![[Illustration]](06-5-054-1.jpg)
Abbildung 1: Schema einer Beispiel-Konfiguration mit drei virtuellen Servern
Das Spannungsfeld zwischen Wirtschaftlichkeit, sich häufig ändernden funktionalen Anforderungen und sicherem, ordnungsgemäßem Betrieb führt dazu, dass neue technische Verfahren sehr genau geprüft werden müssen. Neben den genannten Aspekten steht dabei häufig auch die Verträglichkeit mit internen und externen Regelungen im Vordergrund (Compliance).
Motivation für den Einsatz virtueller IT-Systeme ist häufig die Möglichkeit, die vorhandenen Hardware-Ressourcen effizienter zu nutzen und die beschafften Komponenten besser von den bereitgestellten IT-Dienstleistungen zu entkoppeln. Ziel ist dabei, den IT-Betrieb kostengünstiger bereitzustellen oder schneller auf sich ändernde Anforderungen zu reagieren. Andererseits kann die Virtualisierung von Hardware-Ressourcen aber auch als IT-Sicherheitsmaßnahme herangezogen werden, beispielsweise im Rahmen von mandantenfähigen IT-Dienstleistungen.
Vor dem Hintergrund der zunehmenden Bedeutung virtueller IT-Systeme hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen für den sicheren Einsatz von Lösungen zur Virtualisierung von Hardware-Ressourcen erarbeitet. Diese Empfehlungen werden voraussichtlich in die nächste Ausgabe der IT-Grundschutz-Kataloge [1] integriert, die für Ende 2006 geplant ist.
Bei den meisten Rechner-Plattformen gibt es die Möglichkeit, virtuelle IT-Systeme einzurichten. Das bedeutet, dass auf einem physischen IT-System mehrere Betriebssystem-Instanzen, beispielsweise mehrere Instanzen des gleichen Betriebssystems oder mehrere unterschiedliche Betriebssysteme, praktisch gleichzeitig genutzt werden können. Die hierfür erforderliche Virtualisierungsschicht sorgt in der Regel dafür, dass
Abhängig davon, wie die Virtualisierung der Ressourcen realisiert ist und welcher Prozessortyp eingesetzt wird, werden diese Funktionen der Virtualisierungsschicht möglicherweise nur eingeschränkt erfüllt. So gibt es beispielsweise Lösungen, bei denen die Betriebssystem-Software leicht angepasst werden muss, bevor sie in einem virtuellen IT-System laufen kann. Ein anderes Beispiel für eingeschränkte Virtualisierung sind Lösungen, bei denen alle virtuellen IT-Systeme auf einem physischen Computer das gleiche Betriebssystem (allerdings verschiedene Instanzen davon) verwenden müssen.
Die Virtualisierungsschicht muss nicht notwendigerweise eine reine Software-Komponente sein. Bei einigen Plattformen unterstützt auch die Hard- oder Firmware die Virtualisierung der Ressourcen. Die Virtualisierungsschicht stellt den virtuellen IT-Systemen in der Regel konfigurierbare Zugriffsmöglichkeiten auf lokale Laufwerke und Netzverbindungen zur Verfügung. Dies ermöglicht es den virtuellen IT-Systemen, miteinander und mit fremden IT-Systemen zu kommunizieren.
Virtuelle IT-Systeme (in einigen Fällen auch virtuelle Maschinen genannt) werden häufig eingesetzt, um den IT-Einsatz zu flexibilisieren oder um die Kapazitäten vorhandener Hardware effizienter zu nutzen. Beispiele für Software-Produkte zur Virtualisierung von IT-Systemen mit x86-Architektur sind Microsoft Virtual PC/Server, Virtuozzo, VMware Workstation/Server und die Open-Source-Lösung Xen. Im Bereich der zSeries-Großrechner von IBM kann eine Virtualisierung beispielsweise über die Nutzung von Logical Partitions (LPARs) oder über das Produkt z/VM erfolgen.
Im Bereich der Software-Entwicklung werden die Begriffe virtuelle Maschine und Virtuelle-Maschinen-Monitor (VMM) manchmal auch für bestimmte Laufzeitumgebungen verwendet, beispielsweise beim Einsatz von Java oder .NET. Solche Laufzeitumgebungen werden an dieser Stelle nicht betrachtet. Gegenstand der hier dargestellten Empfehlungen sind virtuelle IT-Systeme, in denen Betriebssysteme ablaufen, die häufig auch direkt auf physischen IT-Systemen zum Einsatz kommen. Es sei darauf hingewiesen, dass nicht bei allen Lösungen zur Virtualisierung ein vollwertiges Basis-Betriebssystem unterhalb der Virtualisierungsschicht zum Einsatz kommt.
Beispiel-Szenario: Als Beispiel wird ein physischer Server S1 betrachtet, auf dem mithilfe einer Virtualisierungsschicht die drei virtuellen Server VM1, VM2 und VM3 betrieben werden (vgl. Abb. 1). Als Basis-Betriebssystem kommt auf dem physischen Server S1 eine Unix-Version zum Einsatz. Die Virtualisierungsschicht ist in diesem Beispiel eine Software-Komponente, die unter Unix läuft. Die beiden virtuellen Server VM1 und VM2 werden mit Windows 2000 betrieben, auf VM3 ist hingegen Unix installiert. Applikationen können sowohl auf den drei virtuellen Servern als auch (unter Umgehung der Virtualisierungsschicht) direkt auf dem Basis-Betriebssystem des physischen Servers S1 ablaufen.
Abbildung 1: Schema einer Beispiel-Konfiguration mit drei virtuellen Servern
Zwar verhalten sich virtuelle IT-Systeme für die darin ablaufende Software meist wie nahezu eigenständige physische Computer, dennoch kann die Virtualisierung von Hardware-Ressourcen deutliche Auswirkungen auf die IT-Sicherheit haben. Einerseits kann die Virtualisierung genutzt werden, um gezielt bestimmten Gefährdungen entgegenzuwirken. Ein Beispiel hierfür ist die verbesserte Trennung unterschiedlicher Programme auf einem Computer voneinander. Dadurch kann die Wahrscheinlichkeit dafür verringert werden, dass bei Problemen in einem Programm auch die anderen Programme beeinträchtigt werden.
Falls Applikationen von eigenständigen physischen IT-Systemen auf virtuelle IT-Systeme verlagert werden, können hierdurch jedoch auch zusätzliche Gefährdungen entstehen. Beispielsweise kann es dabei unter Umständen zu Engpässen bei der Verarbeitungsgeschwindigkeit oder bei der Speicher-kapazität kommen.
Zu beachten ist außerdem, dass die Virtualisierungsschicht häufig auch vielfältige Möglichkeiten zur Vernetzung der virtuellen IT-Systeme bietet. Unter Umständen können die einzelnen virtuellen IT-Systeme auf einem physischen Computer dadurch gänzlich unterschiedliche Kommunikationsbeziehungen haben.
Der Einsatz virtueller IT-Systeme muss deshalb gründlich geplant werden. Dabei sollten insbesondere folgende Fragen beantwortet werden:
Je nach Einsatzszenario sind in der Regel weitere Fragestellungen bei der Planung zu beachten. Die Planung des Einsatzes virtueller IT-Systeme sollte als Entscheidungsvorlage aufbereitet und den zuständigen Führungskräften vorgelegt werden. Die Entscheidung ist zu dokumentieren.
Um eine angemessene Gesamtsicherheit für den IT-Betrieb zu erreichen, müssen alle virtuellen IT-Systeme systematisch im IT-Sicherheitskonzept berücksichtigt werden. In Bezug auf die IT-Grundschutz-Vorgehensweise [2] bedeutet dies insbesondere, dass alle virtuellen IT-Systeme in die IT-Strukturanalyse und in die Modellierung einbezogen werden müssen.
Als Modellierung wird in der IT-Grundschutz-Vorgehensweise die Zuordnung von Bausteinen aus den IT-Grundschutz-Katalogen zu den vorhandenen Zielobjekten (IT-Systeme, Anwendungen, Räume etc.) bezeichnet. Grundsätzlich sollte dabei die Modellierung virtueller IT-Systeme nach den gleichen Regeln wie bei eigenständigen physischen IT-Systemen erfolgen. Hierfür sind die Hinweise in Kapitel 2.2 der IT-Grundschutz-Kataloge [1] zu beachten. Die Zuordnung der IT-Grundschutz-Bausteine richtet sich in erster Linie nach der Funktion des IT-Systems (Server, Client etc.), nach dem verwendeten Betriebssystem (Unix, Windows etc.) und nach den darauf betriebenen Applikationen (Datenbank, Web-Server etc.).
Um die Pflege des IT-Sicherheitskonzepts zu erleichtern und die Komplexität zu reduzieren, sollte besonders sorgfältig geprüft werden, inwieweit die virtuellen IT-Systeme zu Gruppen zusammengefasst werden können. Prinzipiell können auch solche virtuellen IT-Systeme, die sich auf unterschiedlichen physischen Computern befinden, in einer Gruppe zusammengefasst werden. Dies muss jedoch im Einzelfall geprüft werden. Hinweise zur Gruppenbildung finden sich in der IT-Grundschutz-Vorgehensweise.
Falls unterhalb der Virtualisierungsschicht ein vollwertiges und eigenständiges Basis-Betriebssystem zum Einsatz kommt, muss dieses Betriebssystem unabhängig von den virtuellen IT-Systemen in die Modellierung einbezogen werden. Auch hier ist zu prüfen, ob eine Gruppierung vorgenommen werden kann. Falls die Voraussetzungen für eine Gruppierung von VM1 und VM2 erfüllt sind, könnte die Modellierung für das oben beschriebene Beispiel-Szenario wie auszugsweise in Tabelle 1 gezeigt aussehen.
Auf dem physischen IT-System sind also insgesamt mehr Sicherheitsmaßnahmen umzusetzen, als wenn dort keine virtuellen Server betrieben würden. Der Betrieb von virtuellen IT-Systemen bedeutet also im Allgemeinen auch einen höheren Aufwand, um das Gesamtsystem angemessen abzusichern.
| Baustein | Zielobjekt |
|---|---|
| B 3.101 allgemeiner Server | S1 |
| B 3.101 allgemeiner Server | VM3 |
| B 3.101 allgemeiner Server | Gruppe aus VM1 und VM2 |
| B 3.102 Server unter Unix | S1 |
| B 3.102 Server unter Unix | VM3 |
| B 3.106 Server unter Windows 2000 | Gruppe aus VM1 und VM2 |
Tabelle 1: Auszug zur Zuordnung von Bausteinen aus den IT-Grundschutz-Katalogen zu vorhandenen Zielobjekten anhand des Beispiels aus Abbildung 1.
Abhängig von Einsatzzweck müssen die einzelnen virtuellen IT-Systeme auf einem physischen Computer mehr oder weniger stark isoliert werden. Das bedeutet, dass auf ein virtuelles IT-System nicht unerlaubt vom Basis-Betriebssystem (sofern vorhanden) und von den anderen virtuellen IT-Systemen aus zugegriffen werden kann.
Eine wirksame Isolation ist bei virtuellen Servern meist wichtiger als beim Einsatz virtueller IT-Systeme auf Arbeitsplatzrechnern. Einen entscheidenden Stellenwert hat die Isolation, wenn virtuelle IT-Systeme dazu genutzt werden, eine Mandantenfähigkeit der Anwendung herzustellen.
Beim Einsatz virtueller IT-Systeme sind deshalb die folgenden Empfehlungen zu beachten:
Der Einsatz mehrerer virtueller IT-Systeme auf einem physischen Computer kann erhebliche Auswirkungen auf die Verfügbarkeit, den Durchsatz und die Antwortzeiten der betriebenen Anwendungen haben. Diese Aspekte sind in der Regel bei Servern deutlich wichtiger als bei Arbeitsplatzcomputern. Beim Einsatz virtueller IT-Systeme sind im Hinblick auf Verfügbarkeit und Durchsatz die folgenden Empfehlungen zu beachten:
Virtuelle IT-Systeme können einen wichtigen Beitrag zur Flexibilisierung und zur Wirtschaftlichkeit des IT-Betriebs leisten. Dies setzt jedoch voraus, dass die Virtualisierung von Hardware-Ressourcen gründlich geplant und in den aktuellen IT-Sicherheitskonzepten beziehungsweise -richtlinien systematisch berücksichtigt wird. Anderenfalls besteht die Gefahr, dass funktionale oder sicherheitstechnische Anforderungen der Applikationen und Daten beim Einsatz von virtuellen IT-Systemen nicht hinreichend berücksichtigt werden. Als Folge können beispielsweise unerwünschte Zugriffsmöglichkeiten auf schützenswerte Daten, Engpässe bei der Verarbeitungsgeschwindigkeit oder sonstige Störungen des ordnungsgemäßen IT-Betriebs auftreten.
Grundsätzlich gilt, dass die Empfehlungen der IT-Grundschutz-Maßnahmen durch eine ergänzende Sicherheits- beziehungsweise Risikoanalyse abgerundet werden sollten, wenn erhöhte Sicherheitsanforderungen, untypische Komponenten oder besondere Einsatzszenarien vorliegen. Eine entsprechende Vorgehensweise, die auch auf virtuelle IT-Systeme angewandt werden kann, ist in [2] beziehungsweise [3] beschrieben.
![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/gshb/ www.bsi.bund.de/literat/bsi_standard/standard_1001.pdf www.bsi.bund.de/literat/bsi_standard/standard_1002.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#5, Seite 54
| 