahme nicht betrachtet. Gegenstand der Empfehlungen in dieser Maßnahme sind virtuelle

IT-Systeme, in denen Betriebssysteme ablaufen, die häufig auch direkt auf physischen IT-Systemen zum Einsatz kommen.

Beispiel-Szenario

Als Beispiel wird ein physischer Server S1 betrachtet, auf dem mit Hilfe einer Virtualisierungsschicht die drei virtuellen Server VM1, VM2 und VM3 betrieben werden. Als Basis-Betriebssystem kommt auf dem physischen Server S1 eine Unix-Version zum Einsatz. Die Virtualisierungsschicht ist in diesem Beispiel eine Software-Komponente, die unter Unix läuft. Die beiden virtuellen Server VM1 und VM2 werden mit Windows 2000 betrieben, auf VM3 ist hingegen Unix installiert. Applikationen können sowohl auf den drei virtuellen Servern als auch (unter Umgehung der Virtualisierungsschicht) direkt auf dem Basis-Betriebssystem des physischen Servers S1 ablaufen.

Die folgende Abbildung zeigt ein Schema dieser Beispiel-Konfiguration:

Schema der Beispiel-Konfiguration mit drei virtuellen Servern

Abbildung: Schema der Beispiel-Konfiguration mit drei virtuellen Servern

Hinweis: Nicht bei allen Lösungen zur Virtualisierung kommt ein vollwertiges Basis-Betriebssystem unterhalb der Virtualisierungsschicht zum Einsatz.

Grundsatzüberlegungen und Konzeption

Zwar verhalten sich virtuelle IT-Systeme für die darin ablaufende Software meist wie nahezu eigenständige physische Computer, dennoch kann die Virtualisierung von Hardware-Ressourcen deutliche Auswirkungen auf die IT-Sicherheit haben.

Einerseits kann die Virtualisierung genutzt werden, um gezielt bestimmten Gefährdungen entgegenzuwirken. Ein Beispiel hierfür ist die verbesserte Trennung unterschiedlicher Programme auf einem Computer voneinander. Dadurch kann unter Umständen die Wahrscheinlichkeit dafür verringert werden, dass bei Problemen in einem Programm auch die anderen Programme beeinträchtigt werden.

Falls Applikationen von eigenständigen physischen IT-Systemen auf virtuelle IT-Systeme verlagert werden, können hierdurch jedoch auch zusätzliche Gefährdungen entstehen. Beispielsweise kann es dabei unter Umständen zu Engpässen bei der Verarbeitungsgeschwindigkeit oder bei der Speicherkapazität kommen.

Zu beachten ist außerdem, dass die Virtualisierungsschicht häufig auch vielfältige Möglichkeiten zur Vernetzung der virtuellen IT-Systeme bietet. Unter Umständen können die einzelnen virtuellen IT-Systeme auf einem physischen Computer dadurch gänzlich unterschiedliche Kommunikationsbeziehungen haben.

Der Einsatz virtueller IT-Systeme muss deshalb gründlich geplant werden. Dabei sollten insbesondere folgende Fragen beantwortet werden:

Je nach Einsatzszenario sind in der Regel weitere Fragestellungen bei der Planung zu beachten. Die Planung des Einsatzes virtueller IT-Systeme sollte als Entscheidungsvorlage aufbereitet und den zuständigen Führungskräften vorgelegt werden. Die Entscheidung ist zu dokumentieren.

IT-Sicherheitskonzept und IT-Grundschutz-Modellierung

Um eine angemessene Gesamtsicherheit für den IT-Betrieb zu erreichen, müssen alle virtuellen IT-Systeme systematisch im IT-Sicherheitskonzept berücksichtigt werden. In Bezug auf die IT-Grundschutz-Vorgehensweise bedeutet dies insbesondere, dass alle virtuellen IT-Systeme in die IT-Strukturanalyse und in die Modellierung einbezogen werden müssen.

Als Modellierung wird in der IT-Grundschutz-Vorgehensweise die Zuordnung von Bausteinen zu den vorhandenen Zielobjekten (IT-Systeme, Anwendungen, Räume, etc.) bezeichnet. Grundsätzlich erfolgt die Modellierung virtueller IT-Systeme nach den gleichen Regeln wie bei eigenständigen physischen IT-Systemen. Das heißt, es sind die Hinweise in Kapitel 2.2 der IT-Grundschutz-Kataloge zu beachten. Die Zuordnung der IT-Grundschutz-Bausteine richtet sich in erster Linie nach der Funktion des IT-Systems (Server, Client, etc.), nach dem verwendeten Betriebssystem (Unix, Windows, etc.) und nach den darauf betriebenen Applikationen (Datenbank, Web-Server, etc.).

Um die Pflege des IT-Sicherheitskonzepts zu erleichtern und die Komplexität zu reduzieren, sollte besonders sorgfältig geprüft werden, inwieweit die virtuellen IT-Systeme zu Gruppen zusammengefasst werden können. Prinzipiell können auch solche virtuellen IT-Systeme, die sich auf unterschiedlichen physischen Computern befinden, in einer Gruppe zusammengefasst werden. Dies muss jedoch im Einzelfall geprüft werden. Hinweise zur Gruppenbildung finden sich in der IT-Grundschutz-Vorgehensweise.

Falls unterhalb der Virtualisierungsschicht ein vollwertiges und eigenständiges Basis-Betriebssystem zum Einsatz kommt, muss dieses Betriebssystem unabhängig von den virtuellen IT-Systemen in die Modellierung einbezogen werden. Auch hier ist zu prüfen, ob eine Gruppierung vorgenommen werden kann.

Falls die Voraussetzungen für eine Gruppierung von VM1 und VM2 erfüllt sind, könnte die Modellierung für das oben dargestellte Beispiel-Szenario wie folgt aussehen (Auszug):

Baustein Zielobjekt

B 3.101 Allgemeiner Server

 

S1

 

B 3.101 Allgemeiner Server

 

VM3

 

B 3.101 Allgemeiner Server

 

Gruppe aus VM1 und VM2

 

B 3.102 Server unter Unix

 

S1

 

B 3.102 Server unter Unix

 

VM3

 

B 3.106 Server unter Windows 2000

 

Gruppe aus VM1 und VM2

 

Tabelle: Zuordnung Bausteine zu Zielobjekten

Isolation

Abhängig von Einsatzzweck müssen die einzelnen virtuellen IT-Systeme auf einem physischen Computer mehr oder weniger stark isoliert werden. Das bedeutet, dass auf ein virtuelles IT-Systemen nicht unerlaubt vom Basis-Betriebssystem (sofern vorhanden) und von den anderen virtuellen IT-Systemen aus zugegriffen werden kann.

Eine wirksame Isolation ist bei virtuellen Servern meist wichtiger als beim Einsatz virtueller IT-Systeme auf Arbeitsplatzrechnern. Einen entscheidenden Stellenwert hat die Isolation, wenn virtuelle IT-Systeme dazu genutzt werden, eine Mandantenfähigkeit der Anwendung herzustellen.

Beim Einsatz virtueller IT-Systeme sind deshalb die folgenden Empfehlungen zu beachten:

Verfügbarkeit und Durchsatz

Der Einsatz mehrerer virtueller IT-Systeme auf einem physischen Computer kann erhebliche Auswirkungen auf die Verfügbarkeit, den Durchsatz und die Antwortzeiten der betriebenen Anwendungen haben. Diese Aspekte sind in der Regel bei Servern deutlich wichtiger als bei Arbeitsplatzcomputern.

Beim Einsatz virtueller IT-Systeme sind im Hinblick auf Verfügbarkeit und Durchsatz die folgenden Empfehlungen zu beachten:

Ergänzende Kontrollfragen: