Risico’s van een gevirtualiseerde IT-omgeving

Risico’s van een gevirtualiseerde IT-omgevingDe databaseserver als centraal audit objectDoor A. Possen en P. UlrichVrije Universiteit AmsterdamFaculteit der Economische Wetenschappen en BedrijfskundePostgraduate IT-Audit opleiding,Maart, 2010Begeleider VU: Dr. J. HulstijnBegeleider Deloitte: D. Suijkerbuijk MSc

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------SamenvattingVirtualisatie neemt een grote vlucht. Wij zijn van mening dat virtualisatie verder zal doorzetten.Binnen de markt zijn hiervoor een aantal argumenten. Ten eerste biedt virtualisatie bedrijven veelvoordelen op het gebied van utilisatie. Virtualisatie maakt het mogelijk dat een verzameling resources(hardware) wordt verdeeld door meerdere virtuele servers (applicaties). Ten tweede biedt virtualisatievoordelen op het gebied van beschikbaarheid en het beheer. De virtuele servers (VM’s) kunnennamelijk tussen meerdere fysieke virtualisatieservers worden verplaatst. Hierdoor kan de belastingvan servers eenvoudig worden aangepast en servers kunnen worden verplaatst voor beheerdoeleindenof continuïteitsmanagement. Ten derde zien wij vanuit onze auditwerkzaamheden vaak klanten diehun IT-infrastrucuur uitbesteden. Vaak zijn bedrijven vervolgens aan de IT-dienstverlener tot in delengte van dagen verbonden. Virtualisatie brengt echter een scheiding aan tussen de fysieke(hardware) en logische (applicatie) laag. Hierdoor is een organisatie beter in staat zijn applicaties bijeen andere IT-dienstverlener onder te brengen. Ten slotte is er een trend zichtbaar waarbij naar eenmeer flexibelere organisatie wordt gestreefd. Voorbeelden van dergelijke ontwikkelingen zijn CloudComputing en SAAS. Dergelijk diensten vragen vanwege hun schaalbaarheid en flexibiliteit vaak omeen gevirtualiseerde infrastructuur. Ondanks de voordelen van virtualisatie bestaat er een hoge impactop de bestaande infrastructuur en beheerprocessen.“Virtualization Will Be the Highest-Impact Trendin Infrastructure and Operations Market Through 2012”(Gartner, 2008). Vreemd genoeg lijkt deauditor nog niet helemaal doordrongen van het concept virtualisatie en de impact op de infrastructuuren het beheer. In de praktijk wordt naar onze mening te weinig beoordeeld hoe een organisatie haar ITheeft ingericht en of hierbij gebruik wordt gemaakt van virtualisatie. Binnen dit onderzoek wordt deimpact van virtualisatie op de IT-beheerprocessen geëvalueerd en wordt beoordeeld in hoeverre debestaande beheersmaatregelen als gevolg van virtualisatie moeten worden aangepast. Wij hopen metdeze scriptie het bewustzijn te stimuleren dat virtualisatie specifieke aandacht verdient en bij tedragen aan de opzet van een aanvullend (delta) beheersmaatregelen raamwerk voor eengevirtualiseerde (database)server omgeving. Deze scriptie is geschreven in het kader Postgraduate ITauditOpleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van deVrije Universiteit Amsterdam.Om tot een dergelijk raamwerk te komen, zijn de bestaande kwaliteitsmethodieken beoordeeld opbruikbaarheid om als standaard beheersmaatregelen raamwerk te dienen. Op basis van een inhoudelijkvergelijking van diverse kwaliteitsmethodieken is CobiT als uitgangspunt gehanteerd. Vervolgens iser een selectie gemaakt van de IT-beheerprocessen met een impact op de kwaliteitsaspecten“beschikbaarheid”, “integriteit” en “volledigheid”. De geselecteerde set van IT-beheerprocessen zijninhoudelijk onderzocht op de impact, de risico’s en noodzakelijke beheersmaatregelen voorvirtualisatie. Voor de inventarisatie is gebruik gemaakt van interne als externe virtualisatie experts.Het opgestelde beheersmaatregelen raamwerk is inhoudelijk getoetst bij Deloitte Websolutions.Aanpassingen zijn vervolgens nogmaals met deze partij afgestemd. Wij hebben nieuwebeheersmaatregelen geïdentificeerd voor de CobiT-processen “Manage changes(AI06)”, “Ensurecontinuous service(DS04)”, “Ensure systems security(DS05)” en “Manage data(DS11)”. Het blijkt datdoor de wijziging in de IT-infrastructuur en impact op de IT-beheerprocessen er nieuwebeheersmaatregelen voor deze processen zijn vereist. Voor de CobiT-processen “Assess and manageIT risks(PO09)”, “Manage changes(AI06)”, “Manage performance and capacity(DS03)”, “Ensurecontinuous service(DS04)”, “Ensure systems security(DS05)”, “Manage the configuration(DS09)” en“Manage data(DS11)” zijn ook wijzigingen op beheersmaatregelen geïdentificeerd die niet destrekking van de standaard beheersmaatregel veranderen, maar de diepgang ervan. Er dient nu ookrekening te worden gehouden met de nieuwe virtualisatielaag.Wij zijn van mening dat de aanvulling op het bestaande beheersmaatregelen raamwerk in de vorm vannieuwe en gewijzigde beheersmaatregelen een IT-auditor beter zullen ondersteunen om de beheersingvan een gevirtualiseerde (database)server omgeving te beoordelen.---------------------------------------------------------------------------------------------------------------------------Pagina 1

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 2

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------InhoudsopgaveSamenvatting........................................................................................................................................... 1Inhoudsopgave ........................................................................................................................................ 31. Introductie ...................................................................................................................................... 51.1 Aanleiding ............................................................................................................................. 51.2 Doelstelling ............................................................................................................................ 61.3 Onderzoeksvraag ................................................................................................................... 71.4 Onderzoeksaanpak ................................................................................................................. 72. Virtualisatie .................................................................................................................................... 92.1 Definitie van virtualisatie ...................................................................................................... 92.2 Virtualisatie achtergrond ....................................................................................................... 92.3 Virtualisatie: mogelijke voordelen of pure noodzaak? ........................................................ 102.3.1 Voordelen van server virtualisatie ................................................................................... 102.3.2 Noodzaak voor toekomstige ontwikkeling ...................................................................... 112.3.3 Virtualisatie van de databaseserver ................................................................................. 122.4 Server virtualisatie ............................................................................................................... 132.4.1 Volledige virtualisatie ..................................................................................................... 132.4.2 Paravirtualisatie ............................................................................................................... 132.4.3 Virtualisatie ondersteunende hardware ........................................................................... 132.5 Componenten bij volledige virtualisatie .............................................................................. 142.5.1 Virtualization Layer ........................................................................................................ 142.5.2 Virtual Machines ............................................................................................................. 152.5.3 Service Console ............................................................................................................... 152.5.4 VirtualCenter ................................................................................................................... 152.5.5 Virtual Networking Layer ............................................................................................... 152.5.6 Virtual Storage ................................................................................................................ 152.6 Consequenties voor infrastructuur en beheer ...................................................................... 152.6.1 Consequenties voor het netwerk ..................................................................................... 162.6.2 Consequenties voor de data opslag ................................................................................. 162.6.3 Consequenties voor infrastructuur en gebruikersbeheer ................................................. 173. IT - Audit van een databaseserver omgeving ............................................................................... 193.1 Audit aanpak ........................................................................................................................ 193.1.1 Beschikbaarheid .............................................................................................................. 193.1.2 Integriteit ......................................................................................................................... 203.1.3 Vertrouwelijkheid ........................................................................................................... 203.2 IT- beheersmaatregelraamwerken ....................................................................................... 204. Delta identificatie voor IT-beheerprocessen bij virtualisatie ....................................................... 254.1 Define the information architecture (PO02) ........................................................................ 254.2 Assess and manage IT risks (PO09) .................................................................................... 264.3 Manage changes (AI06)....................................................................................................... 284.4 Manage performance and capacity (DS03) ......................................................................... 324.5 Ensure continuous service (DS04) ...................................................................................... 354.6 Ensure systems security (DS05) .......................................................................................... 394.6.1 Algemeen ........................................................................................................................ 394.6.2 Virtual machine (VM)..................................................................................................... 404.6.3 Service Console ............................................................................................................... 44---------------------------------------------------------------------------------------------------------------------------Pagina 3

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.6.4 VirtualCenter ................................................................................................................... 494.6.5 Virtualization Layer ........................................................................................................ 514.6.6 Virtual Network Layer .................................................................................................... 514.6.7 Virtual Storage ................................................................................................................ 564.7 Manage the configuration (DS09) ....................................................................................... 574.8 Manage data (DS11)............................................................................................................ 604.9 Manage the physical environment (DS12) ......................................................................... 615. Toetsing, analyse en evaluatie ...................................................................................................... 635.1 Toetsing van het geformuleerde IT-beheersmaatregelenraamwerk ..................................... 635.2 Analyse van bevindingen ..................................................................................................... 665.3 Evaluatie onderzoek ............................................................................................................ 675.4 Aanvullend onderzoek ......................................................................................................... 686. Conclusie ...................................................................................................................................... 71Bronnen ................................................................................................................................................. 75Index ..................................................................................................................................................... 79Bijlage 1 Opgesteld Normenkader ........................................................................................................ 81Bijlage 2 CobiT-processen .................................................................................................................. 111Bijlage 3 Geselecteerde CobiT-processen en beheersmaatregelen ..................................................... 113Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen ................................................ 123Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellen .................................................... 125---------------------------------------------------------------------------------------------------------------------------Pagina 4

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------1. IntroductieBinnen dit hoofdstuk zal de aanleiding van dit onderzoek worden beschreven. Daarnaast zal dedoelstelling, centrale onderzoeksvraag en de onderzoeksaanpak worden beschreven.1.1 Aanleiding“Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through2012” (Gartner, 2008)Het vakgebied van een IT-auditor is een gebied dat constant aan (technologische) veranderingenonderhevig is. Een ontwikkeling die zeker een grote impact heeft op het vakgebied van IT-audit isvirtualisatie. Het concept “virtualisatie” is niet nieuw en bestaat al sinds de jaren zestig van de 20 eeeuw voornamelijk binnen de mainframe-omgeving. Echter ook buiten de mainframe-omgeving heeftvirtualisatie zich de laatste jaren sterk ontwikkeld en heeft een volwassen status bereikt. Steeds meerondernemingen maken de stap om hun infrastructuur te virtualiseren of zijn bezig zich hierop teoriënteren. Volgens Gartner(2008) lag het gebruik van virtualisatie in 2007 nog onder de vijf miljoenservers. Naar verwachting zal dit gebruik sterk toenemen tot 660 miljoen in 2011. Virtualisatie wordtgenoemd als de trend met de hoogste impact op de infrastructuur en het beheer voor de periode tot2012 (Gartner, 2008). Het feit dat virtualisatie in steeds hogere mate wordt geaccepteerd blijkt uit detoepassing hiervan voor de IT-infrastructuur door de Olympische Spelen 2010 (Toet, 2010). Ookgrote marktleiders als Amazon.com bieden hosting diensten aan (Amazon EC2) op een vollediggevirtualiseerde omgeving(Amazon, 2010). Dergelijke organisaties kiezen hierbij steeds meer voorvirtualisatie onder andere vanwege de schaalbaarheid en afnemende beheerkosten.Met het toenemen van virtualisatie gebruik, ontstaat bij organisaties ook terecht de vraag welkerisico’s worden geïntroduceerd door het gebruik hiervan. Enerzijds zijn dit nieuwe risico’s als gevolgvan een nieuwe technologie, zoals specifieke virtualisatie-aanvallen. Anderzijds zijn dit de risico’s diesamenhangen met het algemene IT-beheer. Het IT-beheer veranderd door de introductie vanvirtualisatie waarbij een veel flexibelere architectuur ontstaat. Middels een goed uitgewerkteconfiguratie en hierop afgestemde IT-beheerprocessen (bijvoorbeeld afgeleid van ITIL) moet hetomslagpunt kunnen worden bereikt dat het beheer van een virtuele architectuur eenvoudiger is daneen fysieke architectuur. Naast de impact van virtualisatie op de infrastructuur en het IT- beheer biedthet ook vele voordelen. Onder andere op het gebied van flexibiliteit, de mate van gebruik van debeschikbare middelen en de beschikbaarheid van de middelen. Virtualisatie stelt de organisatie beterin staat om de beschikbare middelen volledig in te zetten en snel op technologische ondersteunendeontwikkelingen in te spelen. De voordelen kunnen worden behaald zonder afbreuk te doen aan demate van beheersing, mits de bijkomende risico’s voldoende worden afgedekt middels effectievebeheersmaatregelen in opzet, bestaan en werking.Voorafgaande aan implementatie van virtualisatie vragen organisaties zich af, of alle applicaties enondersteunende systemen wel geschikt zijn om te virtualiseren. Een specifiek voorbeeld van eendergelijk systeem is het database management systeem. Juist de databaseserver is voor een organisatievan onschatbare waarde. Wij zijn van mening dat de voordelen die virtualisatie biedt juist groterworden of mogelijk worden als virtualisatie in zijn uiterste vorm wordt uitgevoerd. Hiermee wordtbedoeld dat de volledige infrastructuur bestaande uit de dataopslag, netwerk, servers (inclusiefdatabaseserver) wordt gevirtualiseerd. De flexibele (gevirtualiseerde componenten) worden danimmers niet afgeremd door de nog statisch (niet gevirtualiseerd) uitgevoerde componenten. Zoverzullen nog niet alle organisaties zijn, maar de specifieke vraagtekens rondom geschiktheid totvirtualisatie, maakt de databaseserver wel een extra interessant object van onderzoek. Dat de marktdeze kant opgaat, blijkt nogmaals uit een voorbeeld van Amazon EC2. Aboulnaga e.a. (2009)beschrijven een voorbeeld waarin virtualisatie volledig wordt omarmd, ook voor databaseservers.Virtualisatie wordt hierbij als eis gezien om de volgende stap van IT-flexibilisering te bereiken. Beterbekent als Cloud Computing.---------------------------------------------------------------------------------------------------------------------------Pagina 5

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Deze scriptie zal niet ingaan op de specifieke risico’s die samenhangen met Cloud Computing, maarhet moge duidelijk zijn dat de introductie van virtualisatie zal leiden tot wijzigingen van hetrisicoprofiel, beheersmaatregelen en audit-aanpak. Er bestaat dus een duidelijke reden om de toolkitvan de IT-auditor te voorzien van informatie over specifieke beheersmaatregelen die de risico’s vanvirtualisatie kunnen afdekken. De auditor zal bewust moeten worden van de nieuwe risico’s die metvirtualisatie worden geïntroduceerd en hoe hiermee om dient worden te gaan.De wereld van virtualisatieproducten is niet uniform. Het is dus niet mogelijk één algemeen raamwerkte ontwikkelen met specifieke beheersmaatregelen die toepasbaar zijn voor elke gevirtualiseerdeomgeving. Naast de product specifieke risico’s, bestaan risico’s voor de unieke situatie waarbinnenvirtualisatie wordt toegepast. Het is wel mogelijk om de huidige set van algemene beheersmaatregelendie binnen een datacenter worden toegepast onder de loep te nemen en te onderzoeken in hoeverrevirtualisatie hier impact op heeft.De beheersmaatregelen die voor een gevirtualiseerde omgeving zullen moeten worden aangepast,vormen een delta. De delta kan worden beschouwd als het verschil tussen het oude raamwerk van eenniet gevirtualiseerde omgeving en het nieuwe raamwerk voor een gevirtualiseerde omgeving. Erwordt bewust gekozen om een delta op te stellen, in tegenstelling tot een compleet nieuw raamwerk.De voornaamste reden hiervoor is eigenlijk al genoemd: Het onderzoek is erop gericht een generiekraamwerk te formuleren met beheersmaatregelen die binnen de verschillende gevirtualiseerdeomgevingen en op basis van verschillende virtualisatieproducten zijn uitgevoerd. . Debeheersmaatregelen zullen voor het uitvoeren van een audit nog verder moeten wordengeconcretiseerd op basis van het gebruikte virtualisatie product en (klant) omgeving.Er wordt niet verwacht dat door het toepassen van virtualisatie, reeds bestaande beheersmaatregelenkomen te vervallen. De oude situatie van een server met hierop draaiende een applicatie die beidenmoeten worden beheerst blijft immers bestaan, hetzij virtueel. Virtualisatie introduceert echter eenextra laag binnen de bestaande IT-architectuur waarvoor nieuwe beheersmaatregelen noodzakelijkzijn en de manier waarop invulling wordt gegeven aan reeds bestaande beheersmaatregelen brederwordt. Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en“vertrouwelijkheid” (ook bekend als ‘BIV’ of ‘CIA’) centraal, aangezien deze drie kwaliteitsaspectenvaak als uitgangspunt worden gehanteerd voor een IT-audit met als doelstelling het toetsen van degenerieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving.1.2 DoelstellingDit onderzoek richt zich op de risico’s die organisaties lopen indien gebruik wordt gemaakt vanvirtualisatie. Op basis van de genoemde kwaliteitaspecten (zie de vorige paragraaf) worden de voordit onderzoek relevante generieke IT-beheerprocessen geselecteerd, op basis van een algemeen erkendraamwerk. Voor de generieke IT-beheerprocessen wordt de impact van virtualisatie geïnventariseerdmet betrekking tot de toegepaste beheersmaatregelen. Vanwege de soms nog bestaande twijfel omdatabaseservers te virtualiseren, zal hierbij specifiek worden gekeken naar de risico’s voor eendatabaseserver omgeving.Het doel is om voor de geïdentificeerde risico’s met betrekking tot virtualisatie van eendatabaseserver, mitigerende beheersmaatregelen te definiëren die uiteindelijk leiden tot een algemeenbeheersmaatregelenraamwerk ten behoeve van gevirtualiseerde databaseservers.Het raamwerk bestaat uit beheersmaatregelen die nodig zijn om de specifieke risico’s van virtualisatieaf te dekken voor de geselecteerde IT-beheerprocessen. Het raamwerk zal niet gedetailleerd ingaan opde algemene beheersmaatregelen die niet wijzigen als gevolg van virtualisatie, maar het beschrijft eendelta tussen de oude en de nieuwe beheersmaatregelen als gevolg van virtualisatie.---------------------------------------------------------------------------------------------------------------------------Pagina 6

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------1.3 OnderzoeksvraagOm een voldoende afdekkend beheersmaatregelenraamwerk te definiëren met specifiekebeheersmaatregelen voor een gevirtualiseerde databaseserver omgeving, zullen een aantalonderzoeksvragen moeten worden beantwoord:Als eerste zal duidelijk moeten zijn wat virtualisatie precies inhoudt en de impact op de infrastructuur.“Wat is virtualisatie en wat is de impact hiervan op de bestaande IT- infrastructuur?”Vervolgens zal de scope van het onderzoek specifiek gericht zijn op de drie kwaliteitsaspecten(‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’) en IT-beheerprocessen. Om dit te bereikenzullen een drietal vragen moeten worden beantwoord.“Welke IT-beheersmaatregelraamwerken zijn geschikt om de relevante IT-beheerprocessen teselecteren?”“Welke IT-beheerprocessen hebben een directe invloed op de kwaliteitsaspecten ‘beschikbaarheid’,‘integriteit’ en ‘vertrouwelijkheid’?“Nadat de IT-beheerprocessen zijn geïdentificeerd welk impact hebben op de drie genoemdekwaliteitsaspecten, zullen de specifieke risico’s van virtualisatie worden onderzocht.“Welke specifieke risico’s zijn te onderkennen binnen de geselecteerde IT-beheerprocessen als gevolgvan virtualisatie van een databaseserver omgeving?”Op basis van de antwoorden op bovenstaande onderzoeksvragen zal een antwoord worden gegeven opde twee hoofdvragen van dit onderzoek, namelijk:“Wat zijn de specifieke risico’s met betrekking tot IT-beheerprocessen in een geautomatiseerdeomgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie en welke mitigerendebeheersmaatregelen kunnen hiervoor worden gedefinieerd en gemodelleerd in een generiek ITbeheersmaatregelraamwerk?”1.4 OnderzoeksaanpakIn de eerste plaats zal er een theoretisch kader worden gevormd door middel van literatuurstudie.Deze literatuurstudie richt zich op bestaande kennis en informatie op het gebied van ITbeheerprocessen,gerelateerde beheersmaatregelen, virtualisatie en specifieke risico’s van virtualisatieop databaseservers.Aan de hand van de verkregen informatie zal het onderzoeksobject (gevirtualiseerde databaseserveromgeving) worden beschreven. Op basis van eigen ervaring binnen het auditvak, geraadpleegdeliteratuur en gesprekken met inhoudelijke deskundigen zal er een afbakening worden gemaakt vanrelevante IT-beheerprocessen.Vervolgens zullen aanvullende literatuurstudie, interviews en andere kennisbronnen wordengeraadpleegd om specifieke risico’s met betrekking tot een gevirtualiseerde databaseserver omgevingte identificeren. Voor de geïdentificeerde risico’s worden de noodzakelijke beheersmaatregelengeïdentificeerd en geformuleerd. Aangezien VMware marktleider is op het gebied van virtualisatie,hanteren wij het VMware platform (ESX) als voornaamste referentiekader. De beheersmaatregelenzullen echter algemeen worden geformuleerd zodat ze voor alle virtualisatieproducten toepasbaar zijn.De nieuwe set van beheersmaatregelen vormen een delta. De delta geeft een overzicht vanaanvullende of gewijzigde beheersmaatregelen als gevolg van het virtualiseren van het audit-object.Hierbij zal geen uitspraak worden gedaan of het beheer van de omgeving makkelijker of moeilijker---------------------------------------------------------------------------------------------------------------------------Pagina 7

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------wordt. Bij het definiëren van de beheersmaatregelen voor een gevirtualiseerde databaseserveromgeving zal zoveel mogelijk gebruik gemaakt worden van de beschikbare wetenschappelijkeliteratuur, bestaande raamwerken en methodieken (best practices). Daarnaast is gebruik gemaakt vanvirtualisatiedeskundigen om de geïdentificeerde set van beheersmaatregelen op juistheid te verifiëren.Hierbij zijn mogelijke suggesties geopperd voor het opnemen van additionele beheersmaatregelen. Ditheeft tot aanvullende informatie en theoretisch onderzoek geleid om nog eventueel ontbrekendebeheersmaatregelen te identificeren.Toetsing van de geïdentificeerde set van risico’s en hiervoor geformuleerde beheersmaatregelen vindtplaats bij ‘Deloitte Websolutions’. Er is specifiek voor ‘Deloitte Websolutions’ gekozen omdat zijdatabaseserver virtualisatie toepassen voor Microsoft SQL Server 2005. Het merendeel van grotereorganisaties heeft nog niet de database omgeving gevirtualiseerd of maakt gebruik van mainframetoepassingen. Op basis van onze kennis en ervaring is vastgesteld dat bij kleinere organisatiesdatabase virtualisatie succesvol wordt toegepast, echter dit is niet representatief voor een dataintensieve toepassing en/of infrastructuur. De specifieke details van de praktijktoets zijn ter validatiebesproken tijdens verschillende afspraken met medewerkers van ‘Deloitte Websolutions’. Eenvoordeel van ‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken kondenworden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen.Vaak is een volledig externe organisatie terughoudend om dergelijke informatie met anderen te delenaangezien dit potentiële zwaktes in (de beheersing van) de geautomatiseerde omgeving identificeert.Mogelijk misbruik van deze informatie kan verstrekkende (financiële) gevolgen met zichmeebrengen.De door ‘Deloitte Websolutions’ aangedragen (vertrouwelijke) informatie heeft bijgedragen om derelevantie van geformuleerde beheersmaatregelen te verifiëren. Verder zijn eventueel additionelerisico’s en benodigde beheersmaatregelen aangedragen. Op deze wijze is de volledigheid van hettotaal van beheersmaatregelen vastgesteld. De wijze waarop de geformuleerde beheersmaatregelenmoeten worden vastgesteld (audit) is daar waar nodig besproken. Voor beheersmaatregelen waarvooronvoldoende kennis van de materie bestond om dit in praktijk vast te kunnen stellen, is aanvullendeinformatie ontvangen en inhoudelijk besproken. Op deze wijze is de bruikbaarheid van geformuleerdebeheersmaatregelen geverifieerd. Aangezien de door ‘Deloitte Websolutions’ verstrekte informatievertrouwelijk dient te worden behandeld, is er geen inhoudelijke informatie van configuratie enverificatie opgenomen. De praktijktoetsing bestaat uit een set van meerdere interviews met architectenen management van ‘Deloitte Websolutions’. Een beschrijving van ‘Deloitte Websolutions’ isopgenomen in bijlage 4.De uitkomsten van de praktijk toetsing heeft tot aanpassingen van de geformuleerde ITbeheersmaatregelengeleid. De totale set van geformuleerde IT-beheersmaatregelen en de impact ophet IT-beheerproces zijn geëvalueerd en gecategoriseerd. De specifieke risico’s en noodzakelijke ITbeheersmaatregelenmet betrekking tot de IT-beheerprocessen in een geautomatiseerde omgevingwaarin gebruik wordt gemaakt van databaseserver virtualisatie zijn op hoofdlijnen nogmaals metDeloitte Websolutions afgestemd om te verifiëren dat alle wijzigingen correct zijn doorgevoerd.---------------------------------------------------------------------------------------------------------------------------Pagina 8

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------2. Virtualisatie“[Virtualization is] really best thought of as shorthand for separating hardware and softwareand thereby achieving all kinds of goodness (Romano, 2008)."2.1 Definitie van virtualisatieWat is virtualisatie? De definitie van “virtueel” is volgens de Van Dale “slechts schijnbaar bestaand”.Deze definitie is nog niet concreet. In het jaarlijkse “hype cycle report” dat Gartner elk jaar publiceerten waarin de grootste trends van het aanstaande jaar worden beschreven, wordt virtualisatiegedefinieerd als:”Virtualization is the process of decoupling layers of IT function so the configuration of thelayers becomes more independent of each other(Gartner, 2008).”Deze omschrijving is nog breed qua definitie, maar raakt wel de essentie van virtualisatie namelijk“het loskoppelen van lagen”. De definitie richt zich niet op welke lagen van elkaar losgekoppeldworden. Singh geeft een definitie van virtualisatie waarbij een scheiding tussen de fysieke (resourcesof a computer) en logische laag (multiple execution environments) wordt gemaakt:"a framework or methodology of dividing the resources of a computer into multiple executionenvironments, by applying one or more concepts or technologies such as hardware andsoftware partitioning, time-sharing, partial or complete machine simulation, emulation,quality of service, and many others (Singh, 2004).”De definitie van Singh hanteert de aanname dat virtualisatie altijd een één op veel relatieverondersteld. Uit het gebruik van het begrip virtualisatie in de praktijk blijkt echter dat virtualisatieniet altijd een één op veel relatie hoeft te representeren. Op het vlak van grid-computing, loadbalancing en opslag wordt virtualisatie bijvoorbeeld vaker gebruikt om aan te duiden dat meerdereinstanties zich als één (virtuele) instantie aanbieden (lees: een aantal verspreide databases worden alséén database instantie weergegeven). Naar onze mening gaat virtualisatie, lees definitie van Gartner,puur over het loskoppelen van de lagen. Dit betekent het creëren van een virtuele weergave vantoebedeelde resources, gebruikmakende van een onderliggende infrastructuur. Wij gebruiken enondersteunen daarom de definitie zoals deze wordt gegeven door (Klaver, 2008).“Virtualization is a technology that combines or divides IT hardware resources in logicalobjects by acting as an interface between the IT hardware resources and software. Itabstracts the software from the underlying hardware (Klaver, 2008).”2.2 Virtualisatie achtergrondHoewel de huidige virtualisatie hype anders doet vermoeden, is virtualisatie niet een nieuwetechnologie. Het gebruik van virtualisatie is ontstaan in de mainframeomgeving. In de zestiger jarenvan de vorige eeuw hadden de mainframes van IBM al de mogelijkheid om virtuele machines tecreëren. Na het mainframe werd virtualisatie geïntroduceerd binnen de midrange oplossingen voorHP-UX, AIX en Solaris. Hierbij moet vooral aan partitioneringstechnieken worden gedacht.De huidige hype richt zich niet op de vormen van virtualisatie die al jaren op de markt bestaan en nogsteeds worden toegepast. Als er tegenwoordig over virtualisatie wordt gesproken, wordt meestal devirtualisatie van x86 servers bedoeld. Eind jaren negentig werd het door VMware mogelijk gemaaktom ook Intel / AMD x86 machines van een virtualisatielaag te voorzien. Tot de x86-platformenbehoren onder andere de gebruikelijke Windows- en Linux-servers. In eerste instantie werd x86virtualisatie toegepast om ontwikkel en testomgevingen geïsoleerd aan te bieden, gebruikmakend vanslechts één fysieke machine. De x86 virtualisatie heeft zich echter in een snel tempo ontwikkeld en---------------------------------------------------------------------------------------------------------------------------Pagina 9

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------wordt vandaag de dag in steeds hogere mate ingezet voor de consolidatie van productiesystemen(Chen & Bozman, 2009). Consolidatie is binnen het virtualisatie jargon een term waarmee wordtaangeduid dat meerdere systemen worden samengevoegd en gezamenlijk draaien op één fysiekemachine. Naast consolidatie bestaat er een groeiende beweging om virtualisatie in te zetten voor hetverkrijgen van een hogere beschikbaarheid, vereenvoudiging van disaster recovery en resourceoptimalisatie (utilisation).2.3 Virtualisatie: mogelijke voordelen of pure noodzaak?Volgens sommige biedt virtualisatie voordelen voor specifieke doelgroepen en anderen zienvirtualisatie als pure noodzaak. In deze paragraaf zullen de veronderstelde voordelen kort wordenbeschreven. Ook wordt een trend beschreven die virtualisatie als noodzakelijke ontwikkelingbeschouwd. Er zal kort worden ingegaan op de ontwikkeling van databaseservers binnen hetgedachtegoed van virtualisatie.2.3.1 Voordelen van server virtualisatieDe argumenten om over te stappen op virtualisatie zijn legio In deze paragraaf worden enkelehoofdargumenten belicht (Pike & Engstrom, 2006) (Golden, 2008)(Geuze & van teeffelen, 2009 )(Szabolcs, 2009) (Montero, 2009) (VMware, 2006b).• Vereenvoudigen van het beheer;• Kosten;• Beschikbaarheid.Vereenvoudigen van het beheerServer virtualisatie brengt een scheiding aan tussen de hardware en software. Hierdoor kan het beheerop een aantal punten worden vereenvoudigd:• Het toevoegen van een nieuwe server heeft zich vertaald van fysieke handelingen naar eenadministratieve handeling. Een nieuwe server kan hierdoor zeer eenvoudig worden opgetuigd.• De fysieke omgeving wordt overzichtelijker wat betreft het aantal serverkasten, switches,stoom- en netwerkkabels.• Door virtualisatie wordt het mogelijk een logische server te verplaatsen naar een anderefysieke server, zodat er hardwarematig onderhoud aan de fysieke server kan plaatsvinden.Een logische server hoeft niet meer uitgezet te worden, waardoor onderhoud gedurende dedag mogelijk is.KostenVirtualisatie heeft een grote impact op de kosten voor de IT-infrastructuur:• Hardware and Software: In een niet gevirtualiseerde wilt men voorkomen dat applicatieselkaar negatief beïnvloeden. Hierom wordt veelal voor elke applicatie een aparte fysiekeserver gebruikt. Dit leidt vaak tot een lage utilisatie (bezettingsgraad) van een groot aantalfysieke servers. In veel datacentra draaien servers die slechts 10% van hun totale capaciteitgebruiken. Door het toepassen van virtualisatie kan het aantal fysiek benodigde systemenworden teruggebracht. Hierbij kan een hogere utilisatie van de beschikbare hardware wordenbehaald. Meerdere virtuele servers die elk geïsoleerd worden uitgevoerd, maken gezamenlijkgebruik van de beschikbare resources• IT Operations: De vereenvoudiging in beheeractiviteiten zorgt ervoor dat debeheeractiviteiten door een stuk minder beheerders kunnen worden uitgevoerd. Hierbij kanechter de kanttekening gemaakt worden dat er een nieuwe laag wordt geïntroduceerd endaarmee een nieuw soort kennis is vereist.BeschikbaarheidMet de introductie van virtualisatie bestaan nieuwe mogelijkheden die de beschikbaarheid vanprocessen kunnen verhogen.• Een verstoring is beperkt tot het restoren van een logische server, waardoor er veel minder tijdnodig is om een herstart uit te voeren.---------------------------------------------------------------------------------------------------------------------------Pagina 10

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------• Er bestaan mogelijkheden om processen van de ene fysieke server te verplaatsen naar eenandere server (Vmotion).• Virtualisatie biedt mogelijkheden om tijdelijke pieken van resource consumptie op te vangendoor de VM’s toe te bedelen aan servers met meer beschikbare capaciteit.• Logische servers kunnen gemakkelijk worden opgestart voor het moment dat dit gewenst is.Denk bijvoorbeeld aan een back-up server die uitsluitend actief is op het moment dat hetback-up window geldt (moment waarop back-ups worden gemaakt).• Virtualisatie introduceert nieuwe mogelijkheden op het gebied van back-up en recovery (zoalshet maken van snapshots van de complete server) en Disaster recovery implementaties (hetautomatisch overzetten / opstarten van logische servers).2.3.2 Noodzaak voor toekomstige ontwikkelingVandaag de dag worden er steeds hogere eisen aan de IT-infrastructuur gesteld. Organisaties ervarensteeds vaker dat organisatorische ontwikkelingen worden tegenhouden door mogelijkheden van debestaande IT-infrastructuur. Organisaties zijn doorlopend op zoek naar kostenreducties, grotere matevan flexibiliteit en efficiëntie van de geautomatiseerde omgeving. Consequentie voor de ITorganisatieis een volle agenda met zeer uitdagende initiatieven, terwijl er minder resources(personeel, budget en IT hulpmiddelen) beschikbaar zijn. In de jaren tachtig bestond vooral aandachtvoor de stabiliteit en betrouwbaarheid van gegevensverwerking. In de jaren negentig werd hieraan defocus op snelheid, efficiëntie en 24x7 beschikbaarheid toegevoegd. In de 20ste eeuw is hier eennieuwe ontwikkeling aan toegevoegd namelijk flexibiliteit (Chen & Bozman, 2009). Binnen deliteratuur wordt voor deze zoektocht naar flexibiliteit in de IT-infrastructuur diverse kretengehanteerd. Er zijn diverse raamwerken ontwikkeld, die een beheerste ontwikkeling moetenbegeleiden. Door HP wordt de term “Adaptive Enterprise” gebruikt (HP, 2009), IBM spreekt over de“dynamic infrastruture” (IBM, 2009) en Dell over de scalable enterprise (Pike & Engstrom, 2006).Binnen de verschillende initiatieven staan enkele kernbegrippen centraal (HP,2006):• Simplificatie, een simpele opzet vermindert de complexiteit en verlaagt risico’s terwijl hetbedrijven in staat stelt sneller en gemakkelijker veranderingen door te voeren.• Standaardisatie, vermindert eveneens complexiteit en maakt het eenvoudiger omverandering door te voeren evenals de kosten en risico’s gerelateerd aan veranderingen enhet algehele beheer van geautomatiseerde omgevingen zoveel mogelijk te beperken.• Integratie, essentieel om wendbaarheid en flexibiliteit te creëren.• Modulair, logische of fysieke modules die op verzoek kunnen worden gebruikt.Door deze ontwerp principes toe te passen op de gehele IT-infrastructuur ontstaan autonomepuzzelstukken die eenvoudig gecombineerd kunnen worden. Met deze filosofie ontstaat een omgevingwaarmee de geautomatiseerde omgeving van een organisatie relatief snel en eenvoudig aanpasbaar isaan de organisatorische wensen en eisen. In de literatuur wordt gesproken over een “agile”(wendbare) organisatie die over de kwaliteit beschikt om zich snel aan veranderende omstandighedenen vragen aan te passen. Virtualisatie van de IT-infrastructuur wordt door de raamwerken van HP,IBM en Dell als een fundamenteel uitgangspunt beschouwd om aan de eigenschappen van een agileorganisatie te voldoen. Virtualisatie biedt een organisatie de mogelijkheid om snel op uitdagingen enkansen te reageren. IT wordt hierbij steeds meer als een standaard dienst beschouwd die naar behoeftkan worden afgenomen. De IT-infrastructuur kan zich hierbij naadloos aanpassen aan deveranderende wensen van de business (schaalbaarheid) en biedt de organisatie nieuwe mogelijkhedenvoor haar dienstverlening. Of beter gezegd ondersteunt het een organisatie om nieuwe mogelijkhedente implementeren, waarbij de organisatie niet wordt afgeremd door de eigenschappen van degeïmplementeerde infrastructuur. Deze ontwikkeling wordt door de eerder genoemde raamwerken vanonder andere HP, IBM en Dell onderkend en veelal weergeven in een zogenaamd groeimodel. Hierbijwordt gestreefd naar de uiterste vorm van flexibiliteit (Pike & Engstrom, 2006).---------------------------------------------------------------------------------------------------------------------------Pagina 11

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Figuur 1 Roadmap to a business ready infrastructure (HP, 2009)2.3.3 Virtualisatie van de databaseserverServers zijn steeds beter in staat om processor, geheugen en I/O prestaties te optimaliseren. Inmiddelsworden ook organisatie kritische systemen in steeds hogere aantallen gevirtualiseerd (Chen &Bozman, 2009) (Muirhead, 2006). Traditioneel werd verondersteld dat sommige processen, zoalsdatabaseservers, niet effectief zouden kunnen worden gevirtualiseerd. Deze gedachtelijn houdt echteronvoldoende rekening met het feit dat tussen het virtualiseren van verschillende soorten applicaties,grote verschillen bestaan. Als specifiek wordt gekeken naar databaseserver virtualisatie, dan verschiltde omvang en performance eisen die aan een afzonderlijke database worden gesteld aanzienlijk.Server processen worden gekarakteriseerd door opslag, verwerkingscapaciteit o.a. bestaande uit debeschikbare processor en netwerkcapaciteit, en het beschikbare geheugen. Het zijn deze kenmerkendie bepalend zijn of een proces geschikt is voor virtualisatie, niet het type proces (AMD, 2008). Alsmeerdere en verschillende type processen binnen een organisatie worden uitgevoerd op dezelfdehardware, is de som van deze verschillende processen draaiende op dezelfde server bepalend voor hetsucces of falen van server virtualisatie. Toekomstige ontwikkelingen voor de virtualisatie van zwareprocessen richten zich voornamelijk in het optimaliseren van de I/O prestaties en het benutten vanresources. Voorbeeld hiervan is het onderzoek van de Universiteit van Waterloo, waarbij wordtgezocht naar mechanismen voor automatische resource verdeling van meerdere gevirtualiseerdedatabase processen (Soror e.a., 2007).Ondanks het (gedeeltelijk) wegnemen van het pijnpunt “performance”, zijn de voordelen om eendatabaseserver te virtualiseren niet altijd zichtbaar. Een databaseserver heeft namelijk vaak al een vrijhoge bezettingsgraad. De voordelen liggen hier veel meer op het vlak van de complete infrastructuur.Door databaseservers niet te virtualiseren, wordt een organisatie met twee verschillendeinfrastructuren geconfronteerd. Dit beperkt de mogelijkheden van het gevirtualiseerde deel van deinfrastructuur en reduceert het mogelijke voordeel wat betreft beheerkosten, consolidatie e.d. De besteresultaten met behulp van virtualisatie worden behaald indien alle belangrijke onderdelen van deinfrastructuur zijn gevirtualiseerd (IBM, 2009). Infrastructuur objecten krijgen een hogere mate vanschaalbaarheid en kunnen de business bij wijzigende omstandigheden blijven dienen.Met het wegnemen van bottlenecks omtrent databaseserver virtualisatie, lijkt niets een vergaandevirtualisatie van de infrastructuur meer in de weg te staan. Of bedrijven die voor virtualisatie kiezenook geneigd zijn om hun gehele infrastructuur te virtualiseren en zich willen ontwikkelen tot de‘adaptive enterprise’ zal de komende tijd duidelijk moeten worden. Een ander trend waarbij eenverregaande vorm van databaseserver virtualisatie wordt vereist is Cloud Computing. CloudComputing is de meest extreme vorm van een “adaptive infrastructure” waarbij ook externe dienstenworden afgenomen (IBM, 2009).---------------------------------------------------------------------------------------------------------------------------Pagina 12

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------2.4 Server virtualisatieBinnen een niet gevirtualiseerde omgeving bestaat er een één op één relatie tussen hetbesturingssysteem en de hardware. Alle fysieke componenten staan tot beschikking van hetbesturingssysteem en worden zo efficiënt mogelijk ingezet ten behoeve van de applicatie door hetspecifieke besturingssysteem.Bij server virtualisatie worden de beschikbare resources (processor, geheugen, harde schijf e.d.)verdeeld over de virtuele machines die op één fysieke server staan geïnstalleerd. Met virtualisatiewordt het dus mogelijk om meerdere virtuele machines met elk hun eigen type besturingssysteem(Windows, Unix, Linux, etc.) en toepassingen (applicaties en databases) naast elkaar te laten draaienen gebruik te laten maken van de componenten waarover de fysieke infrastructuur beschikt. Binnendeze scriptie wordt uitsluitend aandacht besteed aan virtualisatie van de x86 omgeving.Binnen een niet gevirtualiseerde omgeving wordt het gemeenschappelijk gebruik van een computerdoor meerdere applicaties afgeraden omdat applicaties elkaar negatief kunnen beïnvloeden. Hierdoorblijft veel capaciteit van de hardware ongebruikt. Met server virtualisatie wordt deze spagaat tussencapaciteit optimalisatie en scheiding tussen applicaties opgelost, omdat alle gevirtualiseerdeomgevingen volledig geïsoleerd van elkaar opereren. Elke virtuele uitgevoerde omgeving reserveerten krijgt een deel van de beschikbare capaciteit toegewezen.2.4.1 Volledige virtualisatieDe meest toegepast vorm van server virtualisatie is volledige virtualisatie. Zoals de naam al doetvermoeden is volledige virtualisatie ontwikkeld om volledige loskoppeling te bieden tussen dehardware en logische laag. Een bepaald type besturingssysteem wordt in een virtual machine (VM)geïnstalleerd waarbij alle onderliggende hardware wordt nagebootst (gevirtualiseerd). Hiervoor zijngeen modificaties aan het besturingssysteem vereist. Het virtueel draaiende besturingssysteem isvolledig geïsoleerd van andere VM’s en merkt niet dat het in een virtuele omgeving wordt uitgevoerd.Het besturingssysteem kan zonder problemen draaien als zijnde op een fysieke server. Door devolledige loskoppeling tussen besturingssysteem en hardware, kunnen virtual machines van de enenaar de andere server worden verplaatst met verschillende hardware configuraties zonder dat ditproblemen oplevert (mits hardware natuurlijk wordt ondersteund) en juist wordt geconfigureerd in devirtual machine beheersapplicatie). Deze technologie biedt voordelen qua gebruiksgemak. Negatieveaspecten van deze aanpak hebben betrekking op de tussenlaag (extra laag tussen hardware en hetbesturingssysteem). Door de volledige loskoppeling tussen hardware en besturingssysteem moetenalle verzoeken voor virtuele resources worden vertaald en worden doorgezet naar de onderliggendehardware. Dit heeft tot gevolg dat indien er veel vertaalslagen worden gemaakt dit consequenties heeftvoor de performance van de VM.2.4.2 ParavirtualisatieBij paravirtualisatie dient het besturingssysteem dat in de virtual machine wordt gedraaid te wordenaangepast met een zogenaamde Application Programming Interface (API). Het besturingssysteemweet dus dat het in een virtuele omgeving wordt uitgevoerd. Met behulp van de API kan rechtstreeksof via een minimale tussenlaag met de hardware worden gecommuniceerd. Hierbij vindt geenvertaalslag plaats tussen hardware en besturingssysteem zoals bij volledige virtualisatie het geval is.Hierdoor kan paravirtualisatie performance winst bewerkstelligen. Maar ook deze vorm vanvirtualisatie heeft een keerzijde. Het besturingssysteem zal moeten worden aangepast, wat hogerisico’s introduceert.2.4.3 Virtualisatie ondersteunende hardwareDe laatste vorm van virtualisatie die sterk in opkomst is, maar nog in de kinderschoenen staat, ishardware ondersteunende virtualisatie. Deze vorm van virtualisatie biedt niet een volledige oplossingmaar ondersteunende functionaliteit. Hierbij nemen hardware componenten een aantal virtualisatietaken over, welk niet meer door de virtualisatielaag hoeven te worden uitgevoerd (geen vertalingtussen besturingssysteem en resources vereist). Intel en AMD hebben in 2006 de eerste generatie vanvirtualisatie ondersteunende hardware geïntroduceerd. Deze vorm van virtualisatie sloot nog niet goed---------------------------------------------------------------------------------------------------------------------------Pagina 13

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------aan op de beschikbare virtualisatiesoftware en leverde daarom voor bepaalde typen processen eenlagere performance (Adams & Agesen, 2006). Tegenwoordig is er een tweede generatie virtualisatieondersteunende hardware beschikbaar gekomen. Deze tweede generatie biedt een betere aansluitingop bestaande virtualisatiesoftware en derhalve verbeterde performance (Bhatia, 2009). Dehedendaagse ontwikkelingen op het gebied van hardware ondersteunende virtualisatie kunnen eenbelangrijke bijdrage gaan leveren om bestaande performance bottlenecks weg te nemen en een goedeaanvulling te vormen voor softwarematige virtualisatie.2.5 Componenten bij volledige virtualisatieBinnen deze scriptie zal uitsluitend aandacht worden besteed aan volledige virtualisatie. Wanneerwordt gekeken naar de beschikbare producten en leveranciers, dan is VMware verreweg de meestbekende. VMware levert het product VMware ESX server en zal kort nader worden besproken.Hoewel het doel van dit onderzoek erop gericht is een generiek raamwerk op te leveren voor eengevirtualiseerde databaseserver omgeving, zal het product van VMware als leidraad wordengehanteerd. De geformuleerde beheersmaatregelen zijn van toepassing op de meeste virtualisatieoplossingen en kunnen daardoor als leverancier onafhankelijk worden beschouwd. De VMwareinfrastructuur bestaat uit de volgende componenten, dit wordt ook op onderstaande afbeeldingweergegeven (VMware, 2006a)(Jolliffe, 2007):• Virtualization Layer;• Virtual Machines;• Service Console;• VirtualCenter;• Virtual Networking Layer;• Virtual Storage.Figuur 2 VMware ESX Server architectuur (Jolliffe, 2007)2.5.1 Virtualization LayerDe VMware ESX server presenteert een gevirtualiseerd platform waarin de vier hardwarecomponenten worden gevirtualiseerd: processor, geheugen, schijfruimte en netwerk. De VirtualizationLayer is de tussenlaag van de ESX server die speciaal door VMware is ontwikkeld om VM’s tedraaien. Binnen de Virtualization Layer worden resources gevirtualiseerd aangeboden, verdeeld overmeerdere VM’s. De Virtualization Layer is volledig gericht op het bieden van een geïsoleerdeomgeving voor meerdere VM’s.---------------------------------------------------------------------------------------------------------------------------Pagina 14

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------2.5.2 Virtual MachinesVirtual Machines (VM’s) zijn zogenaamde afgeschermde containers, waarbinnen verschillende typebesturingssystemen kunnen worden geïnstalleerd en waarop applicaties en databases wordenuitgevoerd. De werking verschilt niet wezenlijk van een fysieke server met daarop geïnstalleerdeapplicaties. De instructies van het besturingssysteem worden echter niet meer direct door de hardwareuitgevoerd, maar moeten eerst door de virtualisatielaag worden vertaald naar begrijpbare operaties.De verschillende VM’s zijn van elkaar afgeschermd, maar delen gemeenschappelijke (fysieke)hardware.2.5.3 Service ConsoleZoals in bovenstaande afbeelding is weergegeven kan de ESX server worden aangesproken middelsde zogenaamde Service Console. Alle beheertaken voor de ESX server worden middels de ServiceConsole uitgevoerd. Deze taken bestaat uit het configureren van opslag, instellingen van VM’s tot aanhet inrichten van virtuele netwerken. De Service Console biedt daarmee een beheerfunctionaliteit vanhet ESX server, terwijl VMM beheerfunctionaliteit van een afzonderlijke VM levert.2.5.4 VirtualCenterVirtualCenter is het VMware beheerproduct dat kan worden gebruikt voor het beheren van één ofmeerdere ESX Servers Zodra twee of meer ESX Servers worden gebruikt loont het beslist de moeiteom VirtualCenter te gebruiken. VirtualCenter biedt namelijk een centrale beheerconsole waarmee alleESX servers en VM’s kunnen worden beheerd. Binnen VirtualCenter wordt ook specifiekevirtualisatiefunctionaliteit aangeboden zoals Vmotion. Met deze functionaliteit kan een draaiende VMworden verplaatst van de ene, naar een andere fysieke machine (beide ESX servers). Vmotion maakthet dus mogelijk om een VM zonder downtime te verplaatsen.2.5.5 Virtual Networking LayerDe Virtual Network Layer bestaat uit virtuele switches en adapters. Met behulp van deze virtueleresources maken VM’s connectie met de rest van het virtuele en fysieke netwerk. De netwerk laagwordt gebruikt om communicatie tussen VM’s onderling en gebruikers mogelijk te maken. Daarnaastwordt deze laag ook gebruik voor communicatie met externe opslag media, zoals SAN en NAS.2.5.6 Virtual StorageEen VM is hardware onafhankelijk en transporteerbaar over servers, dit biedt flexibiliteit van de ITinfrastructuur.Om dit mogelijk te maken is er echter behoefte aan een flexibele wijze van opslag. Ditvraagt om een centrale opslag van VM’s. Een mogelijke implementatie variant biedt VMware met eenspeciaal ontwikkeld opslag systeem. Hierbij hebben meerdere ESX servers tegelijkertijd toegang totde opslag van VM’s. Dit systeem zorgt er dus voor dat de harddisk van een VM toegankelijk blijft,indien de VM wordt verplaatst.2.6 Consequenties voor infrastructuur en beheerDe invoering van server virtualisatie heeft een grote impact op de IT-infrastructuur. Er worden nieuweelementen geïntroduceerd die moeten worden geïmplementeerd en beheerst. De impact blijft echterniet beperkt tot de (database)server die wordt gevirtualiseerd, maar raakt ook direct de configuratievan elementen waar mogelijk niet direct aan wordt gedacht, zoals het netwerk en gegevensopslag.Ontwikkelingen binnen hedendaagse virtualisatie producten tonen aan dat functionaliteit voornetwerkvirtualisatie en opslagvirtualisatie steeds meer geïntegreerd wordt aangeboden als onderdeelvan servervirtualisatie (Veldhuis & Turk, 2008) (HP, 2006). Deze onderwerpen zullen kort naderworden beschreven. Aanvullend zal in dit hoofdstuk kort de impact op de nieuwe IT-infrastructuur enuser management inhoudelijk worden beschreven. Met de introductie van virtualisatiecomponentenontstaan namelijk nieuwe toegangspaden die moeten worden beheerst. Hiermee wordt nietgesuggereerd dat de impact op andere beheerprocessen minder groot is, maar het is van belang eenduidelijk beeld te hebben van de componenten die binnen een gevirtualiseerde omgeving zijn teonderkennen. Deze kennis is essentieel om de impact op andere beheersmaatregelen zoalswijzigingenbeheer te begrijpen.---------------------------------------------------------------------------------------------------------------------------Pagina 15

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------2.6.1 Consequenties voor het netwerkVirtualisatie biedt nieuwe mogelijkheden op het gebied van netwerkconfiguratie. Er bestaan legiomogelijkheden om hier invulling aan te geven, variërend van server virtualisatie met een fysiekingeregeld netwerk tot aan een volledig gevirtualiseerd platform waarbij merendeel van fysiekenetwerk componenten zijn vervangen door virtuele oplossingen.Indien er gebruik wordt gemaakt van server virtualisatie zal er vrij snel behoefte ontstaan om bepaaldevirtuele servers van elkaar te scheiden (Veldhuis & Turk, 2008). Belangrijkste reden hiervoor is datverschillende VM’s over een ander classificatie niveau ten aanzien van onder andere dekwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit beschikken. Hiermee wordtgedoeld op de afwijkende eisen die voor verschillende VM’s gelden. Zo zullen er andere eisen aaneen ontwikkel VM ten opzichte van een productie VM worden gesteld bijvoorbeeld ten aanzien vanbeveiliging. Het virtueel scheiden van dergelijke servers (lees VM) middels vLAN’s (Virtueel LAN)is dan een veel gebruikte oplossing (NSA, 2008). Met virtuele netwerken kan een netwerk inmeerdere logische geïsoleerde netwerken worden verdeeld, elk met hun eigen karakteristieken op hetgebied van routing, switching, beleid, quality of services (QOS), brandbreedte, beveiliging e.d.Dergelijke logische partities kunnen ingericht worden voor de doelgroep die moet wordenondersteund, zoals de afdeling inkoop, verkoop, consultants e.d. Netwerk virtualisatie biedt daarmeemogelijkheden om hun resources af te schermen, aan eisen uit regelgeving te voldoen en deinfrastructuur te consolideren. Het inrichten van vLAN’s en het koppelen met de fysieke switchvereist een duidelijke visie op de elementen die bij elkaar horen of juist gescheiden moeten blijven.Binnen een gevirtualiseerd netwerk zijn diverse typen netwerkverkeer te onderkennen, zoals eengescheiden beheer en productie netwerk. Deze verschillende vormen van netwerkverkeer dienen elkhun eigen doel en moeten afhankelijk van hun impact op andere componenten van elkaar wordengescheiden (NSA, 2008). Virtuele netwerken bieden een hoge mate van flexibiliteit, maar vereist ookeen gestructureerde aanpak. Het ongecontroleerd gebruiken van vLAN’s kan ertoe leiden datbijvoorbeeld een databaseserver VM aan dezelfde netwerk zone wordt gekoppeld als de DMZ, metmogelijk dataverlies tot gevolg.Hoewel het virtualiseren van een netwerk veel mogelijke voordelen biedt, bestaan er ook nadelen. Hetvirtualiseren van netwerken gebeurt softwarematig en daardoor ontstaat er enige vertraging. Dezesoftware vertraging raakt voornamelijk de performance van het netwerk en opslag (DAS, IP SAN, FCSAN, NAS) (Chen & Bozman, 2009). Daarnaast verloopt binnen een gevirtualiseerde omgeving allenetwerkverkeer van meerdere VM’s over één fysieke netwerkverbinding. Indien een groot aantalVM’s op één fysieke server zijn geïnstalleerd kan netwerkcongestie ontstaan op de fysiekenetwerkpoort van de fysieke server (opstopping). Hiervoor dienen maatregelen genomen te wordendie dergelijke verstoringen voorkomen. Als voorbeeld wordt ‘trunking’ aangedragen, waarbij decapaciteit van meerdere fysieke netwerkkaarten wordt gebundeld tot één logische netwerk kaart. Juistdatabaseservers kenmerken zich door grote hoeveelheden data die over het netwerk worden verstuurd.Afhankelijk van de gekozen configuratie heeft dit impact op de beschikbare capaciteit en performancevan het netwerk en daarmee op andere VM’s.2.6.2 Consequenties voor de data opslagEen andere zeer breed toegepaste vorm van virtualisatie vinden we terug bij opslag (‘storage’). Dezevorm van virtualisatie richt zich in de praktijk op consolidatie (Morgan, 2006). Er komen de laatstejaren steeds meer intelligente systemen op de markt voor centrale opslag van gegevens. Dezezogenaamde storage systemen kunnen aangesloten worden op een snel netwerk. Ze staan bekendonder de termen SAN (Storage Area Network) en NAS (Network Area Storage). Deze systemenleggen de basis voor storage virtualisatie. De data wordt zodanig opgeslagen dat VM’s kunnenworden getransporteerd van de ene naar de andere server en gebruik kunnen blijven maken van decentraal opgeslagen data. Ofwel, er is behoefte aan een opslag configuratie, die de mogelijkheden vanvirtualisatie niet afremt. De keuze voor het gehanteerde opslag systeem wordt dan ook essentieel voorde betrouwbaarheid van het virtualisatie platform (Veldhuis & Turk, 2008). Door meerdere VM’s opéén fysieke machine te draaien, waarbij één connectie naar de centrale opslag wordt gehanteerdontstaan nieuwe risico’s wat betreft single point of failure. Indien de centrale gegevensopslag niet---------------------------------------------------------------------------------------------------------------------------Pagina 16

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------meer bereikbaar is, wordt niet één maar een veelvoud aan virtuele servers geraakt. Er wordt dan ookaanbevolen om dergelijke connecties minimaal dubbel uit te voeren.Niet alleen uitval, maar ook de prestaties van een opslag systeem en daarmee samenhangendeconfiguratie, kunnen grote consequenties hebben voor de beschikbaarheid van meerdere VM’s.Hierbij dient niet uitsluitend rekening gehouden te worden met de vereiste opslagcapaciteit, maar ookmet het maximaal aantal I/O operaties dat per seconde kan worden uitgevoerd (Veldhuis & Turk,2008). Er dient een uitvoerige analyse plaats te vinden van de eisen die aan het opslag systeemworden gesteld en de wijze waarop een zo optimaal mogelijk configuratie kan worden bewerkstelligd.2.6.3 Consequenties voor infrastructuur en gebruikersbeheerHet mag duidelijk zijn, dat de introductie van virtualisatie effect heeft op de manier waarop ITinfrastructuurwordt ingericht en beheerd. Vooral het beheerproces voor toegangsbeveiliging wordtgeraakt. Daarom zal voor de gewijzigde infrastructuur (lees: de gevirtualiseerde laag) een kortetoegangsanalyse worden uitgevoerd. Toegang tot een ESX server kan op een viertal manieren wordenverkregen. De verschillende toegangspaden verschillen op het gebied van functionaliteit en autorisatie(VMware,2006a)( InfoGard Laboratories, 2006).1. De eerste mogelijkheid is via een remote console rechtstreeks een VM benaderen. Deze vorm isvergelijkbaar met het rechtstreeks aanroepen van een fysieke server. Middels een zogenaamdecommand line interface of SSH connectie kan op basis van het IP adres gebruikerstoegangworden verkregen tot een VM. Deze gebruikers worden voor de virtualisatie omgeving als nonprivileged(lage rechten) gebruikers gezien. Deze gebruikers werken namelijk binnen de grenzenvan de VM en zijn niet in staat om rechten buiten deze VM te bemachtigen. Dit type gebruikers iswel in staat om een VM uit te schakelen of instellingen m.b.t. externe apparatuur te configureren.Het beheer van deze groep gebruikers verschilt bij virtualisatie niet het normale gebruikersbeheer.2. De tweede mogelijkheid is door verbinding te maken met ESX server Service Console. Zoalseerder beschreven, vormt de Service Console het besturingsmechanisme van één ESX server.Toegang kan worden verkregen middels een command line interface of SSH connectie. Dezemanier van toegang vraagt technische kennis van het onderliggende besturingssysteem van deESX server, namelijk Linux. Uitsluitend beheerders van de ESX server of VM’s mogen over dezevorm van toegang beschikken. Het wordt afgeraden om beheer middels de Service Console uit tevoeren. De service console biedt namelijk geen centrale beheerinterface en ondersteund niet allefunctionaliteit. Hierdoor zijn er meerdere beheertoepassingen nodig, waardoor de kans op foutentoeneemt.3. De derde mogelijkheid om virtuele resources te beheersen is middels een web browser. BinnenVMware wordt hiervoor een component VI Web Access gebruikt. Het voordeel van deze methodeis dat er een GUI wordt aangeboden zonder lokaal een client te installeren. De VI Web Accessinterface biedt een overzicht van alle VM’s op een ESX server en de VirtualCenter Server. Dezeinterface is voornamelijk bedoeld voor het beheer van VM’s en biedt niet alle functionaliteit diedoor de hierna besproken VI-Client wordt geboden. De VI-web access kan tevens in combinatiemet VirtualCenter worden gebruikt, waardoor niet één, maar meerdere ESX servers kunnenworden benaderd. Het moge duidelijk zijn dat toegang middels VIWeb Access dus uitsluitend isbedoeld voor beheerders van de desbetreffende VM’s.4. De vierde mogelijkheid is middels een VI-Client. In tegenstelling tot VI-Web Access dienthiervoor wel een client lokaal te worden geïnstalleerd. De client biedt echter een uitgebreidereinterface en volledige beheer functionaliteit op een ESX server. Ook de VI-Client kan incombinatie met VirtualCenter worden gebruikt, waardoor alle geautoriseerde ESX servers kunnenworden beheerd.Onderstaand figuur geeft de verschillende toegangspaden binnen een gevirtualiseerde architectuurgrafische weer.---------------------------------------------------------------------------------------------------------------------------Pagina 17

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Figuur 3 VMware Infrastructure (VMware, 2006a)Uit bovenstaande beschrijving van toegangspaden, kan geconcludeerd worden dat bij het virtualiserenvan de infrastructuur een tweetal nieuwe lagen van toegangsbeveiliging worden geïntroduceerd(InfoGard Laboratories, 2006).• Virtualization Layer toegang (grote grijze blok): De eerste laag wordt gebruikt voor hetverifiëren van toegang tot objecten onder de controle van de Virtualization Layer doorprocessen handelend namens gebruikers die op de Virtualization Layer zijn ingelogd ennamens gebruikers die verzoeken uitvoeren op de Virtualization Layer vanuit deVirtualCenter omgeving.• VirtualCenter toegang: de tweede laag van toegangsbeveiliging bestaat uit het verifiëren vantoegang tot objecten binnen de VirtualCenter server, door processen handelend namensgebruikers die ingelogd zijn op de VirtualCenter omgeving.In dit hoofdstuk is het onderwerp ‘virtualisatie’ beschreven door aandacht te besteden aan dedrijfveren en toekomstige ontwikkelingen. De keuze voor virtualisatie blijkt een grote impact tehebben op de gehele IT-infrastructuur en beheerprocessen. Om deze impact inzichtelijk te maken zijnde generieke componenten van een gevirtualiseerde infrastructuur belicht. Vanuit deze componentenzijn de gevolgen voor de infrastuctuur en beheerprocessen kort beschreven.Het hoofdstuk heeft een verkenning gegeven voor de impact op de IT-infrastructuur en enkelebeheerprocessen. Deze scriptie richt zich tot het opleveren van een audit-raamwerk van nieuwe ofgewijzigde beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving. In het volgendehoofdstuk zal een duidelijke scope afbakening plaatsvinden en aansluiting worden gezocht bijbestaande raamwerken.---------------------------------------------------------------------------------------------------------------------------Pagina 18

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------3. IT ­ Audit van een databaseserver omgevingIn dit hoofdstuk zal aandacht worden besteed aan de auditaanpak van een databaseserver omgeving.Hierbij zal worden ingegaan op de kwaliteitsaspecten die als basis voor het te ontwikkelen raamwerkzullen worden gehanteerd. Op basis van bestaande raamwerken zullen processen worden geselecteerddie een impact hebben op de relevante kwaliteitsaspecten.3.1 Audit aanpakBij een audit gaat het om de bepaling van de kwaliteit van een onderzoeksobject. Hierbij is niet altijdduidelijk wat met het begrip kwaliteit wordt bedoeld. ISO-9000 definieert kwaliteit als volgt (VanPraat & Suerink, 2004):“Kwaliteit is de mate waarin een geheel van eigenschappen en kenmerken voldoet aan eisen”Van Praat en Suerink (2004) geven aan dat de eisen die een IT-auditor hanteert voor de uitvoering vanaudits ook wel toetsingsnormen worden genoemd. Hierbij is het van belang dat vooraf duidelijkheidbestaat aan welke normen een onderzoekobject moet voldoen. Van Praat en Suerink (2004) wijzenerop dat binnen het vakgebied van de IT-auditor, normen niet altijd even duidelijk zijn. Het is daaromvan belang een eenduidige definitie van de gehanteerde normen te gebruiken.In het Handboek EDP-Auditing (1999) gezamenlijk uitgegeven door het NIVRA en NOREA wordenzeven kwaliteitsaspecten benoemd: 1. beschikbaarheid, 2. exclusiviteit, 3. integriteit, 4.controleerbaarheid, 5. doelmatigheid, 6. doeltreffendheid van informatie en 7. de bescherming vanwaarden (beveiliging). Eén van de standaarden voor het beoordelen van beheersmaatregelen is CobiT(Van der Beek, ea, 2009). In het CobiT-raamwerk worden ook zeven kwaliteitsaspecten onderkend.CobiT onderkent de volgende kwaliteitsaspecten 1. effectiveness, 2. efficiency, 3. confidentiality, 4.integrity, 5. availibility, 6. compliance en 7. reliability (ITGI, 2007). In het handboek EDP-Auditingen CobiT worden dus verschillende kwaliteitseisen benoemd welke overlap met elkaar vertonen.Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en“vertrouwelijkheid” (ook bekend als ‘BIV’ of in het Engels ‘CIA’) centraal. Deze driekwaliteitsaspecten worden vaak als uitgangspunt gehanteerd voor een IT-Audit met als doel hettoetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerdeomgeving (Huet & Staquet, 2006). De verschillende kwaliteitsaspecten kunnen elkaar aanvullen maarsoms ook tegenwerken. Zoals Van Praat en Suerink (2004) illustreren met het voorbeeld dat eengebruikersvriendelijk informatiesysteem wellicht geen toegangsbeveiliging heeft aangezienwachtwoorden over het algemeen niet als gebruiksvriendelijk wordt ervaren. Dit staat echter haaks oponder andere het kwaliteitsaspect vertrouwelijkheid.In de volgende paragrafen zullen de drie ‘BIV’ kwaliteitsaspecten verder worden toegelicht:• Beschikbaarheid (Availibility);• Integriteit (Integrity);• Vertrouwelijkheid (Confidentiality).3.1.1 BeschikbaarheidBeschikbaarheid van de informatievoorziening is voor de meeste organisaties van groot belang. Hethandboek EDP-auditing (1999) definieert beschikbaarheid als volgt :“De mate waarin gegevens en IT-processen de organisatie ondersteunen op de momenten dat deorganisatie dit eist.”De bedrijfsvoering komt vaak bijna helemaal stil te liggen wanneer de ICT systemen niet meerbeschikbaar zijn (Snijders e.a.,1999). In CobiT (ITGI, 2007) wordt beschikbaarheid gedefinieerd als:---------------------------------------------------------------------------------------------------------------------------Pagina 19

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------“Beschikbaarheid refereert aan informatie die beschikbaar is wanneer dit gevraagd wordt in hetbedrijfsproces nu en in de toekomst. Het refereert ook aan de bescherming van de benodigdemiddelen en daaraan gerelateerde mogelijkheden.”De definitie van CobiT is duidelijk breder dan de definitie zoals gehanteerd door het handboek EDPauditing.Binnen CobiT wordt ook op de continuïteit van beschikbaarheid gedoeld en raakt daarmeeprocessen als continuïteitsmanagement. Binnen dit onderzoek zal de definitie van CobiT wordengehanteerd.3.1.2 IntegriteitIn het handboek EDP-auditing (1999) wordt het kenmerk integriteit beschreven als de zekerheid ofbetrouwbaarheid van de informatievoorziening in organisaties. De integriteit van deinformatievoorziening bestaat uit drie onderdelen. De data (stamgegevens), transacties en parametersin de databases en de formules en rekenregels in de programmatuur. Integriteit wordt door CobiT(ITGI, 2007) als volgt beschreven;“Integriteit refereert aan de nauwkeurigheid en volledigheid van informatie en tevens aan degeldigheid van de informatie in relatie met bedrijfswaarden en verwachtingen.”3.1.3 VertrouwelijkheidMet vertrouwelijkheid van de informatievoorziening wordt de beperking van bevoegdheden en demogelijkheden van het raadplegen, wijzigen, afdrukken of kopiëren van gegevens tot eengeautoriseerde groep van gebruikers. Hiermee wordt niet alleen de gegevens in de databases bedoeldmaar ook toegang tot systeemsoftware, applicatiesoftware, etc. (Handboek EDP-auditing, 1999).CobiT (ITGI,2007) beschrijft vertrouwelijkheid als volgt:“Vertrouwelijkheid gaat over de bescherming van gevoelige informatie tegen ongeautoriseerdeopenbaarmaking.”In de definitie van CobiT komt weliswaar niet een expliciete verwijzing voor van de objecten waarvertrouwelijkheid betrekking op heeft, maar binnen het CobiT-raamwerk wordt vertrouwelijkheidgeprojecteerd tegen de objecten: infrastructuur, applicaties, informatie en personen. Een database valthierbij onder het object ‘applicatie’.3.2 IT­ beheersmaatregelraamwerkenVoor het uitvoeren van een audit op een IT-omgeving bestaan verschillende beheersmaatregelraamwerken die zijn op gesteld door verschillende organisaties. Enkele algemeen erkende standaardenzijn ontwikkeld door ISO(International Organization for Standardization), NIST (National Institute ofStandards and Technology), ISF(Information Security Forum) en ISACA (Information Systems Auditand Control Association)(Van der Beek e.a., 2009). Daarnaast hebben de meeste (accountant)organisaties een eigen raamwerk voor het toetsen van de algemene IT-beheersmaatregelen. Vaak zijndeze raamwerken een afgeleide van één of meerdere door o.a. bovengenoemde organisatiesgepubliceerde raamwerken.Hewlett-Packard Development Company (HP) heeft onderzoek gedaan naar de ITbeheersmaatregelendie in binnen een standaard (niet gevirtualiseerd) datacenter audit worden getoetsten de impact van virtualisatie hierop. Door HP worden de volgende drie gebieden onderkend(Baldwin e.a., 2008):• Data Centre Operations, dit gebied omvat de beveiliging van het datacentrum, operationsmanagement, incident en service beheer en continuïteit;• Data Centre Services, dit gebied omvat het beheer van de Active Directory, gebruikersbeheer,beveiliging, back-up en configuratiemanagement;• Servers, dit gebied omvat antivirus maatregelen, patchbeheer, wachtwoordinstellingen,wijzigingsbeheer en capaciteitsbeheer.---------------------------------------------------------------------------------------------------------------------------Pagina 20

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Ook binnen Deloitte Enterprise Risk Services (ERS) wordt een gestandaardiseerdbeheersmaatregelraamwerk gehanteerd voor het toetsen van de algemene IT-beheersmaatregelen bijorganisaties. Dit raamwerk is opgedeeld in drie subprocessen;• Datacentrum en netwerk activiteiten, dit gebied omvat het beheer en monitoren van interfaces,batchjobs en de IT-omgeving, continuïteitsmaatregelen en fysieke toegangsbeveiliging;• Informatiebeveiliging, dit gebied omvat het gebruikersbeheer, beveiligingsinstellingen zoalswachtwoorden en logging, patchbeheer en antivirus maatregelen;• Wijzigingsbeheer, dit gebied omvat de maatregelen en processen die wijzigingen ten aanzienvan applicaties, databases, besturingssystemen en netwerkcomponenten te maken hebben.Het IT-beheersmaatregelenraamwerk van Deloitte is gebaseerd op de beheerprocessen zoalsgedefinieerd door ITIL, beheersmaatregelen zoals gedefinieerd door CobiT en haar eigen kennis enervaring met betrekking tot ‘best practice’ standaarden.De raamwerken van Deloitte en HP vertonen veel overeenkomsten ten aanzien van debeheersmaatregelen. De verschillen zitten voornamelijk in de indeling van de verschillende gebieden.Qua diepgang behandelen beide raamwerken dezelfde risico’s.In een onderzoek van Van der Beek ea. (2009) worden vier standaarden (ISO 27002, NIST SP 800-53, ISF Standaard of Good Practice en CobiT 4.1) met elkaar vergeleken op verschillende criteria. Devergelijking die in het onderzoek wordt gemaakt is opgenomen in bijlage 5. Zoals in de tabel inbijlage 5 wordt weergeven richt CobiT zich qua breedte op de beheersing van de IT-omgeving in hetalgemeen. Het model richt zich hierbij op het strategische en tactische niveau. De operationeleprocessen worden niet uitgewerkt. De andere door Van der Beek e.a. (2009) onderzochte modellen,zoals NIST en ISO, richten zich juist meer op het tactisch en operationele niveau.Een ander algemeen erkend raamwerk voor het inrichten en beoordelen van de IT-beheerprocessen isITIL (IT Infrastructure Libary). Een onderzoek van Stevens e.a.(2006) toont aan dat CobiT en ITILelkaar op verschillende vlakken aanvullen en elkaar niet uitsluiten. Volgens het onderzoek is CobiTeen raamwerk dat alle IT-processen bevat en best-practices uit de verschillende (IT)vakgebiedencombineert. Hierbij wordt aangegeven dat CobiT sterk is in de generiekheid en volledigheid van alleIT-processen. ITIL richt zich volgens het onderzoek meer op de operationele activiteiten van (IT)service management. Het onderzoek vat dit samen door te stellen dat CobiT volledig en juistdefinieert wat moet gebeuren en minder op welke wijze dit moet plaatsvinden.Uit de verschillende onderzoeken blijkt dat de behandelde modellen enige overlap met elkaarvertonen, waarbij CobiT de grootste reikwijdte lijkt te hebben (breedte). De ander modellen gaan vaakdieper in op het (deel) gebied van hun onderwerp (operationeel). Grafisch wordt dit voor een aantalmodellen in Figuur 4 gevisualiseerd. Derksen en Noordam (2008) merken hierbij op dat CobiTinderdaad als zijnde breed gekwalificeerd kan worden ten opzichte van andere hierin opgenomenkwaliteitsmodellen. Echter dit geldt dan voor het vakgebied IT vanuit een audit perspectief. Debreedte en diepgang van CobiT sluit aan op de doelstelling van deze scriptie, namelijk het opstellenvan een IT-beheersmaatregelraamwerk. Hierbij ligt de nadruk op het afdekken van risico’s in plaatsvan een gedetailleerde uitwerking van het operationele proces. Het CobiT-raamwerk is derhalve breedgeaccepteerd binnen het vakgebied van IT-auditors (Van der Beek e.a., 2009). Verder zijn de CobiTprocessengekoppeld aan verschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoekcentraal staan.---------------------------------------------------------------------------------------------------------------------------Pagina 21

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Figuur 4 IT-governance en managementmodellen in breedt en diepte (Derksen & Noordam, 2008)Op basis van de uitgevoerde analyse van beschikbare referentie modellen is besloten dat voor ditonderzoek CobiT als kapstok zal dienen waaraan de geïdentificeerde risico’s en beheersmaatregelenworden opgehangen. Wanneer het voor dit onderzoek nodig is zal voor de diepte en uitwerking van deverschillende processen aanvullende raamwerken waaronder ITIL worden geraadpleegd.Het CobiT (Control Objectives for Information and related Technology) raamwerk is ontwikkeld doorISACA en ITGI (IT Governance Institute). In de laatste editie, versie 4.1(CobiT 4.1, ITGI), worden171 beheersmaatregelen beschreven verdeeld over 34 processen welke zijn opgenomen in een van devier onderkende domeinen, te weten;• Plan and Organize;• Acquire and implement;• Deliver and support;• Monitor and Evaluate.In het CobiT-raamwerk wordt voor elk proces aangegeven of deze wel of geen primaire dan welsecundaire impact heeft op een of meerdere van de volgende kwaliteitsaspecten:• Effectiveness;• Efficiency;• Confidentiality;• Integrity;• Availibility;• Compliance;• Reliability.Een overzicht van de 4 domeinen met de 34 processen is opgenomen in bijlage 2. Hierin is tevensaangegeven op welke kwaliteitsaspecten het proces een primaire (P) of secundaire (S) impact heeft. Inde voorgaande paragraaf is aangegeven dat deze scriptie zich richt op de kwaliteitsaspectenbeschikbaarheid (Availibility), integriteit (Integrity) en vertrouwelijkheid(Confidentiality). Op basisvan CobiT versie 4.1 is vastgesteld dat de volgende processen direct (Primair) worden beïnvloed doorde geselecteerde kwaliteitsaspecten (ITGI, 2007):• Define the information architecture(PO02);---------------------------------------------------------------------------------------------------------------------------Pagina 22

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------• Assess and manage IT risks(PO09);• Manage changes(AI06);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage data(DS11);• Manage the physical environment(DS12).Om de volledigheid van de geselecteerde processen te verifiëren zijn de geselecteerde processenvergeleken met de raamwerken van Deloitte en HP. Het blijkt dat deze raamwerken ook aandachtbesteden aan capaciteit- en configuratiebeheer (Baldwin, 2008).Bij de beschrijving van de virtualisatie architectuur (hoofdstuk 2), is gewezen op het feit datvirtualisatie vaak leidt tot een consolidatie van meerdere logische VM’s op één fysieke machine(apparatuur). De fysiek beschikbare resources moeten worden verdeeld over de hierop draaiendeVM’s. Er vindt dus een verdeling van resources plaats na gelang van de beschikbare capaciteit en ditbeïnvloed de performance van de afzonderlijke VM’s. Juist de impact hiervan voor eendatabaseserver is beschreven aangezien dit type applicatie zich vaak kenmerkt vanwege hogeperformance eisen. Het beheersen van prestaties en capaciteit verdient dus extra aandacht in eengevritualiseerde infrastructuur.Een ander virtualisatie kenmerk dat reeds in hoofdstuk 2 is beschreven is de flexibiliteit van deinfrastructuur. Een voorheen fysieke machine, netwerk en opslag worden gevirtualiseerd. Natuurlijkblijft er nog een fysiek component over, namelijk de onderliggende resource, maar het beheer zalvoornamelijk betrekking hebben op virtuele componenten. Een voordeel van deze virtuelecomponenten is de flexibiliteit, zoals bijvoorbeeld het verplaatsen van het ene naar de anderevirtualisatie platform. Dit heeft grote gevolgen voor IT-beheer wat betreft het bijhouden van deactuele configuratie van de IT-infrastructuur, beter bekend als configuratiemanagement. Het isnamelijk van belang om continu in beeld te hebben op welke wijze de omgeving is ingericht eningesteld (Hietala, 2009).Deze twee constateringen zijn besproken met verschillende virtualisatie professionals (zie bijlage 4).Ook vanuit deze gesprekken komt naar voren dat deze twee beheerprocessen essentieel zijn voor dekwaliteitsaspecten ‘BIV’. Er is daarom besloten om twee additionele processen toe te voegen aan delijst van relevante IT-beheerprocessen. Het gaat hierbij om de volgende CobiT-processen, dezeprocessen raken volgens CobiT het kwaliteitsaspect beschikbaarheid indirect (Secundair):• Manage performance and capacity(DS03);• Manage the configuration(DS09).De totale lijst met processen die zullen worden meegenomen in ons onderzoek bestaat uit de volgendeCobiT-processen:• Define the information architecture(PO02);• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11);• Manage the physical environment(DS12).Voor deze negen processen zullen in het volgende hoofdstuk specifieke risico’s wordengeïdentificeerd en de noodzakelijke beheersmaatregelen worden gedefinieerd.---------------------------------------------------------------------------------------------------------------------------Pagina 23

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 24

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4. Delta identificatie voor IT­beheerprocessen bij virtualisatieIn dit hoofdstuk zullen de wijzigingen op IT-beheersmaatregelen voor de geselecteerde CobiTprocessenworden geïdentificeerd en besproken. Het totaal van geïdentificeerde wijzigingen wordt de“Delta”genoemd. Elk CobiT-proces zal in een afzonderlijke sectie worden uitgelicht. Hierbij zal eersthet proces kort worden besproken en de beheersdoelstelling van het proces worden beschreven,waarna de standaard CobiT-beheersmaatregelen worden weergegeven. Een volledige beschrijving vanbeheersmaatregelen voor de geselecteerde processen is opgenomen in bijlage 3. Deze scriptie gaat inop de zogenaamde ‘delta’ tussen het bestaande CobiT-raamwerk en de specifieke risico’s die hetvirtualiseren van databaseserver omgevingen met zich meebrengt. Aan het eind van elke (sub)paragraaf zullen de gewijzigde beheersmaatregelen worden samengevat in een tabel. Hierin wordtvoor nieuwe of gewijzigde beheersmaatregelen (delta) aangegeven op welke CobiTbeheersmaatregelende wijziging betrekking heeft.4.1 Define the information architecture (PO02)De informatie-architectuur wordt binnen het CobiT-raamwerk behandeld in het proces “PO2 Definethe information architecture”. Dit proces is erop gericht om de informatie systemen conform debedrijfsstrategie in te richten en ervoor te zorgen dat de gegevens consistent en conform hetbeveiligingsbeleid (afgeleid van de ‘business risk appetite’, oftewel het risico dat de organisatieaccepteert) worden opgeslagen en beschikbaar gesteld. De beheersdoelstelling voor dit proces wordtin CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007):“Er bestaat een beheerst proces voor het vaststellen van de informatie-architectuur. Hiermee kanadequaat worden ingespeeld op de gestelde eisen, kan betrouwbare en consistente informatie wordengeleverd en kunnen applicaties worden geïntegreerd in de bedrijfsprocessen.”Vanuit CobiT worden een viertal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd. Een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven;• PO2.1 Enterprise Information Architecture Model;• PO2.2 Enterprise Data Dictionary and Data Syntax Rules;• PO2.3 Data Classification Scheme;• PO2.4 Integrity Management.Voorafgaande aan het verder analyseren van de specifieke risico’s voor de beheersmaatregelen binnendit proces, zal er een definitie voor de informatie-architectuur worden gegeven.“De informatie-architectuur schetst de informationele contouren om een organisatie te voorzien vaninformatie die zij nodigt heeft. Informatie-architectuur heeft betrekking op tweearchitectuurdomeinen: (i) de informatie die belangrijk is voor het functioneren van een organisatie en(ii) de applicaties die ervoor zorgen dat de informatie gedistribueerd wordt binnen deorganisatie”(Wagter e.a. 2005).”Zoals uit definitie blijkt heeft het proces “PO2 Define the information architecture” invloed op deinformatie(voorziening) en applicaties van een organisatie. In CobiT 4.1 (ITGI, 2007) worden deaspecten aangegeven waarop een proces betrekking heeft,bestaande uit “people”, “applications”,“technology”, “facilities” en “data”.Voor het proces “PO2 Define the information architecture” wordtaangegeven dat er geen relatie bestaat ten opzichte van de technologie. Tijdens het het onderzoek is ervoor virtualisatie dan ook geen delta geïdentificeerd ten aanzien van dit proces.---------------------------------------------------------------------------------------------------------------------------Pagina 25

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.2 Assess and manage IT risks (PO09)IT-risicomanagement wordt binnen het CobiT-raamwerk behandeld in het proces “PO9 Assess andManage IT Risks”. Dit proces is erop gericht dat een organisatie een duidelijk proces heeftgeïmplementeerd voor risicobeheersing. Dit betekent dat (IT)risico’s worden geïdentificeerd,geanalyseerd, beoordeeld en overwogen maatregelen worden geïmplementeerd. Debeheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor IT-risico identificatie, beoordeling en beheersing. Alle ITrisico’sen mogelijke impact op de processen en doelen van een organisatie worden onderzocht enbinnen de organisatie gedeeld.”Binnen CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• PO9.1 IT Risk Management Framework;• PO9.2 Establishment of Risk Context;• PO9.3 Event Identification;• PO9.4 Risk Assessment;• PO9.5 Risk Response;• PO9.6 Maintenance and Monitoring of a Risk Action Plan.Virtualisatie van (database) servers heeft een kleine impact op de vereiste beheersmaatregelen van ITrisicomanagement.De impact van virtualisatie komt voort uit de additionele complexiteit dievirtualisatie met zich mee brengt. Hiermee worden nieuwe risico’s geïntroduceerd ten aanzien van de(IT) organisatie, de automatiseringsomgeving en de (IT) beheerprocessen. Het is belangrijk dat degeïntroduceerde virtualisatielaag ook wordt meegenomen in de beheersmaatregelen met betrekking totIT-risico’s (Dutton, 2007)(Behnia & Wrobel, 2009). Hierbij is het belangrijk om de risico’s vanvirtualisatie op bedrijfsproces niveau te beoordelen en te mitigeren tot een geaccepteerd niveau voordeze bedrijfsprocessen (niet IT gedreven)(Ranada, 2009).Experts geven aan dat wanneer de risico’s van virtuele (database)servers niet worden beheerst, devoordelen van de virtuele omgeving zullen worden overtroffen (Melançon, 2008). Hierbij is hettevens van belang om bij het uitvoeren van de risicoanalyse experts op het gebied van(database)servervirtualisatie te betrekken zodat de bedreigingen, risico’s, maatregelen eninschattingen (impact en waarschijnlijkheid gerelateerd aan het voordoen van het risico) in de juistecontext worden geanalyseerd. De experts dienen kennis te hebben van het gebruiktevirtualisatieproces en de impact op de verschillende (virtuele) onderdelen adequaat in te kunnenschatten. Hierbij dient de impact voor de volgende onderdelen van een virtuele omgeving wordenbepaald:• Virtual Machine (VM);• Service Console;• VirtualCenter;• Virtualization Layer;• Virtual network;• Virtual Storage;---------------------------------------------------------------------------------------------------------------------------Pagina 26

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieRM-01RM-02RM-03Referentie CobiTbeheersmaatregelPO9.1 IT RiskManagement FrameworkPO9.2 Establishment ofRisk ContextPO9.3 EventIdentificationGeïdentificeerde beheersmaatregel t.b.v. virtualisatieIn het IT-risicomanagement raamwerk wordt aandacht besteedaan de risico’s voor virtualisatie van (database) servers en deimpact hiervan op de bedrijfsprocessen, (virtuele) infrastructuuren (IT) beheerprocessen. Hierbij moeten de volgende onderdelenvan een virtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageBij het vaststellen van de risico context voor debedrijfsprocessen, (IT) beheerprocessen en de (virtuele)infrastructuur dient expertise op het gebied van (database)servervirtualisatie aanwezig te zijn. Hierbij moeten de volgendeonderdelen van een virtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageEr bestaat een periodiek proces voor het identificeren van debedreigingen voor de bedrijfsprocessen, (IT) beheerprocessen ende (virtuele) infrastructuur. Hierbij moeten de specifiekebedreigingen van een virtuele omgeving worden meegenomen enis expertise op het gebied van (database)server virtualisatiebetrokken. De volgende onderdelen van een virtuele omgevingmoeten hierin in iedergeval worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual Storage---------------------------------------------------------------------------------------------------------------------------Pagina 27

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieRM-04 PO9.4 Risk Assessment Bij het uitvoeren van de risicoanalyse voor de bedrijfsprocessen,(IT) beheerprocessen en de (virtuele) infrastructuur dientexpertise op het gebied van (database)server virtualisatie teworden betrokken. Hierbij moeten de volgende onderdelen vaneen virtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageRM-05 PO9.5 Risk Response De maatregelen om de risico’s voor de bedrijfsprocessen, (IT)beheerprocessen en de (virtuele) infrastructuur worden metinhoudelijke experts en verantwoordelijken in de organisatiebesproken. Hierbij moeten de volgende onderdelen van eenvirtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageEr bestaat een geïntegreerde aanpak waarbij tevens deskundigenop het gebied van virtualisatie zijn betrokken.4.3 Manage changes (AI06)Het wijzigingsbeheer wordt binnen het CobiT-raamwerk behandeld in het proces “AI06 Managechanges”. Dit proces is erop gericht om wijzigingen op de hardware, besturingssystemen, storage,netwerken en applicaties op een beheerste wijze uit te voeren. Het doel hiervan is om een, eventuele,negatieve impact op de productieomgeving tot een minimum te beperken. De beheersdoelstelling voordit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn eengevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gerichtom oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.”Vanuit CobiT worden een vijftal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven;• AI6.1 Change Standards and Procedures;• AI6.2 Impact Assessment, Prioritization and Authorization;• AI6.3 Emergency Changes;• AI6.4 Change Status Tracking and Reporting;• AI6.5 Change Closure and Documentation.Wanneer organisaties gebruik maken van databaseserver virtualisatie wordt het veel eenvoudiger omsnel een nieuwe databaseserver aan te maken. De actie blijft immers beperkt tot het activeren van een---------------------------------------------------------------------------------------------------------------------------Pagina 28

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------VM image, veelal uitgewerkt in templates. In een niet gevirtualiseerde omgeving dient namelijk eerstnieuwe hardware te worden aangeschaft en ingericht wat vaak enige tijd in beslag neemt. Hierdoorkan het aanmaken van een virtuele (database)server voor de organisatie aanvoelen als een “gratis eneindeloze resource”. Echter wanneer een groot aantal virtuele (database)servers worden aangemaaktkan de capaciteit van de fysieke (host) server snel worden bereikt of gaat dit ten koste van debeschikbare capaciteit van andere VM’s. Om dit te voorkomen is het belangrijk om eenwijzigingsprocedure op te stellen voor het aanmaken van nieuwe (database) servers die onder andererekening houdt met de maximale capaciteit en prestaties van het host systeem. Deze procedure moettoezien op het aanmaken van nieuwe (database) servers zodat de rest van de omgeving geen hinderondervindt van de nieuwe server. (Clavister, 2009)(Hau & Araujo, 2007)(Haight & Colville, 2010).Hiermee raakt het wijzigingsproces het CobiT-proces “Manage performance and capacity (DS03)”.Verschillende onderzoekers (Haigth, 2008)(Olsen, 2009)(Hietala, 2009) geven aan dat dewijzigingsprocedure voor virtuele omgeving in ieder geval de volgende activiteiten moet afdekken;• Aanpassen van de parameters van het platform waarop de virtuele (database) servers werken;• Toevoegen van een nieuwe (database)server aan de omgeving;• Wijzigen in de templates voor de Virtuele Machine’s;• In en uitschakelen van de virtuele (database) servers;• Het migreren van een virtuele (database)server tussen fysieke servers.Virtualisatie brengt de mogelijkheid met zich mee om (database) servers over verschillende fysiekeservers te verplaatsen. Hiermee kunnen de verschillende VM’s worden verdeeld over de capaciteitvan de verschillende fysieke servers. Dit proces kan volledig worden geautomatiseerd. Hiervoordienen parameters te worden ingesteld, wanneer een VM moet worden verplaatst en waar deze naartoe mag worden verplaatst, conform de BIV classificatie. Het instellen en wijzigen van dezeparameters dient onderdeel te zijn van de wijzigingsprocedure (Lowe, 2008).Op basis van interviews met professionals komt naar voren dat de wijze waarop wijzigingen opvirtuele servers worden doorgevoerd verschillen van een niet gevirtualiseerde omgeving. In een nietgevirtualiseerde omgeving wordt een wijziging op een acceptatie omgeving geïnstalleerd en wanneerdeze is getest en goed bevonden in de productieomgeving geïnstalleerd. Wijzigingen in virtueleomgevingen worden niet altijd op deze wijze in de productieomgeving geplaatst. Servervirtualisatiebrengt een nieuwe mogelijkheid voor het doorvoeren van wijzigingen met zich mee. Uit interviewskomt naar voren dat in plaats van het overzetten van geteste wijzigingen er bij virtualisatie de gehelelogische server (lees: VM) kan worden overgezet tussen OTAP omgeving. Als organisaties hiervoorkiezen is het van belang dat de classificatie, autorisaties en (beveiligings)instellingen van de server diewordt verplaatst correct zijn aangepast, voordat deze in de andere omgeving wordt geplaatst. Aan eenserver in een acceptatie omgeving kunnen andere eisen worden gesteld ten aanzien van dekwaliteitsaspecten, dan een server in de productieomgeving. Daarnaast verschillen de toegangsrechtentot een productieomgeving waarschijnlijk van de rechten op een acceptatieomgeving en kunnen de(beveiligings)instellingen ook verschillen. Het verplaatsen van een gehele server (VM) kan alleenbeheerst verlopen wanneer het verschil tussen de virtuele server in de acceptatie- enproductieomgeving gelijk is aan de geteste wijziging, of wanneer het een geheel nieuwe server betreft.Deze verificatie dient voordat de server in de productieomgeving wordt geplaatst te wordenbeoordeeld voor zowel de applicatie, besturingssysteem als VM laag. Uit interviews komt naar vorendat hiervoor momenteel nog weinig ondersteundende tooling voor beschikbaar is. Aangezien hethierbij om veel instellingen gaat, kan het erg lastig zijn om alle wijzigingen inzichtelijk te krijgen.Zolang dergelijke tooling ontbreekt en wijzigingen inzichtelijk kunnen worden gemaakt is het niet---------------------------------------------------------------------------------------------------------------------------Pagina 29

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------wenselijk dat VM’s van een acceptatie naar een productie omgeving worden gemigreerd. Wanneereen organisatie ervoor kiest om dit wel te doen dienen additionele maatregelen te worden genomenom de risico’s die dit proces met zich meebrengt te mitigeren.Een nieuw fenomeen dat virtualisatie met zich meebrengt zijn appliances. Dit zijnvoorgeconfigureerde VM’s waarop een bepaalde applicatie reeds is geïnstalleerd. Deze kunnenbijvoorbeeld via internet worden aangeschaft door een organisatie. De implementatie van eenappliance dient uiteraard het wijzigingsproces te volgen waarbij de appliance eerst in eenacceptatieomgeving wordt getest. Hierbij dient de organisatie tevens te beoordelen of de appliancegeen malware of andere gevaarlijke elementen bevat. Daarnaast dient de organisatie de applicance opeen dusdanige wijze aan te passen, zodat deze voldoet aan de BIV eisen die de organisatie aan eendergelijke VM stelt (McAfee, 2007) (Aboulnaga e.a., 2009).Gerelateerd aan het overzetten van een VM van de ene omgeving naar een andere of het restoren vaneen VM uit een back-up is een fenomeen wat in de theorie “localization” wordt genoemd. Wanneereen (database)server wordt aangemaakt, teruggezet van een back-up of vanuit een acceptatieomgevingin een productieomgeving wordt geplaatst, moet de VM een eigen identiteit krijgen. Een identiteitbestaat uit een MAC adres, een IP adres, en een host naam. Sommige database systemen vereisen datelke instantie een unieke naam heeft, waarbij deze soms is gebaseerd op het IP adres of de naam vande host. De meeste virtualisatiesoftware biedt vaak wel ondersteuning voor het aanpassen van degegevens van de VM, maar niet voor het aanpassen van de database instantie. Dit betekent dat dewijzigingsprocedure hierin dient te voorzien, zodat de database instantie wordt aangepast aan deinstellingen van de VM (Aboulnaga e.a., 2009).Het scheiden van omgevingen krijgt bij virtualisatie een andere invulling. Een fysieke host zounamelijk zowel ontwikkel als productie VM’s kunnen bevatten. Een onderzoek van Klaver (2008)toont aan dat de OTAP (ontwikkel, test, acceptatie en productie) omgevingen voor database- enapplicatieservers als de OTAP omgevingen ten aanzien van de virtuele tussenlaag (virtualizationlayer) gescheiden dienen te zijn. Wanneer een organisatie zelf geen wijzigingen ontwikkeld voor devirtuele laag kan de organisatie volstaan met minimaal 2 fysiek gescheiden omgevingen. Dit wordtonderschreven in een whitepaper van Hau en Araujo (2007), waarin wordt aangegeven datwijzigingen aan de virtualisation layer, hoe klein deze ook lijken, altijd in een gescheiden omgevingmoeten worden getest aangezien de impact van een dergelijke wijziging erg groot kan zijn. Daarnaastdienen de OTA omgevingen van de VM’s op een fysieke test/acceptatie server te staan en deproductie VM’s op de fysieke productie server. Op deze manier wordt voorkomen dat problemen inde OTA omgevingen een negatieve impact hebben op de productie VM’s. Wanneer wijzigingen aande VM’s of applicaties in de acceptatie omgeving worden getest dient de virtuele tussenlaag overhetzelfde patchniveau te beschikken als de virtuele tussenlaag in de productieomgeving. Alleen dankan er over een representatieve test worden gesproken.Leveranciers voor software en besturingssystemen brengen over het algemeen met enige regelmaatpatches uit om nieuwe functionaliteit te introduceren en ontdekte beveiligingslekken en problemen teverhelpen. Dit is voor de virtualisatiesoftware niet anders. Patchmanagement voorvirtualisatiesoftware kent voor en nadelen. Een nadeel van het updaten van de virtualisatiesoftware isde grote impact die de wijziging kan hebben. De wijziging heeft een impact op de verschillendevirtuele servers die hierop functioneren vooral wanneer een herstart nodig is. Aan de andere kant biedtvirtualisatie mogelijkheden om de organisatie niet te hinderen wanneer de virtualisatiesoftware wordtgeüpdate en een eventuele herstart nodig is. De virtuele servers kunnen namelijk (tijdelijk) wordenverplaatst naar een andere host zodat deze gewoon kunnen blijven functioneren. Desondanks dienen---------------------------------------------------------------------------------------------------------------------------Pagina 30

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------patches het normale wijzigingsproces te volgen. Tevens dienen servers die vanuit een back-up wordenterug geplaatst te worden voorzien van de laatste patches, hierop wordt dieper ingegaan in paragraaf4.8 Manage data (DS11) (Hietala, 2009).Wijzigingen in het netwerk, opslag of de locatie van een virtuele server kunnen tot gevolg hebben datde server geen contact met andere onderdelen van de automatiseringsomgeving kan maken of dat deserver niet meer kan worden bereikt. Bij het verplaatsen van virtuele servers, virtuelenetwerkcomponenten of andere onderdelen van de virtuele-infrastructuur moet rekening wordengehouden dat de data verzoeken juist worden gerouteerd (Aboulnaga e.a., 2009).In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor change management van eenvirtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiTbeheersmaatregel.ReferentieCM-01CM-02CM-03CM-04Referentie CobiTbeheersmaatregelAI6.1 Change Standardsand ProceduresAI6.1 Change Standardsand ProceduresAI6.1 Change Standardsand ProceduresAI6.1 Change Standardsand ProceduresGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDe wijzigingsprocedure dient invulling te geven aan de volgendeactiviteiten;• Wijzigen van de parameters van het platform waarop devirtuele (database) servers werken;• Toevoegen van een nieuwe (database)server aan deomgeving;• Wijzigen in de templates voor de Virtuele Machine’s;• In en uitschakelen van de virtuele (database) servers;• Het migreren van een virtuele (database)server tussenfysieke servers;• Het updaten (patchen) van de virtuele software;• Wijzigingen aan de instellingen voor hetgeautomatiseerd verplaatsen van VM’s.Alle wijzigingen en patches voor de tussenlaag (virtualizationlayer) moeten worden getest in een fysiek gescheiden omgeving.De ontwikkel, test en acceptatie VM’s worden gehost op eenserver die fysiek gescheiden is van de omgeving waar deproductie VM’s op worden gehost.De wijzigingsprocedure voorziet erin dat virtuele servers (VM’s)niet van de acceptatie naar de productie omgeving(of tussenandere omgevingen) mogen worden verplaatst.Wanneer een organisatie ervoor kiest om dit wel te doen dient deorganisatie additionele beheersmaatregelen te treffen;• Voordat virtuele servers van de acceptatieomgeving in deproductieomgeving worden geplaatst moeten alle relevante(beveiligings)instellingen, autorisaties en classificatiesworden aangepast aan de eisen die worden gesteld tenaanzien van de kwaliteitsaspecten betrouwbaarheid,integriteit en vertrouwelijkheid.• De organisatie dient vast te stellen dat de VM’s alleenverschillen ten aanzien van de geautoriseerde (applicatie ofdatabase) wijziging en dat er geen andere verschillenaanwezig zijn.---------------------------------------------------------------------------------------------------------------------------Pagina 31

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieCM-05CM-06CM-07CM-08CM-09CM-10Referentie CobiTbeheersmaatregelAI6.1 Change Standardsand ProceduresAI6.1 Change Standardsand ProceduresAI6.2 ImpactAssessment,Prioritization andAuthorizationAI6.2 ImpactAssessment,Prioritization andAuthorizationAI6.2 ImpactAssessment,Prioritization andAuthorizationAI6.2 ImpactAssessment,Prioritization andAuthorizationGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDe wijzigingsprocedure moet erop gericht zijn dat bij hetaanmaken, restoren of verplaatsen van virtuele databaseserversde database instantie wordt aangepast aan de identiteit van devirtuele server.De wijzigingsprocedure moet erin voorzien dat wanneer deorganisatie een appliance van de acceptatie naar deproductieomgeving gaat verplaatsen deze aan alle eisen dieworden gesteld ten aanzien van de kwaliteitsaspectenbetrouwbaarheid, integriteit en vertrouwelijkheid voldoet.Voordat een VM naar een fysieke andere host wordt verplaatstmoet worden vastgesteld dat de configuratie en patchniveau vande virtuele lagen op de verschillende fysieke hosts gelijk is.De wijzigingsprocedure moet erin voorzien dat de impact van dewijziging op de totale capaciteit en prestaties van de fysieke hostwordt bepaald en beoordeeld.De wijzigingsprocedure dient erin te voorzien dat bij hetverplaatsen van een (database)server of ander IT-component dedataverzoeken ook juist gerouteerd worden.Voordat een appliance van de acceptatie naar deproductieomgeving wordt verplaatst dient de organisatie vast testellen dat de appliance geen malware of andere gevaarlijkeelementen bevat.4.4 Manage performance and capacity (DS03)Prestatie en capaciteit management wordt binnen het CobiT-raamwerk behandeld in het proces “DS3Manage Performance and Capacity”. Het proces bestaat uit een review component om inzicht teverkrijgen in de huidige status van geleverde prestaties en capaciteit verbruik. Daarnaast wordt erdoor CobiT gesproken over een voorspellend proces. De ontwikkeling van de geleverde performanceen capaciteitsverbruik dienen inzichtelijk te zijn. De beheersdoelstelling voor dit proces wordt inCobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor het monitoren van de prestaties en capaciteit van deautomatiseringomgeving. Hierbij worden de prestaties en capaciteit van de automatiseringomgevinggeoptimaliseerd voor de eisen van de organisatie.”CobiT onderkent hiervoor een vijftal beheersmaatregelen welke hieronder kort worden opgesomd, eenvolledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proceszijn geïdentificeerd worden beschreven:• DS3.1 Performance and Capacity Planning;• DS3.2 Current Performance and Capacity;• DS3.3 Future Performance and Capacity;• DS3.4 IT Resources Availability;• DS3.5 Monitoring and Reporting.Voorafgaande aan de introductie van virtualisatie werd IT vaak bekeken als een verzameling vanonafhankelijke fysieke servers, in plaats van een samenhangende infrastructuur. Op elke server stondeen applicatie die in de lucht werd gehouden en waarbij weinig afhankelijkheid bestond met de restvan de infrastructuur. Met de introductie van virtualisatie is deze beperkte blik niet meer toereikend.---------------------------------------------------------------------------------------------------------------------------Pagina 32

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Zonder prestatie- en capaciteitsplanning zullen de geschetste voordelen van virtualisatie zoalsbeschreven in hoofdstuk 2 (o.a. flexibiliteit en verhoogde beschikbaarheid) niet kunnen wordengehaald. Bij virtualisatie zal een virtuele server diverse typen resources moeten delen met legio andereservers, waardoor er een geïntegreerde aanpak wordt vereist.Vaak blijft deze geïntegreerde aanpak in de praktijk beperkt tot een initiële voorspelling van het aantalVM’s dat op een fysieke machine kan draaien, maar meestal blijft het daarbij. Het is echter van belangte realiseren dat een virtuele-infrastructuur uit een geïntegreerde verzameling van componentenbestaat. Al deze losse componenten moeten naar behoren samenwerken om een optimale performancete bewerkstelligen. Binnen een virtuele-infrastructuur zijn vier kritieke componenten te onderscheidennamelijk: CPU, geheugen, opslag en netwerk (Scalzo, 2009). Zoals eerder beschreven dient hierbijniet het type applicatie (bijvoorbeeld een databaseserver) bepalend te zijn om wel of niet tevirtualiseren. Er moet worden gekeken naar de prestatie en capaciteitsindicatoren van een VM proces,voor de componenten CPU, geheugen, opslag en netwerk (AMD, 2008). Binnen een gevirtualiseerdeomgeving zal meestal een veelvoud aan VM draaien. Het is dus juist van belang ook de prestatie- encapaciteitsindicatoren van een verzameling VM processen te monitoren (AMD, 2008) (Wininger,2009). De noodzaak van prestatie- en capaciteitsmanagement wordt alleen maar groter, realiserendedat bedrijven juist een hogere gebruiksgraad willen bereiken (meer VM’s op één fysieke host). Ditbetekent dat de noodzaak tot sturing en beheersing van prestaties en capaciteit alleen maar zaltoenemen binnen een virtuele-infrastructuur. Er zullen daarom onder en bovengrenzen moeten wordeningesteld voor de beschikbare resources. Keuzes beïnvloeden niet meer één VM, maar ook andereVM’s, de fysieke server en niet te vergeten andere fysieke servers binnen het cluster (Wininger,2009).Om bovenstaande uitdagingen het hoofd te bieden, zal een zogenaamd referentiekader moeten wordenopgebouwd wat inzicht verschaft in de geleverde prestatie en gebruikte capaciteit voor momenten dater een hoge als lage belasting bestaat. Dit referentiekader moet een beheerder inzicht geven over hetgedrag van afzonderlijke componenten, maar tevens een geïntegreerd beeld over de geleverdeprestaties en gebruikte capaciteit van het gehele systeem. Pas als men over dergelijke historischereferentiekaders beschikt is men in staat te reageren op de veranderende situatie (vertoond een VMafwijkend gedrag, is het structureel of tijdelijk van aard, vormt het een bedreiging voor de beschikbarecapaciteit). Door het verkrijgen van dergelijk geïntegreerd inzicht kunnen beheerders steeds beterproactief reageren op afwijkend gedrag en passende maatregelen nemen (Wininger, 2009)(AMD,2008). Wininger (2009) onderkent vier essentiële niveaus waarvoor periodieke monitoring moetworden toegepast:• Virtual Machines: Zorgvuldig moet de optimale verdeling van resources worden bepaald voorde VM’s draaiende op een fysieke machine. Hierbij wordt rekening gehouden met despecifieke kenmerken van een VM zoals bijvoorbeeld een hoge I/O wat kenmerkend is voordatabaseservers.• Virtualization Layer: De prestaties en capaciteit van de Virtualization Layer hebben directimpact op de prestaties van de individuele VM’s.• Clusters: Performance en capaciteit management op cluster niveau, is eigenlijk eengeaggregeerde variant van ESX host management waarbij de prestaties en capaciteit overmeerdere servers wordt beheerst.• Resource Pools: Betreft een verzameling resources bijvoorbeeld VM’s waarvoor bepaaldelimieten (minimum als maximum) voor geheugen en CPU kunnen worden geconfigureerd.Dit kan zeer handig zijn voor core applicaties.Het monitoren van de virtuele-infrastructuur is natuurlijk een vereiste om te kunnen anticiperen op decapaciteit en prestatieproblemen. Vanwege het geïntegreerde geheel van resources, moeten eventueleafwijkingen worden gereflecteerd op de huidige configuratie van de afzonderlijke componenten en alsgeheel (Haight & Colville, 2010). Voor meer informatie over dit proces wordt verwezen naar Managethe configuration (DS09)---------------------------------------------------------------------------------------------------------------------------Pagina 33

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentiePC-01PC-02Referentie CobiTbeheersmaatregelDS3.1 Performance andCapacity PlanningDS3.2 CurrentPerformance andCapacityGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr bestaat een duidelijk beschreven performance encapaciteitsplan. Het plan besteed aandacht aan de componentenCPU, geheugen, storage en het netwerk. Voor het beheersen vandeze componenten bestaat een duidelijke aanpak en afsprakenover de te leveren QOS (quality of service) voor de volgendevirtualisatie lagen: virtual machine, Virtualization Layer, clustersen resource pools.Er bestaat inzicht in de huidige onder en bovengrens vangeleverde performance en gebruikte capaciteit voor momentenmet een hoge als lage belasting.PC-03PC-04PC-05DS3.3 FuturePerformance andCapacityDS3.4 IT ResourcesAvailabilityDS3.5 Monitoring andReportingEr bestaan inzichtelijke referentiekader voor CPU, geheugen,opslag en netwerk gebruik. Deze componenten wordengemonitored voor de volgende virtualisatie lagen: VM,Virtualization Layer, clusters en resource pools. Dereferentiekaders zijn actueel en worden gebruikt om te reagerenop overbelasting volgens het geformuleerde performance encapaciteitsplan.Actuele referentiekaders worden gebruikt om de toekomstigeprestatie indicatoren en het capaciteitsverbruik te voorspellen.Analyses worden gebruikt om de impact op de gevirtualiseerdeinfrastructuur (CPU, geheugen, opslag en netwerk) te bepalen.Voor eventuele performance en capaciteitsproblemen wordenacties gedefinieerd, gecommuniceerd en gemonitored.De ontwikkelingen op het gebied van prestatie en capaciteitmanagement worden periodiek verwerkt in een resource plan tenopzichte van beschikbare resources. Er wordt rekening gehoudenmet de geldende QOS (quality of service) afspraken van despecifieke gevirtualiseerde omgeving. Ook bestaat er aandachtvoor gemaakte beleid keuzes (bijvoorbeeld of het mogelijk is dathet geformuleerde continuïteitsplan kan blijven wordenuitgevoerd).De actuele informatie van geleverde prestaties en verbruiktecapaciteit voor de volgende virtualisatie lagen: VM,Virtualization Layer, clusters en resource pools worden gebruiktom de actuele dienstverlening verder te optimaliseren en omover de geleverde QOS te rapporteren richting degebruikersorganisatie. Afwijkingen worden geanalyseerd engereflecteerd ten opzichte van de huidige configuratie van de(virtuele) infrastructuur.---------------------------------------------------------------------------------------------------------------------------Pagina 34

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4.5 Ensure continuous service (DS04)Continuïteitsbeheer is binnen CobiT bekend onder de naam “DS4 Ensure Continuous Service”. Hetproces is ingericht om in het geval van een calamiteit de impact op de organisatie en debedrijfsprocessen tot een minimum te beperken. Het proces voorziet in het ontwikkelen, onderhoudenen testen van (IT) continuïteitsplannen, het gebruik van (offsite) back-up mogelijkheden en periodiekecontinuïteitstrainingen. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgtgedefinieerd (ITGI, 2007):“Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van deautomatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit ofeen incident tot een minimum beperkt.”CobiT onderkent voor dit proces een tiental beheersmaatregelen welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven:• DS4.1 IT Continuity Framework;• DS4.2 IT Continuity Plans;• DS4.3 Critical IT Resources;• DS4.4 Maintenance of the IT Continuity Plan;• DS4.5 Testing of the IT Continuity Plan;• DS4.6 IT Continuity Plan Training;• DS4.7 Distribution of the IT Continuity Plan;• DS4.8 IT Services Recovery and Resumption;• DS4.9 Offsite Backup Storage;• DS4.10 Post-resumption Review.Binnen het domein van continuïteitsmanagement, bestaan twee essentiële criteria die in hoge mate demanier waarop virtualisatie wordt geïmplementeerd bepalen (VMware, 2006c):• recovery point objective (RPO): Beschrijft de ouderdom van de nog te herstellen(gesynchroniseerde) data.• recovery time objective (RTO): Beschrijft de benodigde tijd om de gesynchroniseerde dataterug te zetten.Afhankelijk van de gekozen RPO en RTO waarde zal een bedrijf een bepaalde implementatie keuzemaken over de manier waarop de continuïteit wordt gewaarborgd. Dergelijke implementaties kunnenop de volgende wijze verschillen (VMware, 2006c):• Continuous availability: Processen zijn volledig gesynchroniseerde over minimaal tweelocaties.• On-line and near-line hot sites: Er bestaat een uitwijklocatie met benodigde apparatuur. Datamoet worden overgehaald.• Backup to tape: data wordt opgeslagen op tapes en moet per tape worden hersteld.Traditioneel is continuïteitsmanagement een uitdagende exercitie om te implementeren en het blijkt inpraktijk erg lastig te testen. Daarnaast is continuïteitsmanagement erg kostbaar indien bijvoorbeeldgekozen wordt voor bijvoorbeeld een implementatie van “continuous availability” Een dergelijkeimplementatie verlangt een volledig ingerichte tweede locatie (ofwel redundantie van de hardware).Virtualisatie biedt diverse nieuwe mogelijkheden op het gebied van continuïteitsmanagement,waardoor continuïteitsmanagement ook voor kleinere bedrijven toegankelijker wordt. Het is geenonderdeel van deze scriptie om alle continuïteitsmanagement implementaties voor virtualisatie tebespreken. Er bestaan immers legio mogelijkheden. Er wordt derhalve volstaan om een enkelespecifieke mogelijkheden te beschrijven zoals momenteel beschikbaar binnen devirtualisatieplatformen. Dit betekent overigens niet dat de oude implementaties van---------------------------------------------------------------------------------------------------------------------------Pagina 35

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------continuïteitsmanagement zijn achterhaald.Vervolgens zullen specifieke risico’s en noodzakelijkebeheersmaatregelen worden geidentificeerd.Specifieke virtualisatiefunctionaliteit met betrekking tot continuïteitsmanagement bestaat o.a. uit(VMware, 2006a)(VMware, 2006d)(Bowker, 2008):• Overzetten van VM’s tussen fysieke servers: Binnen een gevirtualiseerde omgeving bestaanvaak meerdere fysieke servers waarop één of meerdere logische VM’s draaien. Met eenverplaatsingsfunctionaliteit, binnen VMware Vmotion genaamd, kan een VM van de enefysieke machine overgezet worden naar een andere fysieke machine. Op deze manier kanbijvoorbeeld ruimte op een fysieke server worden gecreëerd voor andere VM’s.• Automatisch overzetten: Deze functionaliteit kan binnen virtualisatieplatformen nog verderworden uitgebreid door het overzetten van een VM volledig automatisch te latenplaatsvinden. Op basis van vooraf ingestelde configuratie-instellingen kan wordenafgedwongen dat bij bepaalde prestatie en capaciteitslimieten een VM wordt overgezet naareen minder intensief belaste fysieke server. Binnen VMware wordt deze functionaliteit DRSgenoemd.• Cluster: Een andere functionaliteit op het gebied van continuïteit is bekend onder de naamresource-clustering. Binnen een niet gevirtualiseerde omgeving is dit vergelijkbaar met hetclusteren van databases met bijvoorbeeld Microsoft Cluster Service (MSCS). Binnen eendergelijke configuratie moeten resources dubbel worden uitgevoerd en bestaat er eenmechanisme dat in geval van een storing de ene instantie (secondaire) het overneemt van deandere instantie (primaire). Binnen VMware is een dergelijke functionaliteit geïmplementeerdonder de naam HA (high availability). HA maakt gebruik van resource clusters. Dit betekentdat de resources die binnen het cluster zijn opgenomen, virtueel worden samengevoegd. Erwordt hierbij een service geïnstalleerd op elke server binnen de resource pool en er wordtdoorlopend gecontroleerd of alle servers nog actief reageren op signalen. Indien een serverniet reageert , worden alle virtuele servers van deze fysieke host verplaatst naar een anderefysieke host binnen het cluster.• Back-ups: Binnen een gevirtualiseerde infrastructuur wordt vaak nog steeds gebruik gemaaktvan tapes. Ongeacht de nieuwe mogelijkheden die virtualisatie ons biedt, zal dit ook nietdirect veranderen. Al is het vanwege bewaartermijnen van data e.d. Virtualisatie biedt echterook op dit vlak nieuwe mogelijkheden in de vorm van snapshots. Een snapshot maakt nietmeer een traditionele back-up van data of een applicatie maar neemt een foto (snapshots) vande gehele VM.• Portabiliteit: Als een rode draad door deze scriptie wordt erop gewezen dat virtualisatiehardware loskoppeld van de logische (besturingssyteem) laag. Op het gebied van continuïteitbetekent dit in het geval van een redundant uitgevoerde infrastructuur, de hardwareconfiguratie niet meer identiek hoeft te zijn. In een niet gevirtualiseerde infrastructuur moetvoor een applicatie de hardware van twee server instanties volledig identiek zijn ombijvoorbeeld een image (copy van een configuratie) terug te kunnen zetten. Deze beperkingbestaat binnen de virtueel uitgevoerde infrastructuur niet meer, wat tot grote besparingen kanleiden, aangezien de hardware niet altijd evenredig hoeft te worden ge-update.Het belangrijkste risico voor continuïteitsmanagement bij virtualisatie is dat er meerdere virtueleservers op één fysieke machine draaien, waardoor de impact van uitval van deze fysieke server veelgroter wordt. Er ontstaat een ‘single point of failure’, voor meerdere VM’s. De impact voor deorganisatie neemt nog eens toe indien gekeken wordt naar ketens (Hau & Araujo, 2007). Alsbijvoorbeeld een gevirtualiseerde applicatieserver op een fysieke server gebruik maakt van eenonderdeel (bijvoorbeeld een databaseserver) dat op de falende fysieke server draait, dan zal ook dezeapplicatie hiervan hinder ondervinden.Bij een continuous service implementatie, waarbij beide omgevingen volledig zijn gevirtualiseerd kaner alsnog een risico optreden. VM’s zijn namelijk flexibel en kunnen eenvoudig over de verschillendeservers worden gemigreerd (zelfs volledig automatisch). Dit kan ertoe leiden dat twee virtueeluitgevoerde servers op dezelfde fysieke server worden uitgevoerd. Het falen van de fysieke server zal---------------------------------------------------------------------------------------------------------------------------Pagina 36

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------in een dergelijk geval tot het falen van beide VM’s leiden. Bij het redundant uitvoeren van VM’s,dient derhalve een fysieke scheiding van servers te worden gehaneerd.Door introductie van de virtuele laag, moet er ook een back-up worden gemaakt van de virtueleinfrastructuuren er moet worden gewaarborgd dat deze infrastructuur kan worden hersteld. Van allerelevante VM’s moet een back-up worden gemaakt en hierbij dient rekening te worden gehouden meteventueel niet actieve VM’s (Baldwin e.a.2008). Het snel starten en stoppen van VM’s biedt nieuwemogelijkheden voor beheerders om een VM tijdelijk uit te zetten. Dit betekent dat een dergelijkeapplicatie mogelijk ten onrechte niet wordt meegenomen in de creatie van back-ups.De hedendaagse virtualisatieproducenten bieden legio nieuwe mogelijkheden op het vlak vancontinuïteitsmanagement. Toch verdient de database hierbij vaak een “status aparte”. Hierbij speleneen tweetal aspecten. Ten eerste maakt een database zijn besluiten op basis van de onderliggendehardwareconfiguratie. Deze configuratie wordt bij virtualisatie onzichtbaar (Aboulnaga, 2008). Defysieke hardware is vervangen door een logische configuratie. Ten tweede reageren de doorvirtualisatieproducenten aangeboden oplossingen zoals Vmotion, DRS en HA op basis van informatieover de VM. De vraag is bijvoorbeeld bij resource-clustering of eventuele problemen op de databaselaag tijdig worden opgemerkt door de virtualisatiefunctionaliteit om de database te verplaatsenwaarbij de integriteit blijft gewaarborgd. Aboulnaga e.a. (2009) wijzen erop dat juist op het vlak vancommunicatie tussen het databasesysteem en de virtualisatielaag er een verdergaande ontwikkeling isgewenst. Ook de snapshot functionaliteit om back-ups te maken op een databaseserver kan hetvoorkomen dat een database niet in consistente toestand verkeerd (als bijvoorbeeld nog niet alletransacties volledig zijn verwerkt). Bij de implementatie van continuiteitsmanagement is het derhalvevan belang dat de oplossing geschikt is voor de applicatie en dat de implementatie door de leverancierwordt ondersteund.Een belangrijk onderdeel van het continuïteitsplan betreft de Disaster Recovery. Dit onderdeel is eropgericht op het tijdig en volledig herstellen van (onderdelen van) de automatiseringsomgevingmogelijk op een alternatieve locatie. Hierbij is het van belang dat de restore locatie en ingerichteinfrastructuur aan dezelfde BIV classificatie eisen voldoen als de primaire locatie en infrastructuur(Butler & Vandenbrink, 2009). Een disaster recovery kan eruit bestaan dat VM’s weer opnieuwworden opgestart. VM’s zijn immers logische bestanden en middels een druk op de knop opnieuw opte starten. Hierdoor wordt het veel eenvoudiger om een disaster recovery in praktijk te toetsen(Bowker, 2008).Hoewel virtualisatie dus nieuwe risico’s introduceert, gaat dit hand in hand met nieuwemogelijkheden. De voordelen die virtualisatie kan bieden, stellen echter ook eisen aan deinfrastructuur. Vaak is functionaliteit als Vmotion, DRS en HA pas mogelijk indien er gebruikgemaakt wordt van een gezamenlijke data-opslag zoals een SAN. De nieuwe functionaliteit alssnapshots lijkt misschien bruikbaar, maar bij het opzetten van een continuïteitsplan moet men zichgoed realiseren dat hierbij een ontzettend grote hoeveelheid data over het netwerk moet wordenverplaatst. Er zal een afweging gemaakt moeten worden waarbij de voor en nadelen van de gekozenimplementatie, de impact op de infrastructuur en RTO / RPO eisen vanuit de organisatie wordengeëvalueerd.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieBM-01Referentie CobiTbeheersmaatregelDS4.1 IT ContinuityFrameworkGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr zijn organisatorische keuzes gemaakt over de manier waaropinvulling wordt gegeven aan continuïteitsmanagement. Hierbij zijnde mogelijkheden van virtualisatie geëvalueerd en is rekeninggehouden met de voor en nadelen van virtualisatie, impact opinfrastructuur en RTO / RPO eisen vanuit de organisatie.---------------------------------------------------------------------------------------------------------------------------Pagina 37

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieBM-02BM-03Referentie CobiTbeheersmaatregelDS4.2 IT ContinuityPlansDS4.3 Critical ITResourcesGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr bestaat een uitgewerkt continuïteitsbeleid en vertaling naar eenconcreet plan.Er heeft een inventarisatie van kritieke resources plaatsgevonden.Binnen het plan bestaat aandacht voor de Beschikbaarheid,Integriteit en Vertrouwelijkheid classificatie van de virtueleinfrastructuuren kritieke proces ketens van VM’s binnen en overmeerdere fysieke server heen.De richtlijnen, rollen, verantwoordelijkheden, procedures,communicatie processen en test aanpak zijn duidelijk beschrevenvoor de virtuele-infrastructuur. Er wordt rekening gehouden metniet actieve VM’s.Er is zekerheid verkregen over de mate waarin de gekozenimplementatie van virtualisatiefunctionaliteit geschikt is voor dedesbetreffende applicatie en wordt ondersteund door leveranciers.Voor de kritieke resources is een concreet plan uitgewerkt waarbijrekening wordt gehouden met de RTO en RPO eisen. De eisen zijnvertaald naar concrete implementaties binnen de virtueleinfrastructuur.BM-04BM-05BM-06BM-07BM-08BM-09DS4.4 Maintenance of theIT Continuity PlanDS4.5 Testing of the ITContinuity PlanDS4.6 IT Continuity PlanTrainingDS4.7 Distribution of theIT Continuity PlanDS4.8 IT ServicesRecovery and ResumptionDS4.9 Offsite BackupStorageVoor redundant uitgevoerde VM’s bestaan maatregelen die ervoorwaken dat de VM’s op fysiek gescheiden servers wordenuitgevoerd.Voor wijzigingen in het continuïteitsplan wordt de impact op devirtuele-infrastructuur verwerkt.Wijzigingen op de virtuele-infrastructuur worden verwerkt inbestaande procedures.Het continuïteitsplan / disaster recovery wordt periodiek getoetst.Hierbij wordt gelet op geschiktheid van de geïmplementeerdeprocedures voor de virtuele-infrastructuur.Er bestaat voldoende kennis en kunde van de virtueleinfrastructuurzodat het continuïteitsplan kan worden uitgevoerd.Het continuïteitsplan wordt verstrekt aan beheerders van devirtuele-infrastructuur. Wijzigingen in het continuïteitsplan op hetniveau van de virtuele-infrastructuur worden verstrekt aan allebetrokkenen.Er bestaan procedures om alle betrokkenen te informeren over deimpact voor de organisatie van continuïteitsmaatregelen op devirtuele-infrastructuur.De uitwijklocatie en virtuele-infrastructuur voldoen aan dezelfdeeisen als de primaire productielocatie en virtuele-infrastructuur.BM-10DS4.10 Post-resumptionReviewBack-ups van de Virtuele-infrastructuur en VM's die externworden opgeslagen zijn geclassificeerd op basis vanBeschikbaarheid, integriteit en volledigheid. De offsiteopslaglocatie voldoet aan de BIV classificatieDe resultaten van een succesvolle uitvoering van hetcontinuïteitsplan worden geëvalueerd. Hierbij worden deprocedures voor de virtuele-infrastructuur beoordeeld op mogelijkeverbeteringen.---------------------------------------------------------------------------------------------------------------------------Pagina 38

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4.6 Ensure systems security (DS05)Binnen het CobiT-raamwerk wordt ‘Security’ voor een groot gedeelte behandeld door het proces“DS5 Ensure Systems Security”. Security raakt echter de complete IT-architectuur en komt daaromook in andere beheersdoelstelling terug zoals ‘PO2 Define the Information Architecture’ en ‘PO9Assess and Manage IT Risks’. Volgens CobiT is systeembeveiliging vereist om de integriteit vaninformatie te handhaven en de IT bezittingen te beschermen (ITGI, 2007). Er dient aandacht teworden besteed aan het bepalen van en het handhaven van de veiligheidsrollen enverantwoordelijkheden, beleid, standaarden en procedures. Daarnaast omvat systeembeveiliging ookhet uitvoeren van monitoring het periodiek testen en het uitvoeren correctieve acties voorgeïdentificeerde beveiligingszwakheden of incidenten. De beheersdoelstelling voor dit proces wordtin CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordtde integriteit van de informatievoorziening en IT-infrastructuur onderhouden waarbij de impact vanbeveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.”Vanuit CobiT worden hiertoe een aantal beheersmaatregelen gedefinieerd welke hieronder kortworden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen dewijzigingen die voor dit proces zijn geïdentificeerd worden beschreven.• DS5.1 Management of IT Security;• DS5.2 IT Security Plan;• DS5.3 Identity Management;• DS5.4 User Account Management;• DS5.5 Security Testing, Surveillance and Monitoring;• DS5.6 Security Incident Definition;• DS5.7 Protection of Security Technology;• DS5.8 Cryptographic Key Management;• DS5.9 Malicious Software Prevention, Detection and Correction;• DS5.10 Network Security;• DS5.11 Exchange of Sensitive Data.De architectuur die verschillende fabrikanten hebben ontwikkeld onder de term virtualisatie is reeds inhoofdstuk 2 besproken. Om op de cruciale beveiligingsaspecten in te zoemen zal er aansluitingworden gezocht op de verschillende componenten van een gevirtualiseerde infrastructuur. Hierbij zalde terminologie die door VMware wordt gehanteerd worden overgenomen. De beschreven aspectenzijn echter generiek en worden door de verschillende fabrikanten toegepast, hetzij met een andereterminologie. De volgende onderverdeling zal binnen deze sectie worden gehanteerd:• Algemeen;• Virtual Machine (VM);• Service Console;• VirtualCenter;• Virtualization Layer;• Virtual network;• Virtual Storage;4.6.1 AlgemeenVoordat ingezoomd zal worden op de verschillende componenten binnen de gevirtualiseerdeinfrastructuur, zullen een aantal generieke beheersmaatregelen worden besproken die voor de gehelevirtuele-infrastructuur van toepassing zijn.---------------------------------------------------------------------------------------------------------------------------Pagina 39

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------IT‐beveiligingsplanEr dient voor alle componenten binnen de virtuele-infrastructuur aandacht te bestaan voor beveiliging.Beveiliging is immers niet iets wat op één plek wordt toegepast, maar wat als een rode draad door degehele organisatie dient te lopen. Specifiek kijkend naar het onderdeel virtualisatie, betekent dit datbinnen het IT-beveiligingsplan aandacht moet worden besteed aan de rollen, verantwoordelijkheden,beleid, standaarden en procedures voor de componenten van een virtuele-infrastructuur. Daarnaastmoet het geformuleerde proces worden getest en dient er periodiek een verificatie van de configuratievan het virtualisatie platform plaats te vinden. De configuratie is uitgewerkt in een gedefinieerdestandaard (baseline). Deze beheersmaatregelen wijken in essentie niet af van een niet gevirtualiseerdeIT-omgeving, hetzij de diepgang waarop invulling gegeven dient te worden aan debeheersmaatregelen. De beheersmaatregelen zullen nu namelijk ook moeten worden toegepast op devirtualisatielaag.ReferentieSE-01Referentie CobiTbeheersmaatregelDS5.1 Management of ITSecurityGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDe consequenties van virtualisatie op de IT beveiliging isafgestemd met het (strategisch) management van de organisatieSE-02 DS5.2 IT Security Plan Het IT beveiligingsplan besteedt aandacht aan de rollen,verantwoordelijkheden, beleid, standaarden en procedures metbetrekking tot de gevirtualiseerde infrastructuur laag.SE-03DS5.5 Security Testing,Surveillance andMonitoringEr bestaat een periodiek proces voor het monitoren vanbeveiligingsinstellingen ten opzichte van een gedefinieerdestandaard voor de gevirtualiseerde infrastructuur laag.Naast deze algemene beheersmaatregel bestaan er meer specifieke beheersmaatregelen voor deverschillende virtualisatiecomponenten. Deze meer specifieke beheersmaatregelen zullen in denavolgende secties worden besproken.4.6.2 Virtual machine (VM)Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een VMbeschreven. Voor meer informatie over een VM, zie paragraaf 4.6.2Risico’s van de Virtual MachineDe VM vormt de schil waarbinnen een besturingssysteem draait. De sleutel binnen IT beveiliging vaneen gevirtualiseerde omgeving is het bewustzijn dat een VM, het equivalent is van een fysieke server(VMware, 2008). De VM wordt aan dezelfde beveiligingsrisico’s blootgesteld als een fysieke server.Elke VM dient derhalve aan dezelfde beveiligingsmaatregelen te voldoen als een fysieke serverimplementatie. Hierbij moet gedacht worden aan de implementatie van antivirus, spyware filters,intrusion detection systemen en patch management. Speciale aandacht gaat hierbij uit naarzogenaamde slapende (niet actief draaiende) VM’s. De ingerichte procedures moeten erop ingerichtzijn dat ook eventueel niet actief draaiende VM’s worden voorzien van de gesteldebeveiligingsmaatregelen.ReferentieSE-04Referentie CobiTbeheersmaatregelDS5.9 Malicious SoftwarePrevention, Detection andCorrectionGeïdentificeerde beheersmaatregel t.b.v. virtualisatieElke VM is voorzien van antivirus, antispyware, intrusiondetection, security hardening en patch management. De ingerichteprocedures zorgen ervoor dat deze maatregelen ook wordenafgedwongen voor eventueel slapende virtual machines.---------------------------------------------------------------------------------------------------------------------------Pagina 40

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Virtual Machine beveiligingsaanvallenMet de VM beveiligingsaanvallen wordt gedoeld op aanvallen op het niveau van de VM, bestaandeuit het benaderen van of het gebruik binnen de VM. Specifiek voor het VM niveau worden doorJolliffe (2007) een tweetal mogelijke beveiligingsrisico’s genoemd, die kort zullen wordenbeschreven.“Denial of service attack via resource starvation”: Met dit type aanval wordt door de aanvallergeprobeerd zoveel mogelijk resources aan te spreken zodat de VM het aantal verzoeken niet meer kanverwerken. Dit type aanval bestaat ook binnen een niet gevirtualiseerde omgeving, echter het gevaarbinnen een virtuele omgeving is dat andere VM’s beïnvloed kunnen worden door een aanval op eenwillekeurige VM op hetzelfde platform. Binnen de ESX server is de impact van een dergelijke aanvalop andere VM’s eenvoudig te voorkomen door gebruik te maken van limieten. Voor meer informatieop dit vlak is beschreven in paragraaf 4.4 “Manage performance and capacity (DS03)”.“Attack via VI console”: Door gebruik te maken van VI Console toegang, waarmee connectie kanworden gemaakt met de console van een VM, beschikt een gebruiker over enkele specifieke functieszoals het uitschakelen van de VM of het configureren van externe apparatuur. Dergelijke functiesvormen een risico voor de beschikbaarheid (uitschakelen van de VM) als de integriteit envertrouwelijkheid (er kan allerlei software worden aangeroepen of worden gekopieerd van of naar deexterne apparatuur). Het wordt daarom sterk aanbevolen om het aantal gebruikers die middels eenremote connectie toegang kunnen krijgen tot een VM te beperken.ReferentieSE-05Referentie CobiTbeheersmaatregelDS5.4 User AccountManagementGeïdentificeerde beheersmaatregel t.b.v. virtualisatieBeperk het aantal gebruikers die een remote connectie toegangkunnen krijgen tot een VM tot het strikt noodzakelijke. Dezegebruikers beschikken over functionaliteit om de VM uit teschakelen of externe apparatuur te configureren.Virtual Machine TemplatesHet wordt binnen een gevirtualiseerde infrastructuur eenvoudiger om een VM uit te rollen. Naast hetbeheersen van het aantal VM’s (zie 4.3 Manage changes (AI06)), is het van belang dat er geenwildgroei ontstaat in de manier waarop VM’s zijn geconfigureerd (VMware, 2008). Om dit tebewerkstelligen bestaat enerzijds een detectieve beheersmaatregel met betrekking tot het monitorenvan beveiligingsinstellingen. Anderzijds wordt het sterk aanbevolen, zoveel mogelijk gebruik temaken van templates. Door middel van een VM template kan de actuele VM baseline wordengedefinieerd. Bij het uitrollen van een VM dient vervolgens gebruik te worden gemaakt van eenvoorgedefinieerde template. Het beheersen van de VM’s wordt daarmee een stuk eenvoudiger envormt een eerste stap om consistentie ten aanzien van de gedefinieerde baseline af te dwingen. Debaselines dienen overeenkomstig te zijn met de geldende BIV kwaliteitsaspecten.ReferentieSE-06Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr bestaan geaccordeerde Virtual Machine templates inovereenstemming met de gedefinieerde kwaliteitsaspectenbeschikbaarheid, integriteit en volledigheid.---------------------------------------------------------------------------------------------------------------------------Pagina 41

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Copy‐pasteIn sommige situaties is het mogelijk om data te kopiëren en te plakken middels het plakbord(clipboard) tussen de remote console en het VM besturingssysteem (VMware, 2008)(NSA, 2008).Hierdoor kan (onbedoeld) gevoelige data voor de VM beschikbaar komen. Het wordt aanbevolen dezefunctionaliteit te blokkeren. Het blokkeren van deze functionaliteit moet voor elke VM afzonderlijkegebeuren en kan daarom het beste binnen een template worden geconfigureerd.ReferentieSE-07Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataGeïdentificeerde beheersmaatregel t.b.v. virtualisatieBlokkeer het gebruik van copy-paste functionaliteit tussen deremote console en het VM besturingssysteem. Blokkeer dezefunctionaliteit op elke VM en bij voorkeur binnen devoorgedefinieerde templates.Non persistent disksBij een non persistent disk wordt data niet fysiek weggeschreven op de harddisk. Alle wijzigingenworden in een tijdelijk bestand opgeslagen en bij het herstarten van een VM zijn alle zogenaamdweggeschreven wijzigingen verloren. Het gevaar bij het gebruik van non persistent disks is dat eenmogelijk aanvaller toegang heeft kunnen verkrijgen tot een bepaalde VM en na het uitvoeren van zijnongeoorloofde acties de VM opnieuw laat opstarten. Alle wijzigingen die de aanvaller heeftuitgevoerd, zijn niet meer te achterhalen, terwijl de VM wel nog steeds kwetsbaar is voor deuitgevoerde aanval. Non persistent disks kunnen er derhalve voor zorgen, dat aanvallen niet wordenopgemerkt. Een andere mogelijkheid om dergelijke aanvallen inzichtelijk te krijgen is deimplementatie van een centrale log server, zie sectie 4.6.3 Service Console (Audit logging en review).ReferentieSE-08Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieMaak geen gebruik van non persistent disks voor productieservers.Indien non persistent disks worden toegepast dienen eradditionele maatregelen te zijn geïmplementeerd om logfilesveilig te stellen, bijvoorbeeld een centrale log server.Ongeautoriseerde apparatuurFysieke servers worden vaak vanuit beveiligingsoogpunt standaard niet uitgerust met externeapparatuur. Op deze manier wordt zoveel mogelijk voorkomen dat ongeautoriseerde bestandenbeschikbaar komen of dat (vertrouwelijke) data kan worden meegenomen. Ook een VM draait veelalin een datacenter omgeving en er bestaat daarom meestal geen reden om het gebruik van externeapparatuur toe te staan. Externe apparatuur zoals CD/DVD worden veelal uitsluitend bij installatiegebruikt en dienen zoveel mogelijk te worden geblokkeerd.Tijdens gesprekken met virtualisatie experts wordt aangedragen dat dit in sommige gevallen totproblemen kan leiden. Er bestaat immers software waarvoor vanwege licentie overwegingen gebruiktwordt gemaakt van een externe dongle. Virtualisatie biedt echter mogelijkheden om hier een aparteVM voor in te richten die uitsluitend actief wordt gemaakt indien vereist.---------------------------------------------------------------------------------------------------------------------------Pagina 42

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------ReferentieSE-09SE-10Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataDS5.11 Exchange ofSensitive DataGeïdentificeerde beheersmaatregel t.b.v. virtualisatieBlokkeer het mogelijke gebruik van externe apparatuur voor alleVM’s, tenzij strikt noodzakelijk. Er bestaat een duidelijk beleid enprocedures voor het gebruik van eventuele externe apparatuur.Blokkeer het automatisch detecteren van USB devices voor VM’s.Wijzigen van Virtuele schijfruimteBinnen een VM bestaat de mogelijkheid om de virtuele schijfruimte aan te passen. Dit wordt diskshrinking (kleiner maken) of DiskWiper (groter maken) genoemd. De gebruikte ruimte van de virtualdisk op de fysieke disk kan hiermee worden aangepast. Bij enkele virtualisatie platformen kan dezeoptie door normale gebruikers (zonder beheerrechten) en processen worden uitgevoerd (VMware,2008)(Bats, 2009). De functie kan worden misbruikt in de vorm van een denial of service aanval.Door het herhaaldelijk achter elkaar de virtuele schijfruimte aan te passen kan de virtuele schijfonbeschikbaar worden. Het wordt aanbevolen geen gebruik te maken van disk shrinking.ReferentieSE-11Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieBlokkeer de functionaliteit van disk shrinking of disk wiperindien hier geen noodzaak toe bestaat.VMWare ESX specifiek: disk shrinking en disk wiper zijnmethoden om de schijfruimte groter / kleiner te maken. Frequentgebruik kan leiden tot het niet meer beschikbaar zijn van virtueleschijf.Toegangsrechten op Virtual Machine bestandenBinnen een niet gevirtualiseerde omgeving is het niet eenvoudig de beschikking te krijgen over eenserver. Dit betekent namelijk dat de server meegenomen moet worden vanuit zijn beveiligdeomgeving. Virtualisatie maakt gebruik van zogenaamde virtuele harde schijven (opslag). Dezevirtuele opslag bestaat uit een aantal logische bestanden die op een fysieke locatie worden opgeslagen.Het is uitermate belangrijk dat deze systeembestanden worden beveiligd, die vaak in de vorm vanplatte tekst worden opgeslagen (Hau & Araujo, 2007). Hierdoor bestaat bij virtualisatie het risico datiemand ongeoorloofd toegang of de beschikking krijgt over een (logische) server (VM). Het is daaromvan wezenlijk belang dat er een adequaat toegangsbeheer tot logische systeembestanden bestaat.ReferentieSE-12Referentie CobiTbeheersmaatregelDS5.3 IdentityManagementGeïdentificeerde beheersmaatregel t.b.v. virtualisatieToegang tot logische systeembestanden (Virtual Machine) zijnafgeschemd voor ongeoorloofde toegang.VMware ESX specifiek: Toegangsrechten tot hetconfiguratiebestand (.vmx) moet ingesteld zijn als read, write,execute (rwx) voor eigenaar en read en execute (r-x) voor Group(755). Toegangsrechten voor de virtual disk van de virtualmachine (.vmdk) moet ingesteld zijn als read en write(rw-) voorde owner (600). Voor al deze bestanden moet de user en Groupingesteld zijn als root.---------------------------------------------------------------------------------------------------------------------------Pagina 43

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.6.3 Service ConsoleBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een ServiceConsole beschreven. Voor meer informatie over een Service Console, zie paragraaf 2.5.3Service Console configuratieDe Service Console van VMware is gebaseerd op een Red hat Linux distributie. Hetbesturingssysteem is speciaal aangepast voor communicatie met en beheer van de VirtualizationLayer. Ook andere leveranciers hebben hun zogenaamde Service Console vaak dermate aangepast datvan een nieuw besturingssysteem kan worden gesproken. De Service Console, ongeacht van welkefabrikant, moet derhalve niet als een generiek besturingssysteem worden beschouwd, welk meelooptin de algemene patching en beveiligingsprocedures. Voor de Service Console dient een speciaalproces te worden ingericht. Uitsluitend patches van de desbetreffende leverancier mogen wordengehanteerd (NSA, 2008)(VMware, 2008). Ook het monitoren van beveiligingsinstellingen is voor deService Console afwijkend ten opzichte van besturingssystemen draaiende binnen en VM. Door deaanpassingen die in een Service Consoles zijn aangebracht, worden beveiligingsafwijkingen vaak tenonrechte door beveiligingssoftware gerapporteerd. Voor de beveiligingsrichtlijnen van de ServiceConsole wordt een nauwe afstemming met de best practices van de desbetreffende leverancieraanbevolen.ReferentieSE-13SE-14Referentie CobiTbeheersmaatregelDS5.9 Malicious SoftwarePrevention, Detection andCorrectionDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieControleer periodiek op nieuwe patches en updates. Installeeruitsluitend patches geaccordeerd door leverancier van de ServiceConsole.Patches doorlopen het algemene change en configuratiemanagement proces.Gebruik een beveiligingstool waarvoor is vastgesteld dat dezegeschikt is voor het controleren van beveiligingsinstellingen vande Service Console. Behandel de Service Console niet als eenstandaard besturingssysteem.Service Console firewallIndien een aanvaller toegang verkrijgt tot de Service Console, is men in staat op een groot aantalattributen van de virtualisatieserver aan te passen. De gehele virtual switch configuratie of autorisatiemethoden kunnen worden aangepast. De Service Console is het controle mechanisme voor devirtualisatieserver en bescherming is daarom cruciaal (VMware, 2008). De verschillende leveranciersbieden een firewall configuratie tussen de Service Console en het netwerk. Het is belangrijk dezeconnectie zeer goed te beschermen. De Service Console dient een specifiek doel, namelijk hetbeheersen van de gevirtualiseerde omgeving. De Service Console dient ook uitsluitend hiervoor teworden gebruikt. Vermijd de installatie van third party software binnen de Service Console (NSA,2008)(VMware, 2008).Met de introductie van virtualisatie worden er een aantal nieuwe vormen van netwerk verkeergeïntroduceerd. Voorbeelden hiervan zijn het klonen van complete machines of het migreren vanvirtuele machines van de ene naar de andere fysieke server. Het is belangrijk dat er inzicht bestaatover de protocollen die door dergelijke functionaliteit worden gebruikt en eventuelebeveiligingrisico’s hiermee samenhangende. Door meer software en services te gebruiken, zullen ermeer poorten binnen de Service Console firewall moeten worden opengesteld. Het wordt dan ook tenstrengste aanbevolen om software van derden en het aantal services te beperken tot het striktnoodzakelijke. Hierdoor blijft het aantal poorten dat in de firewall moet worden opengesteld eveneensbeperkt. Blokkeer alle inkomend als uitgaand verkeer indien hier niet een actieve applicatie ofservices aan gerelateerd is. Services of software binnen de service console die worden toegestaan,---------------------------------------------------------------------------------------------------------------------------Pagina 44

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------moeten vanuit beheersbaarheid altijd worden gedocumenteerd (Jolliffe, 2007). Eventuelenoodzakelijke services waarvoor toegang wordt verschaft zijn veelal management, opslag,authentificatie, NTP en backup tools (CIS, 2007).ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-15 DS5.10 Network Security Blokkeer alle inkomende en uitgaande verkeer van de ServiceConsole firewall indien hier geen actieve service aan is gekoppeld.Sta uitsluitend connecties naar interne beveiligde netwerken toe enblokkeer connecties naar het internet.SE-16 DS5.10 Network Security Sta uitsluitend als veilig bestempelde protocollen toe voor ServiceConsole connecties. Blokkeer clear text protocollen als FTP,Telnet e.d.SE-17 DS5.10 Network Security Beperk het gebruik van (third party) software en services binnende Service Console tot het strikt noodzakelijke. De Service consoledient uitsluitend voor beheer doeleinden. Applicaties en serviceshebben betrekking tot beheerfunctionaliteit zoals opslag,authentificatie, NTP of back-up tools.SE-18 DS5.10 Network Security Documenteer voor de Service Console alle additionele poorten ofgeïnstalleerde services die zijn opengezet of geïnstalleerd met eentoelichting.Encryptie tussen cliënts en de Service ConsoleDe communicatie tussen cliënts en de Service Console dient altijd middels encryptie te zijn beveiligd.Een client wordt hierbij beschouwd als de verschillende toegangspaden waarmee connectie met hetgevirtualiseerde platform kan worden opgebouwd. Deze toegangspaden bestaande uit een remoteconnectie, VI client, VI web access en het Service Center zijn in hoofdstuk 2 beschreven. ServiceConsole toegang over onveilige netwerken kan misbruikt worden middels een man-in-the-middleaanval, waarbij ongeautoriseerde toegang kan worden verkregen (Jolliffe, 2007). Standaard wordtbinnen virtualisatie platformen vaak gewerkt met eigen certificaten. Het wordt aanbevolen om eenSSL certificaat van een erkende derde partij te gebruiken. Het beheer van dergelijke certificaten wijktniet af van een niet gevirtualiseerde omgeving (Hau & Araujo, 2007)ReferentieSE-19Referentie CobiTbeheersmaatregelDS5.8 Cryptographic KeyManagementGeïdentificeerde beheersmaatregel t.b.v. virtualisatieConnecties tussen clients en de Service Console is middelsencryptie (bijv. SSL) beveiligd. Maak hierbij gebruik van erkende‘third party’ certificaten.Toegang Service Console middels web serviceDe beschikbare virtualisatie platformen bieden elk beheertoegang middels webservices. Toegang totde Service Console via het internet en de hierbij aangeboden functionaliteit moet worden beperkt tothet strikt noodzakelijke. Binnen VMware wordt dit risico zoveel mogelijk gemitigeerd door eenspeciaal ontwikkelde Tomcat webservice als onderdeel van de Virtualization Layer. Het risico totmisbruik van deze web service moet worden afgedekt door goed patch management, zie hiervoor hetproces AI6 Manage changes.---------------------------------------------------------------------------------------------------------------------------Pagina 45

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieSE-20Referentie CobiTbeheersmaatregelDS5.9 Malicious SoftwarePrevention, Detection andCorrectionGeïdentificeerde beheersmaatregel t.b.v. virtualisatieService Console toegang middels web services is beperkt infunctionaliteit en beveiligd tegen aanvallen door goed patchmanagement.Identificatie en authenticatieZoals beschreven in hoofdstuk 2, is directe toegang tot de virtualization layer mogelijk middels deService Console. Toegang tot de service Console is uitsluitend vereist voor beheertaken (highprivileged accounts ) van de virtuele-infrastructuur.Het is van belang dat er duidelijke rollen en gebruikersaccounts zijn ingericht voor het beheer vandeze uiterst kritieke virtuele-infrastructuurlaag. Evenals het beheer van de besturingssystemenlaagdient het aantal accounts tot een minimum te worden beperkt. Gebruik standaard geen generiekebeheer account op de Service Console en blokkeer standaard high privileged accounts. Zorg datgenerieke accounts uitsluitend door persoonlijke gebruikers zijn te bemachtigen, bijvoorbeeld dooreen enveloppen procedure. In de situatie van VMware ESX bijvoorbeeld door uitsluitend een beperktegroep gebruikers de rechten tot Sudo / SU te verstrekken (VMware, 2008). Wachtwoordinstellingen(sterke authenticatie) zijn ingeregeld voor de (locale) user accounts binnen de Service Console.Hiervoor gelden dezelfde uitgangspunten als voor een normaal besturingssysteem, ten aanzien vanbijvoorbeeld ouderdom en complexiteit (Jolliffe, 2007).Het uitvoeren van beheeractiviteiten middels de Service Console wordt als ongewenst beschouwd(NSA, 2008)(VMware, 2008). Maak zoveel mogelijk gebruik van de als veilig bestempelde enondersteunde beheerapplicatie en vermijd het directe gebruik van de Service Console. BinnenVMware kan dit bijvoorbeeld middels de applicaties VI client of VirtualCenter. De Service Consolebiedt een command prompt waarvoor vaak inhoudelijke kennis van specifieke commando’s is vereist.Een beheerapplicatie maakt gebruik van een speciaal ontwikkelde interface met de Service Console.Hierdoor wordt er geen direct gebruik gemaakt van commando’s en verloopt het beheer middelsspeciaal hiervoor ontwikkelde API’s (Jolliffe, 2007).ReferentieSE-21Referentie CobiTbeheersmaatregelDS5.3 IdentityManagementGeïdentificeerde beheersmaatregel t.b.v. virtualisatieZorg voor sterke authenticatie maatregelen voor toegang tot deservice console. Stel minimaal eisen ten aanzien van de ouderdomen complexiteit van wachtwoorden.SE-22SE-23DS5.3 IdentityManagementDS5.3 IdentityManagementBeperk het aantal beheerders met toegang tot de Service Consoletot het strikt noodzakelijke. Maak gebruik van persoonlijkeaccounts en zorg dat generieke accounts niet worden gebruikt vooralgemene beheertaken.VMware specifiek: Geef uitsluitend een beperkte Groep gebruikersrechten voor Sudo/SUBeperk directe beheer via de Service Console tot het striktnoodzakelijke. Maak zoveel mogelijk gebruik van een als veiliggeclassificeerde en ondersteunde beheerapplicatie.VMware specifiek: Gebruik voor algemeen beheer zoveel mogelijkde beschikbare beheerapplicaties als VI-client en VirtualCenter.---------------------------------------------------------------------------------------------------------------------------Pagina 46

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Audit logging en reviewBinnen een niet gevirtualiseerde omgeving is audit logging vereist voor de server en applicatie. Metde introductie van virtualisatie worden op dit vlak er een tweetal extra lagen toegevoegd. De auditfunctie is zowel vanuit de virtualisatieserver als het VirtualCenter mogelijk. Audit data die door devirtualisatieserver wordt verzameld wordt opgeslagen in een tekstbestand. Deze wijze verschilt nietvan de logging data, zoals deze algemeen wordt toegepast. VirtualCenter slaat daarnaast alle auditdata als events op in de VirtualCenter database. De logging functionaliteit kan mogelijk wordenmisbruikt. Er kan bijvoorbeeld een ontzettend grote hoeveelheid data worden gegenereerd zodat ereen denial of service aanval ontstaat. Om dit te voorkomen wordt het aangeraden een limiet voor deaudit logging functionaliteit in te richten. Elke organisatie zal zelf het detail van logging moetenbepalen, maar het wordt aangeraden om minimaal de volgende zaken te loggen (InfoGardLaboratories, 2006):• Het starten en stoppen van audit functies: Dit voorkomt dat tijdelijk de log faciliteit kanworden uitgezet, zodat zaken onopgemerkt blijven;• Het opstarten en afsluiten van virtual machines: Elke actie met betrekking tot het starten enstoppen van een VM dient via het change proces te verlopen. De logfiles vormt devolledigheidscontrole dat er geen VM buiten het change proces vallen;• Het aanmaken en verwijderen van virtual machines: Het aanmaken en verwijderen van eenVM kan tot een wildgroei of het verloren gaan van data leiden. Dergelijke aanvragen verlopenvia het change proces en de logfiels vormen de volledigheidscontroles dat er geen wijzigingenbuiten het change proces worden uitgevoerd;• Configureren van alarm of taken: Taken en alarmen zijn ingeregeld met een doel engoedgekeurd middels een change. Wijzigingen in de configuratie moet via een changegebeuren omdat het een impact kan hebben op de beschikbaarheid, integriteit en volledigheidvan gegevens;• Alle identificatie en authenticatie acties: Eventuele aanvallen of misbruik van resources moetaltijd kunnen herleid.Op de virtualisatielaag, bestaande uit de virtualisatieserver en de centrale beheertool (bijvoorbeeldVirtualCenter) worden beheeracties uitgevoerd die een grote impact op de integriteit van gegevenskunnen hebben. Het is daarom van belang dat er een gestructureerd monitoring proces bestaat om alleacties op deze laag te controleren. De logfiles zijn vaak handig voor beheerders vanuit hun dagelijkseactiviteiten. Dit is ook niet erg, maar logfiles dienen altijd te zijn veiliggesteld tegen manipulatie. Ditkan door een kopie op een afgeschermde lokatie te plaatsen die uitsluitend door de daartoegeautoriseerde personen is te benaderen (bijvoorbeeld een security officer).De configuratie van de Service Console en virtualization layer zijn opgeslagen in een aantal bestandenop de server. Deze bestanden bepalen in grote lijnen de manier hoe de virtualisatieserver reageert. Erdient een mechanisme te bestaan om de integriteit van deze bestanden te waarborgen. Daarnaast moetworden toegezien dat de toegangsrechten tot deze configuratiebestanden niet zijn gewijzigd. Hiervoorbestaan diverse beveiligingsapplicaties of kan gebruik worden gemaakt van een checksum applicatie(hiermee kan worden gecontroleerd of een bestand is gewijzigd).---------------------------------------------------------------------------------------------------------------------------Pagina 47

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieSE-24SE25-SE-26SE-27Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringDS5.5 Security Testing,Surveillance andMonitoringDS5.5 Security Testing,Surveillance andMonitoringDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieLogfiles registeren minimaal de volgende acties:- het starten en stoppen van audit functies- het opstarten en afsluiten van virtual machines- het aanmaken en verwijderen van virtual machines- configureren van alarm of taken- alle identificatie en authenticatie acties.Logfiles worden op een afgeschermde locatie opgeslagen en zijnuitsluitend door een beperkte groep gebruikers te raadplegen.Log files worden voor een bepaalde periode bewaard en er zijnmaxima geformuleerd voor de retentie van log bestanden.De registreerde events van de virtualisatielaag worden periodiekdoor een security functionaris met virtualisatie kennis gereviewed.Over opvallende / afwijkende events wordt melding gemaakt en devereiste opvolging uitgevoerd.Er bestaat een bestand integriteit controle voor belangrijkeconfiguratie bestanden met behulp van een beveiligings- ofchecksumapplicatie. Toegang tot deze configuratiebestanden isafgeschermd.VMware specifiek: Voor VMware ESX dient integriteit voor devolgende bestanden te worden vastgesteld:/etc/profile/etc/ssh/sshd_config/etc/pam.d/system_auth /etc/ntp/etc/ntp.conf/etc/passwd/etc/group/etc/sudoers//etc/shadow/etc/VMwareTijdsynchronisatieDe tijd in een virtuele machine (VM) kan gaan achterlopen, doordat de CPU-cycles worden verdeeldover de VM’s die op een ESX server draaien. De klok tussen de virtualisatieservers, VM’s enbijvoorbeeld een directory server dient te worden gesynchroniseerd. Tijdsynchronisatie is nodig voorbijvoorbeeld synchronisatie met een directory server, maar ook voor specifiekevirtualisatiefunctionaliteit, zoals Vmotion (Woollard, 2009).Daarnaast is tijdsynchronisatie belangrijk voor de beveiling. Bij de registratie van bepaalde events inlogbestanden wordt het tijdstip dat een bepaalde actie of handeling heeft plaatsgevonden vastgelegd.Een uniforme tijd registratie is vereist om een goede analyse van bijvoorbeeld een beveiligingsaanvaluit te kunnen komen. Daarnaast bestaan in een virtuele omgeving vaak ingeroosterde taken, alarmenen toegekende tijdsperioden (time frames). Indien de tijd tussen bijvoorbeeld VM’s niet gelijk looptkan dit tot conflicten leiden.Dergelijke synchronisatie kan het meest efficiënt middels NTP worden ingericht (CIS, 2007). HetNetwork Time Protocol (NTP) is een protocol waarmee computers die onderling met elkaar inverbinding staan, hun interne klok kunnen synchroniseren met andere computers.---------------------------------------------------------------------------------------------------------------------------Pagina 48

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------ReferentieSE-28Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieZorg ervoor dat de klokken tussen virtualisatieservers, VM enandere componenten binnen het netwerk (o.a. een domaincontroller) zijn gesynchroniseerd.VMware specifiek: Tijdsynchronisatie kan worden toegepastbijvoorbeeld door middel van NTP.Systeem en werkdirectoriesBinnen virtualisatieplatformen wordt vaak gebruik gemaakt van standaard systeem enwerkdirectories. Dergelijk directories dienen zoveel mogelijk te worden gesplitst in aparte partities.Partities kunnen als gevolg van een denial of service aanval op een werkdirectories vollopen. Dooreen splitsing aan te brengen is de kans een stuk kleiner dat VM;s hier hinder van ondervinden(Jolliffe, 2007)(VMware, 2008). Binnen VMware draaiende op Linux betekent dit dat de directories/home, /tmp en /var/log (/var) elk op een aparte partitie moeten worden geïnstalleerd. Voor het juistinregelen van dergelijke limieten wordt verwezen naar paragraaf 4.4 Manage performance andcapacity (DS03).ReferentieSE-29Referentie CobiTbeheersmaatregelDS5.5 Security Testing,Surveillance andMonitoringGeïdentificeerde beheersmaatregel t.b.v. virtualisatieVoor elke virtualisatieserver bestaat een aparte directory voorfile system bestanden en temp/werkdirectories.VMware specifiek: installeer de volgende direcories elk op eenaparte partitie: /home, /tmp en /var/log (/var)Disable automatic mounting of external devicesAansluitend op gedefinieerde beheersmaatregelen voor VM’s, dient ook voor de Service Console hetautomatisch mounten van devices te worden geblokkeerd (Jolliffe, 2007)(VMware, 2008). Doorexterne apparatuur zoals een USB disk aan de fysieke server te verbinden kan gevaarlijke codeworden uitgevoerd of bestanden (complete VM’s) worden meegenomen.ReferentieSE-30Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr bestaat een duidelijk beleid en procedures voor het gebruikvan eventuele externe apparatuur. Blokkeer het automatischdetecteren van USB devices voor de Service Console. Hetmogelijke gebruik van externe apparatuur door de ServiceConsole is geblokkeerd tenzij strikt noodzakelijk.4.6.4 VirtualCenterBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een centralebeheertool (binnen VMware ESX, VirtualCenter genaamd). Voor meer informatie over VirtualCenter,zie paragraaf 2.5.4.Bij het onderdeel Service Console is opgemerkt dat het beheer vanwege complexiteit en impact op devirtuele-infrastructuur bij voorkeur niet direct via de Service Console wordt uitgevoerd. Als alternatiefzijn binnen VMware o.a. de beheerapplicaties VI-client en VirtualCenter genoemd. In deze sectie zalworden ingezoomd op VirtualCenter. VirtualCenter vormt een centrale beheerapplicatie, waarmee decomplete virtuele-infrastructuur kan worden beheerd en is dus niet beperkt tot één fysieke host. Ook---------------------------------------------------------------------------------------------------------------------------Pagina 49

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------andere virtualisatie platformen beschikken over een dergelijke centrale beheerapplicatie, zoals SystemCenter van Microsoft.Een centrale beheertool als VirtualCenter biedt meer beheermogelijkheden en functionaliteit. Hetbiedt een totaal overzicht van alle (toegekende) fysieke (virtualisatie) servers. Binnen VMware kanbijvoorbeeld uitsluitend gebruik worden gemaakt van virtualisatiefunctionaliteit als Vmotion, HA enDRS, indien de centrale beheertool VirtualCenter is geïnstalleerd. De belangrijkste reden hierbij is datdergelijke functionaliteit een geïntegreerd beheer over meerdere fysieke servers vereist. Deze eis isdaarnaast kenmerkend voor virtualisatie, waarbij de infrastructuur flexibeler wordt en VM’s niet meeraan één fysieke server zijn gebonden. De Service Console daarentegen kan uitsluitend voor het beheervan één fysieke server worden gebruikt. Dergelijke beheertools als VirtualCenter zijn specifiek vanuiteen centraal beheeroogpunt ontwikkeld en bieden uitgebreide toegangsniveaus. Het beheer is vaakgrafisch en daarom zijn ook algemene beheeractiviteiten vaak eenvoudig uit te voeren. Met hetgebruik van een centrale beheertool kan hierdoor vaak efficiënter en effectiever beheer op de virtueleinfrastructuurworden uitgevoerd.Identificatie en authenticatieHet is belangrijk dat er duidelijke richtlijnen en procedures bestaan over de inrichting en inhoudelijkewerking van de beheertool. In het geval van de VMware ESX server verloopt alle communicatietussen VirtualCenter en de Service Console bijvoorbeeld middels een standaard user account(vpxuser). De rechten of wachtwoord van dit account mogen niet worden aangepast.Bij het niet gebruiken van een centrale beheerapplicatie moeten accounts voor elke fysieke server(Service Console) afzonderlijk worden ingericht. Dit betekent dat voor elke server lokalegebruikersaccount aangemaakt moeten worden voor één globaal gebruikersaccount. Er kan derhalvevoor wachtwoord en gebruikerbeheer afhankelijk van de ondersteuning veel beter gebruik wordengemaakt van een overkoepelende centrale directory service zoals LDAP of windows active directory(NSA, 2008) (VMware, 2008). In de meest ideale situatie wordt er een aparte directory service voorde virtuele-infrastructuur gebruikt (NSA, 2008). Het koppelen van een bestaande directory service aanhet beheernetwerk van de virtuele-infrastructuur introduceert de kans op een mogelijk misbruik.Hanteer in het geval van een centrale beheerapplicatie een gescheiden gebruikersadministratie voorhet beheer van de virtualisatielaag en besturingssystemen (NSA, 2008). Het beheer van devirtualisatielaag vereist specifieke kennis en ervaring en is bij voorkeur belegd bij een aparte groepbeheerders. Daarnaast is het beheer van de virtuele-infrastructuur veel omvangrijker en heeft het eengrotere impact op de beschikbaarheid van meerdere VM’s. Binnen de virtuele-infrastructuur moetenVM’s, het virtuele netwerk, opslag management, prestatie- / capaciteitsmanagement en specifiekevirtualisatiefunctionaliteit zoals Vmotion worden ingericht en beheerd. “There Is a Potential Loss ofSeparation of Duties for Network and Security Controls” (Gartner, 2010). De beheertaken zoalsbeveiliging en netwerkbeheer vragen om specifieke kennis en kunde. Het wordt daarom aanbevolenook hiervoor specifieke groepen voor te hanteren.---------------------------------------------------------------------------------------------------------------------------Pagina 50

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-31 DS5.2 IT Security Plan Indien er gebruik wordt gemaakt van een centale beheerapplicatie,dan bestaan er duidelijke richtlijnen en procedures over deinrichting en werking van deze applicatie.SE-32SE-33DS5.4 User AccountManagementDS5.4 User AccountManagementVMware specifiek: Wijzig niet de configuratie van het standaardaccount “vpxuser”. Alle connecties vanuit VirtualCenterworden uitgevoerd met dit generieke account.Onderscheid het beheer van de virtuele-infrastructuur ten opzichtevan het beheer van besturingssystemen. Er bestaat een duidelijkescheiding tussen de taken en verantwoordelijkheden voor beidetypen beheergroepen.Gebruik verschillende groepen beheerders binnen de virtueleinfrastructuur.Groepen zijn opgezet op basis van least privilege.Er bestaat een duidelijke beschrijving van taken enverantwoordelijkheden voor de gedefinieerde beheergroepen.4.6.5 Virtualization LayerBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor deVirtualization Layer beschreven. Voor meer informatie over de Virtualization Layer, zie paragraaf2.5.1De Virtualization Layer dient één doel en is volledig gericht op het aanbieden van een veiligeomgeving voor VM’s. De interface tussen de Virtualization Layer en VM’s is uitsluitend mogelijkmiddels hiertoe ontwikkelde API’s. Er bestaan conceptuele discusssies over de veiligheid vanvirtualisatie en specifieke aanvallen die op de virtualisatielaag kunnen worden uitgevoerd (Hoff,2008). Vaak hebben dergelijke discussies betrekking op zogenaamde exploits (beveiligingslekken) diemisbruikt kunnen om toegang tot een VM of de virtualization layer te bemachtigen. Dat dergelijkeaanvallen niet puur theoretisch zijn, maar daadwerkelijke risico’s vormen blijkt bijvoorbeeld uit eenBlack Hat (conferentie op het gebied van IT beveiliging) demonstratie van Kostya Kortchinskywaarin verschillende geheugenlekken worden misbruikt (Kortchinsky, 2009). Enkele door Klaver(2009) en Jolliffe (2007) geïdentificeerde aanvallen zijn:• Memory Exploitation: Een VM kan buiten zijn toegekende resources treden en geheugen vaneen andere VM benaderen.• hyperthreading exploits. Hierbij wordt misbruik gemaakt van het feit dat twee processen opéén CPU kunnen worden uitgevoerd.• Buffer overflows: door het aanbieden van een grote hoeveelheid data kan er een foutoptreden, met mogelijk een crash tot gevolg.De kans op misbruik door middel van dergelijke aanvallen kan middels beheerst patch managementzoveel mogelijk worden beperkt. Indien dergelijke kwetsbaarheden zich voordoen, mag van dedesbetreffende leverancier worden verwacht dat hier snel een noodfix voor wordt gepubliceerd. Dittoont aan dit patch management een wezenlijke controle vormt om tegen dergelijke risico’s te zijnbeschermd, zie beheerproces Manage changes (AI06)4.6.6 Virtual Network LayerBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een VirtualNetwork Layer beschreven. Voor meer informatie over een Virtual Network Layer, zie paragraaf 2.5.5Netwerk segmentatieDoor gebruik te maken van netwerk virtualisatie kunnen er een drietal netwerken wordenonderscheiden (NSA, 2008)(Hoff, 2008)(Chandrasekaran e.a, 2006)(VMware, 2008):---------------------------------------------------------------------------------------------------------------------------Pagina 51

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------• Het netwerk van de Virtualization Layer (infrastructurele netwerk): Het infrastructurelenetwerk bevat de functionaliteit en services die het virtualisatie platform aanbiedt.Voorbeelden hiervan zijn iSCSI (netwerkprotocol om met een SAN te communiceren) ofvoor VMware ESX de Vmotion functionaliteit.• Het beheernetwerk: Het beheernetwerk bestaat uit de connectie tussen een Service Consolemet een overkoepelende beheer applicatie (bijvoorbeeld VirtualCenter) en de directe toegangtot een Service Console.• Het gebruikersnetwerk: De gebruikersnetwerken bieden een interface om VM’s met elkaar teverbinden.De drie beschreven netwerken zijn allen virtuele netwerken. De VM’s, Service Console enVirtualization Layer zijn allen middels een zogenaamde virtuele netwerk adapter met een virtueelnetwerk verbonden (virtual switch). Virtuele netwerken kunnen vervolgens weer met een fysiekenetwerk adapter worden verbonden. Op deze manier wordt het virtuele netwerk verbonden met hetfysieke netwerk. De drie verschillende typen netwerken kunnen toegekend zijn aan eengemeenschappelijke virtuele switch en fysieke adapter of gescheiden worden uitgevoerd. Dit brengteen grote flexibiliteit met zich mee, maar verhoogt de complexiteit en kans op het foutief configurerenvan netwerken. Gezien de grote diversiteit aan netwerk verkeer die binnen een virtualisatie platformbestaat, is isolatie tussen deze verschillende type netwerk gewenst.Scheiding van het infrastructurele netwerk en het beheernetwerkHet infrastructuur en beheernetwerk dienen op basis van beveiliging en performance redenen fysiek teworden gescheiden. Beide netwerken dienen een specifiek doel en er bestaat geen operationele redenom toegang tussen beide netwerken te implementeren (NSA, 2008). Het infrastructurele netwerkgenereert mogelijk grote hoeveelheden data als gevolg van complete VM’s die over het netwerkworden gekopieerd. De data die over dergelijke netwerken wordt verplaatst is mogelijk niet beveiligd.Binnen VMware ESX geldt dit bijvoorbeeld voor VMotion en iSCSI. Op de fysieke laag bestaat ereen maximum aan het aantal te gebruiken netwerk adapters of het beschikbaar aantal fysieke switches.In dergelijke gevallen wordt het aanbevolen altijd gebruik te maken van virtuele scheiding middelsvLAN’s (NSA, 2008)(DELL, 2006).Scheiding van gebruikersnetwerken ten opzicht van het infrastructurele- en beheer- netwerkAlle gebruikersnetwerken dienen gebruik te maken van aparte fysieke adapters ten opzichte van hetinfrastructurele- en beheer-netwerk (NSA, 2008)(DELL, 2006). Door het fysiek scheiden van dezedrie netwerken wordt een betere isolatie afgedwongen ten opzichte van een configuratie op basis vanlogische scheiding. Bij het toepassen van een logische scheiding kan netwerkverkeer mogelijkverkeert worden doorgestuurd als gevolg van onjuiste configuratie of misbruikte kwetsbaarheden inexterne netwerk hardware (bijvoorbeeld hardware switch).Scheiding tussen operationele gebruikersnetwerken en het beheernetwerkIndien er een weloverwegen reden bestaat om toegang tot het beheernetwerk te verlenen vanuit eenoperationeel gebruikersnetwerk, dient deze verbinding altijd via een firewall te verlopen. Beperk demogelijke communicatie tot het strikt noodzakelijke en biedt geen rechtstreekse console toegang(NSA, 2008). Laat eventuele console toegang altijd via VirtualCenter verlopen. De redenen zijn reedsuitgebreid besproken als onderdeel van sectie VirtualCenter---------------------------------------------------------------------------------------------------------------------------Pagina 52

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------ReferentieSE-34Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDS5.10 Network Security Het infrastructurele en beheernetwerk dienen bij voorkeur fysiekmaar minimaal logisch van elkaar te zijn gescheidenSE-35VMware specifiek:- Infrastructurele netwerk: voor het afschermen van bepaaldeinfrastructuur services als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen van beheeractiviteiten- gebruikersnetwerk: het operationele netwerk van bedrijfsvoeringDS5.10 Network Security De gebruikersnetwerken dienen fysiek van het infrastructurele enbeheernetwerk te zijn gescheiden.SE-36VMware specifiek:- Infrastructurele netwerk: voor het afschermen van bepaaldeinfrastructuur services als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen van beheeractiviteiten- gebruikersnetwerk: het operationele netwerk van bedrijfsvoeringDS5.10 Network Security Beperk de connectie tussen operationele gebruikersnetwerken enhet beheernetwerk tot het strikt noodzakelijke en maak altijdgebruik van een externe firewall.SegmenteringVMware specifiek:- Infrastructurele netwerk: voor het afschermen van bepaaldeinfrastructuur services als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen van beheeractiviteiten- gebruikersnetwerk: het operationele netwerk van bedrijfsvoeringHet wordt het aanbevolen om isolatie tussen VM’s aan te brengen middels vLAN’s. Het is over hetalgemeen voldoende om zogenaamde gebruikersnetwerken van elkaar te scheiden middels vLAN’s(NSA, 2008). Hierbij wordt wel de aanname gemaakt dat het infrastructurele en beheernetwerkgescheiden zijn van de gebruikersnetwerken, zoals ook uit eerder geformuleerde beheersmaatregelenblijkt. In het geval van gevoelige informatie (hoge BIV classificatie) kan besloten worden om fysiekescheiding toe te passen (Jolliffe, 2007). De manier waarop segmentering van bedrijfsgevoeligenetwerken wordt bewerkstelligd dient overwogen plaats te vinden, conform het gestelde beleid.ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-37 DS5.2 IT Security Plan Er bestaat een duidelijk beleid over het gebruik van vLAN’s envereiste segmentatie tussen netwerken.SE-38DS5.10 Network Security Netwerken zijn gesegmenteerd in fysieke en logische netwerkenconform het gestelde beleid en BIV classificaties.---------------------------------------------------------------------------------------------------------------------------Pagina 53

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Koppeling van beveiliging en vLANDe flexibiliteit van virtualisatie stelt eisen aan de manier waarop netwerken zijn ingericht. Voorheenwas een netwerk namelijk redelijk statisch, een server werd niet vaak naar een ander netwerksegmentverplaatst. Met virtualisatie worden VM’s echter flexibeler. VM’s kunnen verplaatst worden tussenfysieke servers. Dit betekent dat er beheersmaatregelen moeten worden ingericht om ingeregeldenetwerksegmenten te blijven onderhouden. Dit vergt een arbeidsintensieve beheeractiviteit, omdatvirtualisatie steeds meer naar een dynamische architectuur toe beweegt. Een architectuur waarbij nietmeer de plek van een VM bepalend is, maar de gedefinieerde criteria en beperkingen.“Enterprises are advised to evaluate the need for point solutions that are able to associate securitypolicy to virtual machines' identities and that prevent the mixing of workloads from different trustlevels on the same server” (Gartner, 2010). Zoals besproken in de sectie “Segmentering” kan op basisvan het NSA onderzoek worden geconcludeerd dat logische scheiding tussen VM’s met verschillendeBIV classificatie toereikend is. Gartner maakt wel een terechte aanvulling dat segmentatie in een zeerdynamische omgeving in stand moet worden gehouden. Verschillende (virtualisatie)softwareleveranciers en leveranciers van netwerkcomponenten bieden nieuwe netwerkfunctionaliteit aan diede mogelijkheden van virtualisatie verder ondersteunen. Voorbeeld hiervan zijn virtuele switcheswaarbij een VM kan worden verplaatst en de gedefinieerde configuratie meeverhuisd. Dit betekent dateen VM bereikbaar blijft en beveiligingsinstellingen blijvend worden afgedwongen. Een voorbeeldvan een dergelijke functionaliteit is de Citco Nexus 1000V virtual switch (Miller, 2008).ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-39 DS5.10 Network Security Er bestaan duidelijke procedures voor het in stand houden van degedefinieerde netwerksegmentatie en beveiligingsinstellingen(policies) bij het migreren van VM’s over fysieke servers.Monitoren van virtuele netwerk beveiligingVMware specifiek: VMware ondersteund software matigeoplossingen die een VM en ingestelde policies aan elkaarkoppelt. Een voorbeeld van een ondersteunend beheercomponentis de Citco Nexus 1000V virtual switchGezien de ontwikkeling om steeds flexibeler te opereren, zal communicatie tussen VM’s zal steedsmeer gevirtualiseerd plaatsvinden. De directe communicatie tussen VM’s, dus zonder tussenkomstvan fysieke netwerk componenten, leidt ertoe dat deze communicatie voor bestaandebeveiligingsfunctionaliteit zoals een intrusion prevention systeem niet meer inzichtelijk is (Gartner,2010). Er zal daarom ook voor de virtuele laag beveiligingsfunctionaliteit moeten wordengeïmplementeerd, zodat een organisatie beheersing over het virtuele netwerk en het fysieke netwerkals geheel kan garanderen.Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-40 DS5.10 Network Security Een organisatie heeft beveiligingsfunctionaliteit geïnstalleerdvoor de beheersing van de virtuele netwerk laag in relatie methet fusieke netwerk.Misbruik van vLAN functionaliteitUit bovenstaande beheersmaatregelen blijkt een sterke voorkeur te bestaan om bij virtualisatie gebruikte maken van vLAN functionaliteit. Indien dit niet gebeurt, zijn een groot aantal voordelen van---------------------------------------------------------------------------------------------------------------------------Pagina 54

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------virtualisatie niet mogelijk als gevolg van een statische infrastructuur. Het gebruik van vLAN’sintroduceert echter nieuwe risico’s die veelal technisch van aard zijn.Jolliffe (2007) omschrijft een tweetal bedreigingen waarbij de integriteit en het gedrag van een virtualswitch wordt beïnvloed. Voor deze bedreigingen zijn binnen de ESX server waarborgendemaatregelen ingebouwd. NSA (2009) concludeert dat vLAN’s toereikende beveiliging bieden. Hierbijgelden de eerder aangedragen aanbevelingen. Natuurlijk is het mogelijk deze maatregelen te omzeilenbijvoorbeeld door middel speciale software. Door Jolliffe (2007) wordt geconcludeerd dat de kans opdergelijke risico’s onwaarschijnlijk is. De door Jolliffe beschreven risico’s zijn:• “attack via virtual switch integrity”: misbruik maken van een vSwitch om toegang tot een eenander netwerksegment te verkrijgen;• “VM or other network nodes influencing Virtual Switch behavior”: Door middel van data destuurtabel van een vSwitch beïnvloeden.Om de de twee bovenstaande bedreigingen en andere bedreigingen te voorkomen is een goed patchmanagement van belang, zie hiervoor sectie Manage changes (AI06)MAC‐adres spoofingElke virtuele netwerk adapter beschikt over een eigen MAC-adres zodra de adapter wordt gecreëerd.Dit adres wordt het initiële adres genoemd. Naast het initiële adres bestaat er een zogenaamd effectiefMAC-adres. Tijdens creatie zijn beide adressen gelijk, maar het effectieve MAC-adres kan wordengewijzigd. Indien er een wijziging van dit adres plaatsvindt zal de netwerk adapter het verkeer van ditnieuwe (lees effectieve) MAC-adres ontvangen. Kwaadwillende kunnen deze functionaliteitmisbruiken door het nabootsen van een netwerk adapter’s MAC-adres. Het wijzigen van MAC-adresinstelling dient voorkomen te worden. Binnen ESX omgeving worden hiervoor een tweetalinstellingen gehanteerd, namelijk “MAC address changes” en “forged transmissions”. Met dezeinstellingen wordt afgedwongen dat de geconfigureerde MAC-adressen niet zijn te wijzigen en eenVM niet is te misbruiken voor MAC-address spoofing (VMware, 2008)(Jolliffe, 2007).Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-41 DS5.10 Network Security Zorg dat MAC-adres instellingen niet voor aanvallen zijn temisbruiken en zorg voor een configuratie waarbij degeconfigureerde instellingen niet zijn te wijzigen.Promiscuous mode van netwerk interfacesVMware specifiek:Bij MAC-address spoofing probeert eenaanvaller zich te presenteren als een betrouwbare VM door hetunieke MAC-adres te imiteren. Stel onderstaande parameters alsvolgt in:MAC address changes: REJECTForged transmission: REJECTMet “promiscuous mode” van netwerk interfaces wordt een configuratie bedoeld waarbij een interface(bijvoorbeeld een virtuele switch) alle data doorstuurt in plaats van enkel de noodzakelijke frames.Indien een dergelijke configuratie wordt gehanteerd, dan kunnen de objecten die aan een dergelijkswitch zijn gekoppeld alle pakketjes die over het netwerk worden verzonden onderscheppen en lezen.Indien in het geval van een virtual switch deze switch is gekoppeld aan fysieke netwerk adapter, danis alle data verkeer van zowel VM’s als fysieke apparatuur te lezen. Het wordt aanbevolen geengebruik te maken van promiscuous mode.---------------------------------------------------------------------------------------------------------------------------Pagina 55

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-42 DS5.10 Network Security Maak geen gebruik van “promiscuous mode” voor alledaagsebedrijfsvoering. Deze maatregel geldt voor alle switches en poortgroepen afzonderlijk.Promicuous mode stuurt alle data door in plaats van uitsluitendde noodzakelijke frames.4.6.7 Virtual StorageBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor VirtualStorage beschreven. Voor meer informatie over een Virtual Storage, zie paragraaf 2.5.6.De virtualisatie biedt een abstractielaag tussen de technisch complexe opslag architectuur en de opslagelementen die zichtbaar zijn voor de gebruiker binnen de virtuele omgeving. De virtuele opslagelementen die voor een VM beschikbaar zijn, zijn virtuele presentaties van fysieke opslag mediums.Een belangrijke keuze in geval van VMware is daarbij om een VMFS-gebaseerde, of juist een NFSgebaseerdeoplossing te kiezen. Belangrijk is dat beide oplossingen ondersteuning bieden voorgedeelde en gecoördineerde toegang vanaf meerdere servers. Bij VMFS wordt die functionaliteit in deservers afgehandeld, bij NFS primair in de storagelaag zelf. Het gaat te ver en is buiten de scope vandeze scriptie om beide opslag methodieken te beschrijven en specifieke risico’s te identificeren.Een VM wordt opgeslagen als een set van bestanden in een eigen directory in de datastore. Ook eenvirtual disk wordt als een file in deze datastore gepresenteerd. Een datastore is fysiek een VMFS filesystem volume of een directory op een NAS. Zoals ook in onderstaand voorbeeld duidelijk wordt, kaneen datastore meerdere fysieke storage systemen aanspreken. Veldhuis en Turk (2008) geven voor eendatabase-applicatie het voorbeeld dat er meerdere disks zodanig worden gecombineerd dat er klassesvan disks met unieke eigenschappen ontstaan. Voor een database-applicatie kan een klassebijvoorbeeld bestaan uit een grote hoeveelheid zeer snelle disks. Van de geboden capaciteit kanvervolgens een kleiner stukje aan de databaseserver worden toegewezen. Dit heet een Logical Unit ofLUN.Ook specifieke virtualisatiefunctionaliteit vraagt om specifieke architectuur keuzes. Bij het gebruikvan Vmotion is het bijvoorbeeld noodzakelijk dat zowel de bron als doel ESX server rechten hebbentot de datastore waarop de te migreren VM is opgeslagen.---------------------------------------------------------------------------------------------------------------------------Pagina 56

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Figuur 5 opslag architectuur (VMware, 2006a)Het risico van zeer uitgebreide data architecturen is dat data zichtbaar wordt voor ongeautoriseerdegebruikers. Ofwel wordt er voldoende rekening gehouden met de consequenties van virtualisatie opde opslagarchitectuur autorisaties? Bij het centraliseren van data opslag, wat zeker bij virtualisatievoordelen biedt op het vlak van high availability, disaster recovery en dergelijke dienen maatregelente zijn geïmplementeerd die ervoor waken dat data on a need to have basis toegankelijk is.ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-43 DS5.10 Network Security Indien gebruik wordt gemaakt van geavanceerdevirtualisatiefunctionaliteit zoals Vmotion, dient de opslaginfrastructuur hierop te zijn ingericht. Keuzes voor een bepaaldetechnologie zijn in overeenstemming met de strategischebedrijfsdoelstellingen.SE-44 DS5.2 IT Security Plan Er bestaan duidelijke procedures en richtlijnen voor de manierwaarop binnen de virtuele opslag infrastructuur beschikbareresources worden ingezet voor verschillendeinformatievraagstukken.Er bestaan duidelijke richtlijnen hoe opslag resources wordengesegmenteerd d.m.v. zoning of LUN masking4.7 Manage the configuration (DS09)Het configuratie wordt binnen het CobiT-raamwerk behandeld in het proces “DS09 Manage theconfiguration”. Dit proces is erop gericht om de configuratie van de verschillende IT-componentenvast te leggen en bij te houden in een configuratiedatabase. Door een adequaat configuratiebeheerwordt een grotere beschikbaarheid gefaciliteerd worden problemen in de productieomgevinggeminimaliseerd en kunnen eventuele problemen sneller worden opgelost. De beheersdoelstellingvoor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van de configuratie. Hierbij wordt deinfrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden allecomponenten juist en volledig geregistreerd.”---------------------------------------------------------------------------------------------------------------------------Pagina 57

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Vanuit CobiT worden een drietal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS9.1 Configuration Repository and Baseline;• DS9.2 Identification and Maintenance of Configuration Items;• DS9.3 Configuration Integrity Review.In traditionele, niet virtuele omgevingen, is het vaak duidelijk over welke servers een organisatiebeschikt. In de serverruimte kunnen de fysieke servers worden onderscheiden. In een virtueleomgeving zijn deze niet zichtbaar. Zoals Gartner naar aanleiding van een in 2007 uitgevoerde enquêteheeft aangegeven is een van de grootste uitdagingen in virtuele omgevingen het beheren van dewildgroei van virtuele (database) servers (Haight, 2008). Deze wildgroei brengt een uitdaging metzich mee op het gebied van configuratiebeheer. Een enkele fysieke server herbergt vaak meerderevirtuele (database) servers. Daarom is het belangrijk om vast te leggen welke virtuele (database)servers in gebruik zijn en dit periodiek te controleren of deze virtuele (database) servers nogbeschikbaar zijn en of de registratie nog volledig is. Daarnaast zijn per virtuele (database)serververschillende instellingen mogelijk ook deze instellingen dienen adequaat en volledig te wordengeregistreerd. Hiervoor dienen goede procedures worden opgesteld zodat het inzichtelijk is en blijftop welke wijze de virtuele (database) servers zijn geconfigureerd (Baldwin e.a., 2008)(Montero,2009).Het is van belang dat de configuratie van alle (database) servers en andere IT-componenten adequaaten volledig plaatsvindt. Wanneer dit niet gebeurt kan het oplossen van storingen langer duren dangewenst of nodig is. Tevens is dit voor het monitoren van belang om inzichtelijk te hebben welkevirtuele databaseservers op welke host draaien. Verder is het van belang dat niet alleen de huidigeinstellingen te zien zijn maar dat ook inzichtelijk kan worden gemaakt welke wijzigingen zijndoorgevoerd ten aanzien van een IT-component (Behnia & Wrobel, 2009)(Clavister, 2009)(Olsen,2009).Voor het beoordelen van de juistheid van de configuratiedatabase is het van belang dat deparameterwijzigingen aan en het in en uitschakelen van de virtuele (database) servers automatischwordt gelogd en periodiek wordt beoordeeld. Hiermee kan worden vastgesteld of de configuratie vande omgeving conform de eisen van de organisatie is en is geweest binnen een bepaalde periode.(Melançon, 2008)Alle IT-componenten dienen te zijn geclassificeerd ten aanzien van de kwaliteitsaspectenbeschikbaarheid, integriteit en vertrouwelijkheid. Op basis van deze classificatie zullen verschillendemaatregelen moeten worden genomen, onder andere op het gebied van beveiliging en continuïteit.Virtualisatie brengt de mogelijkheid met zich mee om onder andere (database) servers en ander ITcomponentendie zijn gevirtualiseerd snel en zonder veel moeite over verschillende fysieke hosts teverplaatsen. Het is hierbij van belang om de classificatie van de virtuele servers, fysieke hosts enoverige (virtuele)IT-componenten vast te hebben liggen in het CMDB en te controleren. Vanuit onderandere het beveiligings- en continuïteitsoogpunt is het van belang dat de servers alleen op hostsmogen draaien met dezelfde classificatie. Hierop dient controle te worden uitgeoefend (Baldwin ea,2008)(Klaver, 2008).Traditioneel werden licenties voor besturingssystemen uitgegeven per server en was de licentiegebonden aan het aantal processoren van de server. Uit interviews met experts komt ook naar vorendat het beheren van licenties in virtuele omgevingen erg lastig is omdat het vaak niet duidelijk is---------------------------------------------------------------------------------------------------------------------------Pagina 58

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------welke regels de softwareleveranciers hanteren. In een onderzoek van Buchanan (2009) ten aanzienvan het licentiebeleid van de verschillende edities van Microsoft Server 2008 komt het volgende naarvoren;• Windows Server 2008 standaard editie, voor elke virtuele server is een separate licentienodig;• Windows Server 2008 enterprise editie, deze licentie mag op vier virtuele servers, op dezelfdehost, worden gebruikt;• Windows Server 2008 datacentrum editie, deze licentie mag voor een ongelimiteerd aantalservers, op dezelfde host, worden gebruikt.Om problemen met licenties te voorkomen is het belangrijk om goed te registeren en te controleren opwelke (virtuele) server wat voor soort licentie wordt gebruik. Dit dient vervolgens periodiek teworden beoordeeld. Uit deze beoordeling kan vervolgens worden vastgesteld of de organisatie over teveel, te weinig of voldoende licenties beschikt. Op basis hiervan kunnen vervolgens maatregelenworden getroffen.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieCO-01CO-02CO-03CO-04CO-05CO-06Referentie CobiTbeheersmaatregelDS9.1 ConfigurationRepository and BaselineDS9.1 ConfigurationRepository and BaselineDS9.1 ConfigurationRepository and BaselineDS9.2 Identification andMaintenance ofConfiguration ItemsDS9.3 ConfigurationIntegrity ReviewDS9.3 ConfigurationIntegrity ReviewGeïdentificeerde beheersmaatregel t.b.v. virtualisatieVoor elke virtuele (database)server is vastgelegd waarvoor deserver dient (welke bedrijfsprocessen ermee wordenondersteund), welke applicaties, databases enbesturingssystemen hiervoor worden gebruikt, op welke fysiekehost de server draait en welke parameters zijn ingesteld.Periodiek wordt beoordeeld of de organisatie over voldoende enjuiste licenties beschikt voor de virtuele (database) servers.De componenten van de geïmplementeerde virtuele architectuurzijn opgenomen in de CMDB van de organisatie en zijngeclassificeerd ten aanzien van de kwaliteitsaspectenbeschikbaarheid, integriteit en vertrouwelijkheid.Wijzigingen in instellingen van virtuele (database) servers ennetwerkcomponenten worden juist, tijdig en volledig vastgelegd.Voor elke virtuele (database)server en netwerkcomponentenworden de historische gegevens/instellingen bewaard.Geautomatiseerd of periodiek wordt beoordeeld of geenconflicten ten aanzien van de (BIV) classificaties van deverschillende virtuele en hardwarematige IT-componentenaanwezig zijn of zijn geweest.Periodiek wordt beoordeeld of alle aanwezige (virtuele)(database) servers en IT-componenten tijdig, juist en volledig inhet CMDB zijn opgenomen.---------------------------------------------------------------------------------------------------------------------------Pagina 59

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.8 Manage data (DS11)Data management, het beheren van gegevens, wordt binnen het CobiT-raamwerk behandeld in hetproces “DS11 Manage Data”. Dit proces is erop gericht om de eisen die aan de gegevens wordengesteld vast te leggen. Het proces voorziet in het beheren van de gegevensbibliotheken, de back-upen restore van gegevens en het verwijderen van gegevens en media. De beheersdoelstelling voor ditproces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van degegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.”Vanuit CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS11.1 Business Requirements for Data Management;• DS11.2 Storage and Retention Arrangements;• DS11.3 Media Library Management System;• DS11.4 Disposal;• DS11.5 Backup and Restoration;• DS11.6 Security Requirements for Data Management.Data management is binnen een virtuele wereld niet wezenlijk anders ten opzichte van een fysiekeserver infrastructuur. Echter virtualisatie biedt nieuwe mogelijkheden op het gebied van back-up enrecovery. Zie hiervoor tevens de paragraaf 4.4 Manage performance and capacity (DS03).De fysieke server is een logisch bestand geworden. Wat betreft data management blijft datamanagement niet meer beperkt tot een gegevensverzameling of applicatie, maar wordt een back-upvan de complete VM gemaakt. Dit betekent dat VM’s eenvoudiger zijn te restoren aangezien er geenconflicten meer optreden tussen de gearchiveerde data en de software versie toentertijd. Echter hetintroduceert tevens het risico dat de VM back-up gebaseerd is op een oude (beveiligings)instellingenen niet is voorzien van de laatste patches, waardoor er bij het restoren een beveiligingsrisico ontstaat.In de procedures voor back-up en restore moet voldoende rekening worden gehouden met de risico’svan de nieuwe virtualisatiefunctionaliteit op dit vlak.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDM-01 DS11.2 Storage andRetention ArrangementsDM-02DM-03DS11.6 SecurityRequirements for DataManagementDS11.5 Backup andRestorationEr bestaat een duidelijk beleid over de manier waarop er eenback-up wordt gemaakt van VM, service console envirtualization layer, de locatie waar back-up bestanden wordenopgeslagen en het bewaartermijn.In de back-up en restore procedure van virtual machines wordtrekening gehouden met het verschil in (beveiligings)instellingenen patchniveaus tussen het moment dat de back-up is gemaakt ende restore wordt uitgevoerd op basis van de configuratie DB.Het bewaren en verwijderen van back-up bestanden vanVM,Service Console en virtualization layer is inovereenstemming met het continuïteitsbeleid.---------------------------------------------------------------------------------------------------------------------------Pagina 60

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4.9 Manage the physical environment (DS12)Fysieke beveiliging wordt binnen het CobiT-raamwerk behandeld in het proces “DS12 Manage thephysical enviroment”. Dit proces is erop gericht om de fysieke beveiliging van de IT-componentenadequaat in te richten en te beheren. Het doel hiervan is om de hardware te beschermen tegenkwaadwillenden en omgevingsfactoren als bijvoorbeeld water of vuur. De beheersdoelstelling voor ditproces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van de fysieke IT-omgeving. Hierbij worden de ITcomponentenen gegevens beschermd en wordt het risico van verstoringen geminimaliseerd.”Vanuit CobiT worden een vijftal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS12.1 Site Selection and Layout;• DS12.2 Physical Security Measures;• DS12.3 Physical Access;• DS12.4 Protection Against Environmental Factors;• DS12.5 Physical Facilities Management.Virtualisatie brengt geen wijzigingen met zich mee aan de fysieke beveiliging van de ITcomponenten.Wel wordt de beveiliging van de componenten belangrijker wanneer de IT-omgevingwordt gevirtualiseerd. Wanneer (database) servers worden gevirtualiseerd worden deze vaak, zoalsreeds in een eerder hoofdstuk is besproken, geconsolideerd op 1 fysieke server. Hierdoor draaien vaakmeerdere (database) servers op 1 fysieke machine, wanneer deze machine uitvalt heeft dit dus eengrotere impact dan wanneer in een traditionele, niet gevirtualiseerde omgeving, 1 machine uitvalt.(Behnia en Wrobel, 2009) Dit resulteert echter niet in een nieuwe of aangepaste beheersmaatregel.In dit hoofdstuk zijn de wijzigingen in de beheersmaatregelen voor de geselecteerde CobiT-processengeïdentificeerd en besproken. De geïdentificeerde ‘delta’ tussen het bestaande CobiT-raamwerk en despecifieke risico’s die het virtualiseren van databaseserver omgevingen met zich meebrengt isopgenomen in bijlage 1. In het volgende hoofdstuk zullen de resultaten van de praktijktoetsingworden besproken.---------------------------------------------------------------------------------------------------------------------------Pagina 61

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 62

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------5. Toetsing, analyse en evaluatieBinnen dit hoofdstuk worden de belangrijkste uitkomsten van de praktijktoetsing vermeld. Daarnaastwordt aangegeven hoe de uitkomsten zijn verwerkt in de uiteindelijke set van geformuleerdebeheersmaatregelen. Tenslotte zal binnen dit hoofdstuk worden teruggekeken op de gemaakte keuzesbinnen het onderzoek en mogelijke verbeteringen en vervolgwerkzaamheden.5.1 Toetsing van het geformuleerde IT­beheersmaatregelenraamwerkNa een inhoudelijke afstemming met diverse professionals is er een conceptversie van hetbeheersmaatregelenraamwerk geformuleerd. Het raamwerk is getoetst bij “Deloitte Websolutions”.Deze afdeling verzorgt het beheer voor Deloitte en haar klanten. Hierbij wordt gebruik gemaakt vaneen gevirtualiseerde IT-infrastructuur (VMware) die extern bij Schuberg Philis wordt gehost. Dediensten die Deloitte door Schuberg Philis laat hosten ondersteunen Deloitte en haar globale klantenin hun risicomanagement en compliance-activiteiten. De keuze voor Schuber Philis en eengevirtualiseerd platform zijn gebaseerd op flexibiliteit, schaalbaarheid, kwaliteit en beschikbaarheidvan diensten.De toetsing van het geformuleerde beheersmaatregelenraamwerk is gebaseerd op diverse gesprekkenmet personen die direct betrokken en verantwoordelijk zijn voor de gevirtualiseerde IT-infrastructuurbinnen Deloitte Websolutions. Voor meer informatie omtrent deze partij en betrokkenen, wordtverwezen naar “Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen”. Aangezien deverantwoordelijkheid en eisen door Deloitte zijn bepaald en de geïnterviewden voldoende kennishebben van de gehanteerde configuratie hebben er geen afzonderlijke gesprekken met Schuberg Philisplaatsgevonden.Voor de geselecteerde processen zijn de geïdentificeerde risico’s en de geformuleerdebeheersmaatregelen besproken. Hierbij is gelet op de relevantie van de beheersmaatregel (is dezebeheersmaatregel terecht opgenomen, de juistheid (klopt de beschrijving), de volledigheid (zijn er nogandere risico’s en noodzakelijke beheersmaatregelen) en toepasbaarheid (is de beheersmaatregel tebegrijpen en bruikbaar voor een derde).• Define the information architecture(PO02)In het conceptraamwerk waren voor dit proces een aantal beheersmaatregelen geïdentificeerd engedefinieerd. Tijdens de praktijktoetsing bleek dat de geformuleerde beheersmaatregelen geenonderdeel zijn van het proces “define the information architecture”. Dit CobiT-proces gaat deinrichting van de informatie-architectuur op het niveau van applicaties en gegevens. Debeheersmaatregelen die waren gedefinieerd gingen in op de impact en inrichting van deinfrastructuur. Deze beheersmaatregelen zijn onderdeel van het CobiT-proces “PO03 Determinetechnological direction” wat geen onderdeel is van de scope van dit onderzoek.oOp basis van de praktijktoets is geconcludeerd dat virtualisatie geen impact heeft op ditproces. Virtualisatie is slechts faciliterend en heeft geen directe invloed op de informatiearchitectuur.Daarnaast is vastgesteld dat virtualisatie tevens een impact heeft op CobiTprocessendie niet onderdeel zijn van de scope van dit onderzoek. Dit onderzoek heeftspecifiek gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid.• Assess and manage IT risks(PO09);In het conceptraamwerk werd voor dit proces geen melding gemaakt van de (virtualisatie)componenten die als onderdeel van de toetsing moeten worden behandeld. Er werd onderkenddat de geformuleerde beheersmaatregelen belangrijk zijn om te waarborgen dat de keuze voorvirtualisatie aansluit op de organisatiestrategie en dat de risico’s bij virtualisatie wordenonderkend en doorvertaald naar de organisatorische doelen en processen. Qua relevantie envolledigheid bestonden er geen opmerkingen. Op het vlak van juistheid en toepasbaarheid van de---------------------------------------------------------------------------------------------------------------------------Pagina 63

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------voogestestelde beheersmaatregelen werd aangegeven dat niet duidelijk was wat precies werdgevraagd en tot op welk niveau aangetoond moest kunnen worden dat risicomanagement wasgeïmplementeerd.oOp basis van de uitkomsten van dit gesprek, zijn de beheersmaatregelen specifiekertoegeschreven naar de virtualisatiecomponenten waar de delta specifiek betrekking opheeft.• Manage changes(AI06)Op het gebied van wijzigingsbeheer werd tijdens de toetsing van ons raamwerk geopperd dat ereen nieuwe manier van wijzigingenbeheer kan bestaan, namelijk een vorm waarbij niet desoftware maar de VM migreert over de OTAP omgevingen. Er werd gewezen op een mogelijkgevolg van het snel kunnen deployen van een VM, namelijk mogelijke wildgroei van VM’s(“Server sprawl”). Om deze wildgroei te voorkomen dient er een beheerst wijzigingsbeheerproceste bestaan. Verder bestaan in de literatuur verschillende meningen over de manier waaropscheiding van omgevingen moet worden geïmplementeerd. Op basis van de praktijktoetsing isgeconcludeerd dat er minimaal een fysieke scheiding tussen de test en productieomgeving van devirtualization layer (tussenlaag) dient te bestaan. Op basis van de gedefinieerdebeheersmaatregelen en de besproken door te voeren verbeteringen is geconcludeerd dat debeheersmaatregelen juist, volledig, relevant en toepasbaar zijn.ooTijdens het interview zijn de specifieke risico’s die bij wijzigingenbeheer op basis vanVM migratie worden onderkend nader geanalyseerd Er is een specifiekebeheersmaatregel geformuleerd, waarbij rekening wordt gehouden met het classificatieniveau en de (beveiligings)instellingen van een VM die naar de productieomgevingwordt gemigreerd.Op basis van de praktijktoetsing is geconcludeerd dat minimaal fysieke scheiding dient tebestaan tussen de test en productie-omgeving van de virtualization layer. Het betreft hiergescheiden omgevingen van de virtuele-infrastructuur. Bovenop deze infrastructurelescheiding van omgevingen bestaat de scheiding van serveromgevingen (OTAP) vanVM’s. Hiervoor zijn aparte beheersmaatregelen gedefinieerd.• Manage the configuration(DS09);Tijdens de praktijktoetsing kwam naar voren dat de gedefinieerde beheersmaatregelen relevant,juist en toepasbaar waren. Daarnaast heeft discussie plaatsgevonden over de volledigheid van debeheersmaatregelen. Tijdens de toetsing werd geopperd voor de opname van beheersmaatregelenvoor licentiebeheer. Dit werd in eerste instantie niet beschouwd als een component met impact opde drie kwaliteitsaspecten. Tijdens de toetsing is echter een scenario geschetst van een organisatiedie over te weinig licenties beschikte. In een dergelijk geval zouden er mogelijk juridischegevolgen bestaan voor het gebruik van een te groot aantal VM’s. Indirect kan dit een impact op debeschikbaarheid voor deze VM’s tot gevolg hebben.oEen beheersmaatregel is opgenomen om zorg te dragen voor een beheerst licentiebeheerproces. Hiermee is de volledigheid van de maatregelen voor dit proces geborgd.• Manage performance and capacity(DS03);Prestatie en capaciteitsmanagement krijgt veel aandacht binnen de beschikbare literatuur. Vooralop het vlak van (database)server virtualisatie. Tijdens de praktijktoetsing bleek dat de in hetconceptraamwerk opgenomen beheersmaatregelen relevant en volledig zijn. Door het formulerenvan duidelijke “Quality of Service” settings en het monitoren van resources kan het procesworden beheerst. Wel verandert de impact en de complexiteit van prestatie encapaciteitsmanagement. De impact wijzigt vanwege de onderlinge relatie tussen VM’s. Eventueleprestatie en capaciteitsproblemen brengt niet de beschikbaarheid van één VM, maar eenverzameling VM’s in gevaar. De complexiteit wijzigt omdat voorheen prestatie encapaciteitmanagement per fysieke server werd uitgevoerd. Bij virtualisatie bestaan resources uit---------------------------------------------------------------------------------------------------------------------------Pagina 64

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------het totaal van en samenwerking tussen servers, netwerk en opslag. De beschikbare capaciteit moetworden verdeeld tussen meerdere VM’s. Voorheen werd het proces dus voor een groot deel perserver uitgevoerd, terwijl bij virtualisatie ook een geïntegreerd beeld noodzakelijk is en waarbijook meer focus is gewenst voor de componenten opslag en netwerk. Wat betreft de juistheid entoepasbaarheid wordt tijdens de praktijktoetsing aanbevolen nog explicieter de componenten enniveaus op te nemen waarop prestatie en capaciteitsmanagement moet worden toegepast.ooAangezien prestatie en capaciteitsmanagement bij virtualisatie in grote mate wordtbepaald door de resultante van een geïntegreerd geheel, bestaande uit servers, netwerk enopslag, is het van belang dat dit expliciet in beheersmaatregelen wordt opgenomen.Tijdens de praktijktoetsing is bevestyigd dat er geen specifieke beheersmaatregelen zijnvereist voor een gevirtualiseerde databaseserver ten opzichte van andere typen servers.Wel gelden er vaak specifieke eisen die aan een dergelijk type server worden gesteld.• Ensure continuous service(DS04)Voor de in het conceptraamwerk opgenomen beheersmaatregelen wordt de relevantie, juistheid entoepasbaarheid onderkend. Voor de volledigheid is voor continuïteitsmanagement gewezen op denieuwe functionaliteit die virtualisatie biedt en de mogelijke risico’s die hiermee samenhangen.Bijvoorbeeld het maken van inconsistente snapshots van een databaseserver en mogelijkeintegriteitproblemen bij de implementatie van een database cluster middels Vmotion, HA en DRS.oEen extra beheersmaatregel is opgenomen om te waarborgen dat er per type resource eenevaluatie moet worden gemaakt over de toepasbaarheid en geschiktheid van debeschikbare (virtualisatie) methoden.• Ensure systems security(DS05);In het conceptraamwerk zijn een groot aantal nieuwe beheersmaatregelen geformuleerd als gevolgvan de introductie van de virtualisatielaag. Tijdens de praktijktoetsing bleek de toepasbaarheidontoereikend. Een aantal beheersmaatregelen moest namelijk worden toegelicht omdat niet directduidelijk was, wat ermee werd bedoeld en welke risico’s dergelijke beheersmaatregelen afdekten.De risico’s zijn inhoudelijk besproken en daaruit bleek dat de beheersmaatregelen als relevantworden onderkend. Het werd aanbevolen de maatregelen minder technisch te formuleren en daarwaar nodig te voorzien van een specifieke toelichting of uitwerking. Op deze manier is demaatregel in algemene zin duidelijk (wat moet er gebeuren). Daar waar niet duidelijk is hoe ditkan worden bewerkstelligd, is een specifieke toelichting gegeven (hoe kan de maatregel wordenuitgevoerd). De besproken set van maatregelen werd verder als juist, relevant en volledig ervaren.oOp advies van de geïnterviewden is besloten om voor de meer technischebeheersmaatregelen een meer algemene definitie te formuleren. Daar waar noodzakelijkaangevuld met een specifiekere invulling van de beheersmaatregel. Op deze manier is debeheersmaatregel generiek bruikbaar voor verschillende virtualisatieproducten en bestaater een concrete invulling van de beheersmaatregel voor meer achtergrond informatie.• Manage data(DS11);Op het vlak van datamanagement wordt aanbevolen een expliciete relatie naarcontinuïteitsmanagement op te nemen. De fysieke server wordt vervangen door logischebestanden die onderdeel gaan worden van het back-up proces. Een organisatie moet beleid enprocedures opstelen over de manier waarop met deze (server) data wordt omgegaanoBinnen de beheersmaatregelen voor het datamanagementproces is een referentie naarcontinuïteitsmanagement opgenomen.• Manage the physical environment(DS12);Geen verschillen geïdentificeerd.---------------------------------------------------------------------------------------------------------------------------Pagina 65

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------oTijdens de verificatie van de in CobiT aanwezige beheersmaatregelen, als onderdeel vanhet proces fysieke beveiliging, zijn geen ontbrekende of gewijzigde maatregelengeïdentificeerd.5.2 Analyse van bevindingenWanneer wordt gekeken naar de uiteindelijk geïdentificeerde beheersmaatregelen, blijkt datvirtualisatie een grote impact zal hebben op de bestaande infrastructuur en IT-beheerprocessen. Deimpact uit zich per CobiT-proces op een andere manier, maar er zijn op hoofdlijnen enkeleovereenkomsten geïdentificeerd. Deze eigenschappen zijn gecategoriseerd in:- nieuwe beheersmaatregelen;- gewijzigde beheersmaatregelen;- niet gewijzigde beheersmaatregelen.Nieuwe beheersmaatregelenTen eerste zijn er beheersmaatregelen geïdentificeerd die volledig nieuw zijn. Binnen de volgendeprocessen zijn nieuwe beheersmaatregelen gedefinieerd:• Manage changes(AI06);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage data(DS11).Dit is verklaarbaar door het feit dat een nieuwe infrastructuur laag wordt geïntroduceerd die nieuwe(beheer) mogelijkheden biedt. Voor deze nieuwe laag en (beheer)mogelijkheden bestaan ook nieuwerisico’s. Deze risico’s worden afgedekt met beheersmaatregelen die niet bestaan binnen een nietgevirtualiseerde IT-infrastructuur.Gewijzigde beheersmaatregelenDe meest omvangrijke groep bestaat uit processen waarvoor een bestaande beheersmaatregel blijftbestaan, maar een specifieke toevoeging voor virtualisatie moet worden opgenomen. Het gaat hierbijom de volgende processen;• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11).Virtualisatie introduceert een nieuwe laag binnen de infrastructuur die moet worden beheerst. Debestaande beheersmaatregelen zijn vaak globaal gedefinieerd omdat duidelijk was over welke laagwerd gesproken. Met de introductie van een extra laag (gevirtualiseerde infrastructuur) dienen dezebeheersmaatregelen expliciet deze extra laag te benoemen. Voor deze beheersmaatregelen geldt nietzozeer een ander proces, de diepgang van de beheersmaatregelen wordt groter aangezien ook devirtuele laag onderdeel zal moeten zijn van de gedefinieerde beheersmaatregelen.Geen wijzigingen in de bestaande beheersmaatregelenDe laatste categorie zijn de beheersmaatregelen waarbij geen wijzigingen zijn geïdentificeerd alsgevolg van virtualisatie. Deze categorie omvat de beheersmaatregelen zoals deze in de nietgevirtualiseerde omgeving reeds bestaan en in een gevirtualiseerde omgeving blijven bestaan. Enkelebeheersmaatregelen binnen de geselecteerd processen zullen niet wijzigen wanneer een organisatiegebruik gaat maken van virtualisatie. Deze beheersmaatregelen zijn dan ook niet opgenomen in hetopgestelde raamwerk, aangezien dit raamwerk de delta tussen virtuele en niet virtuele omgevingenbeschrijft. Op basis van dit onderzoek en praktijktoetsing is vastgesteld dat de beheersmaatregelenvoor de volgende twee processen niet wijzigen;---------------------------------------------------------------------------------------------------------------------------Pagina 66

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------• Define the information architecture(PO02);• Manage the physical environment(DS12).Hedendaagse audits richten zich vaak uitsluitend op de virtuele-infrastructuur indien hierom specifiekwordt gevraagd. In de praktijk blijkt dat indien een bepaalde applicatie onderdeel is van een audit(bijvoorbeeld een audit in het kader van de jaarrekeningcontrole) er niet altijd wordt vastgesteld of deomgeving die wordt getoetst, wel of niet gevirtualiseerd is uitgevoerd. Vaak wordt niet verdergekeken dan de server waarop de applicatie wordt gehost. Op basis van de specifiek geïdentificeerderisico’s en de impact op de IT-beheerprocessen, kan worden geconcludeerd dat in het geval vanvirtualisatie ook de virtualisatielaag onderdeel moet worden van de audit.In onderstaande tabel wordt voor elk proces nogmaals aangegeven welke impact virtualisatie heeft opde geselecteerde CobiT-processen.CobiT-procesDefine the informationarchitecture(PO02)Assess and manage ITrisks(PO09)Nieuwe beheersmaatregelenGewijzigde beheersmaatregelenManage changes(AI06) Manage performance andcapacity(DS03)Ensure continuousservice(DS04) Ensure systemssecurity(DS05) Manage theconfiguration(DS09)Manage data(DS11) Manage the physicalenvironment(DS12)Tabel 1Impact van virtualisatie op de geselecteerde CobiT-processenGeen wijzigingen inbeheersmaatregelen5.3 Evaluatie onderzoekIn dit onderzoek is CobiT gebruikt als raamwerk voor het identificeren van de delta tussen eentraditionele, niet virtuele en een gevirtualiseerde (database)server omgeving. Bestaande raamwerkenzijn geëvalueerd om als startpunt te dienen bij het ontwikkelen van een beheersmaatregelenraamwerk.Op basis van een analyse is gekozen voor CobiT als referentie raamwerk. CobiT is ontwikkeld doorISACA, een Amerikaanse beroepsvereniging voor IT-auditors en professionals op het gebied vaninformatiebeveiliging. Het raamwerk is overzichtelijk ingedeeld in 4 domeinen die overeenkomen metde 4 fasen in de cyclus van informatiesystemen. Binnen de domeinen onderkent CobiT verschillende(beheer)processen. Verder heeft CobiT als voordeel dat voor elk proces wordt aangegeven welkekwaliteitsaspecten direct (primair) of indirect (secundair) door het proces worden afgedekt. Hierdoorwas het mogelijk om op basis van CobiT, de voor dit onderzoek relevante processen te selecteren.CobiT is in het Engels gepubliceerd terwijl deze scriptie in het Nederlands in geschreven. Wanneersommige Engelse definities één op één naar het Nederlands worden vertaald dekken deze niet meer dejuiste lading. Een goed voorbeeld hiervan zijn de CobiT “Control Ojectives” die bij elke procesworden gedefinieerd. Vrij vertaald zijn dit beheersdoelstellingen. Wanneer echter wordt bekeken watCobiT control objectives noemt, zijn dit in het Nederlands beheersmaatregelen. Dit heeft gevolgenvoor de manier waarop in deze scriptie en binnen CobiT de begrippen beheersdoelstellingen enbeheersmaatregelen door elkaar lopen. De hoofddoelstelling van het CobiT-proces (binnen CobiT“key objective genaamd) wordt binnen deze scriptie als de beheersdoelstelling beschouwd. De doorCobiT gedefinieerde beheersdoelstellingen (binnen CobiT Control Objectives genaamd) wordenbinnen deze scriptie als beheersmaatregelen geïnterpreteerd. Binnen de opzet van het CobiT----------------------------------------------------------------------------------------------------------------------------Pagina 67

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------raamwerk wordt aangegeven: “Within each IT process, control objectives are provided as genericaction statements”. Hieruit blijkt duidelijk dat deze definitie meer aansluit op de definitie van eenbeheersmaatregel, zoals in dit onderzoek is gehanteerd.De beheersmaatregelen binnen dit onderzoek zijn zo generiek mogelijk gedefinieerd voor de audit vaneen gevirtualiseerde databaseserver omgeving ongeacht welk virtualisatieproduct hierbij wordtgehanteerd. Er is specifiek gekozen voor een databaseserver omgeving omdat het virtualiseren vaneen databaseserver soms ter discussie wordt gesteld (AMD, 2008). Daarnaast is de databaseserveraltijd een belangrijk object van onderzoek voor (financiële) audits. Tijdens de praktijktoetsing bleekechter dat er op het gebied van beheersing nauwelijks verschillen bestaan tussen het virtualiseren vaneen applicatieserver en databaseserver. Wel zijn enkele attentiepunten te benoemen die voor eengevirtualiseerde databaseserver speciale aandacht vragen, zoals “Manage performance and capacity(DS03)”. Het generiek formuleren van beheersmaatregelen heeft als voordeel dat het raamwerk voormeerdere virtualisatieproducten is te gebruiken. Het mogelijke nadeel is dat er soms nog eenconcretisering van het raamwerk moet plaatsvinden. Binnen deze scriptie is de infrastructuur vanVMware als voornaamste referentiepunt gebruikt. Enerzijds omdat “Deloitte Websolutions” gebruiktmaakt van VMware en anderzijds omdat VMware momenteel de marktleider is op het gebied vanvirtualisatie. Voor enkele meer technische beheersmaatregelen is er een specifieke toevoeging voorVMware opgenomen. Deze toevoeging geeft een auditor soms meer achtergrondinformatie om debeheersmaatregel goed te kunnen toetsen.Voor het inventariseren en verifiëren van de voorgestelde beheersmaatregelen (delta) is adviesingewonnen bij een virtualisatie architect van ContinuityCenter, een expert op het gebied vanBusiness Technology (ontwikkelingen op het gebied van virtualisatie en Cloud Computing) van IBMen diverse deskundigen binnen Deloitte ERS. Een volledig overzicht is opgenomen in “Bijlage 4Beschrijving van toetsingsobject en (externe) deskundigen”Toetsing van het raamwerk heeft plaats gevonden bij “Deloitte Websolutions”. Een voordeel van‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerdover mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is eenvolledig externe organisatie huiverig dergelijke informatie met anderen te delen, echter de auteurs vandit onderzoek hadden toegang tot deze informatie omdat ze ook bij Deloitte werkzaam zijn. De door‘Deloitte Websolutions’ aangedragen vertrouwelijke informatie heeft bijgedragen aan het formulerenvan mogelijke beheersmaatregelen maar wordt niet expliciet kenbaar gemaakt in dit rapport.Op basis van de praktijktoetsing is de relevantie (is deze beheersmaatregel terecht opgenomen?), dejuistheid (klopt de beschrijving?), de volledigheid (zijn er nog andere risico’s en noodzakelijkebeheersmaatregelen?) en toepasbaarheid (is de beheersmaatregel te begrijpen en bruikbaar voor eenderde?) van de geformuleerde beheersmaatregelen vastgesteld. Tenslotte zijn de doorgevoerdewijzigingen en conclusies als gevolg van de praktijktoetsing met “Deloitte Websolutions” besproken.5.4 Aanvullend onderzoekVirtualisatie is een relatief nieuwe ontwikkeling en zal zich in de toekomst verder ontwikkelen. Dezeontwikkeling zal wellicht risico’s die in dit onderzoek zijn geïdentificeerd mitigeren. Daarnaast is hetaannemelijk dat de verdergaande ontwikkeling ook nieuwe of gewijzigde risico’s en noodzakelijkebeheersmaatregelen met zich meebrengt. In de toekomst zullen de resultaten van dit onderzoek danook moeten worden geactualiseerd.De eindresultante van het onderzoek bestaat uit een generiek toepasbaar raamwerk voor eengevirtualiseerde (database)server omgeving. Hierbij is de terminologie en architectuur van VMwareals leidraad gehanteerd. Toekomstige onderzoeken zouden zich kunnen richten op het verderconcretiseren van de geformuleerde beheersmaatregelen voor één of meerdere specifiekevirtualisatieplatformen.---------------------------------------------------------------------------------------------------------------------------Pagina 68

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Het geformuleerde raamwerk is getoetst binnen Deloitte Websolutions. Toekomstig onderzoek zouhet raamwerk ook bij andere organisaties kunnen verifiëren. Mogelijk dat hierbij verschillende typenorganisaties kunnen worden onderscheiden. Hierdoor zou de toepasbaarheid van het raamwerk ookvoor andere typen organisaties inzichtelijk kunnen worden gemaakt.Verder heeft deze scriptie de impact van virtualisatie op negen CobiT beheerprocessen bepaald.CobiT bestaat in totaal uit 34 beheerprocessen. De verwachting is dat virtualisatie ook een impactheeft op (een deel van) de 25 beheerprocessen die niet in dit onderzoek zijn meegenomen. Vanuit degeraadpleegde literatuur en de interviews gehouden met verschillende domeinexperts blijkt dat hetbelangrijk is dat de geïmplementeerde techniek de bedrijfsdoelstellingen op een juiste wijzeondersteund. Virtualiseren van servers is geen doel op zich. De eis of wens om servers te virtualiserenmoet meerwaarde bieden voor de organisatie en voortvloeien dan wel aansluiten op debedrijfsdoelstellingen (Montero, 2009). Hieruit blijkt dat virtualisatie bijvoorbeeld al een impact heeftop het proces “Determine Technological Direction (PO03)”Tot slot zou aanvullend onderzocht kunnen worden of virtualisatie ook voldoet aan de verwachtingendie worden geschept. Aan de ene kant wordt gepretendeerd dat het beheer van een gevirtualiseerdeomgeving makkelijker is ten aanzien van bijvoorbeeld continuïteitsbeheer. Het restoren van een backupvan een virtuele machine is makkelijker dan de back-up van een fysieke machine. Maar aan deandere kant brengt virtualisatie ook een additionele software-laag met zich mee die ook beheerd moetworden en die, zoals dit onderzoek in kaart heeft gebracht, ook de nodige risico’s met zich meebrengt.Het verdient aanbeveling om te onderzoeken of er een verschil is in “beheerlast voor de IT organisatiewanneer een omgeving wel of niet is gevirtualiseerd. Om de lijn van dit onderzoek door te trekkenzou hiervoor specifiek gekeken kunnen worden naar de kwaliteitsaspecten “effectiviteit” en“efficiëntie”. Hiervoor zou tevens CobiT kunnen worden gehanteerd, aangezien voor alle CobiTprocessenis aangegeven of er een primaire of secundaire impact op beide kwaliteitsaspecten bestaat.Hetzelfde type onderzoek zou kunnen worden verricht voor de audit van een gevirtualisseerdeinfrastructuur. Is met de introductie van virtualisatie de “audit beheerslast” gewijzigd?---------------------------------------------------------------------------------------------------------------------------Pagina 69

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 70

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------6. ConclusieHet virtualiseren van (database)servers die zijn gebaseerd op x86 technologie is een trend dietoeneemt. Steeds meer organisaties kiezen ervoor om hun IT-infrastructuur te virtualiseren.Virtualisatie is een technologie waarmee IT-hardwareresources in logische objecten kunnen wordenverdeeld of samengesteld door als een interface te fungeren tussen de IT-hardware en software. Dehardware en logische laag worden door de virtualisatie-techniek volledig van elkaar losgekoppeld.Op basis van dit onderzoek komt naar voren dat de keuze voor virtualisatie een grote impact heeft opIT-beheerprocessen en de IT-infrastructuur in het algemeen. Het gebruik van virtualisatie vraagt eenandere wijze van denken, werken en beheersen ten aanzien van de IT-omgeving. De keuze om over testappen op virtualisatie kan dan ook niet uitsluitend vanuit IT gedreven zijn, maar moet aansluiten opde doelstellingen van de organisatie. Er dient een duidelijke strategie ten grondslag te liggen aan hetgebruik van virtualisatie, waarbij aandacht wordt besteed aan culturele en procesmatige wijzigingen.Zo wordt door Bittman aangegeven: “Virtualization without good management is more dangerousthan not using virtualization in the first place” (Gartner, 2007). De wijzigingen op IT-beheerprocessenen IT-infrastructuur leiden tot noodzakelijke wijzigingen van het risicoprofiel, beheersmaatregelen ende IT-auditaanpak. Dit vraagt van een IT-auditor inhoudelijke kennis van de virtualisatietechnologieen geschikte tooling om de risico’s en impact voor een organisatie inzichtelijk te maken. Ditonderzoek geeft een eerste aanzet voor dergelijke tooling door de formulering van een algemeenbeheersmaatregelenraamwerk voor een gevirtualiseerde (database)server omgeving.In deze scriptie is beoordeeld welke impact virtualisatie heeft op een databaseserver omgeving tenaanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Na een korteinventarisatie van beschikbare raamwerken, zijn de raamwerken NIST, ITIL en CobiT meerinhoudelijk geëvalueerd. Er is gekozen om CobiT als uitgangspositie te hanteren om een tweetalredenen. Ten eerste is de reikwijdte (scope) voor IT vanuit een audit-perspectief gezien breder tenopzichte van de andere kwaliteitsmodellen. Ten tweede zijn de CobiT-processen gekoppeld aanverschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoek centraal staan.Op basis van CobiT is er een inventarisatie gemaakt van alle relevante IT-beheerprocessen. Daarnaastzijn verschillende interviews gehouden met experts op het gebied van virtualisatie en auditing. Ditheeft tot de selectie van een negental CobiT beheerprocessen geleid:• Define the information architecture(PO02);• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11);• Manage the physical environment(DS12).Aan de hand van interviews, literatuurstudie en andere informatiebronnen is vervolgens voor dezenegen IT-beheerprocessen beoordeeld welke wijzigingen van beheersmaatregelen noodzakelijk zijnals gevolg van de introductie van virtualisatie. De geformuleerde beheersmaatregelen zijn in depraktijk getoetst op basis van relevantie, juistheid, volledigheid en toepasbaarheid. De resultaten vandeze toetsing zijn verwerkt en besproken met inhoudelijke experts. Een volledig overzicht van degewijzigde en nieuwe beheersmaatregelen is opgenomen in bijlage 1.Op basis van het uitgevoerde onderzoek kan worden vastgesteld dat de impact van virtualisatie op debeheersmaatregelen binnen de CobiT-processen een drietal categorieën zijn te onderkennen:---------------------------------------------------------------------------------------------------------------------------Pagina 71

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------• Nieuwe beheersmaatregelen;• Gewijzigde beheersmaatregelen;• Geen wijzigingen in de bestaande beheersmaatregelen.Er zijn geen beheersmaatregelen geïdentificeerd die als gevolg van virtualisatie komen te vervallen.Nieuwe beheersmaatregelen: Virtualisatie heeft de grootste impact op de processen: “Managechanges(AI06)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)” en“Managedata(DS11)”. De processen “Manage changes” en “Ensure continuous service” kunnenbinnen een gevirtualiseerde infrastructuur op nieuwe manieren worden geïmplementeerd. Het proces“Ensure systems security” moet worden toegepast op een nieuwe infrastructurele laag die voorheenniet bestond. Deze virtualisatielaag grijpt in op voorheen fysiek uitgevoerde componenten zoalsnetwerk en storage. Het proces “Manage data” krijgt te maken met nieuwe vormen vangegevensopslag, namelijk de (virtuele) server zelf. Deze eigenschappen en nieuwe mogelijkheden alsgevolg van virtualisatie om deze IT-beheerprocessen in te vullen, maken de introductie van nieuwebeheersmaatregelen noodzakelijk.De tweede categorie bestaat uit beheersmaatregelen die wijzigen. De beheersmaatregelen zoals die ineen niet-gevirtualiseerde omgeving bestaan, blijven gewoon van toepassing. Echter met de introductievan virtualisatie moeten de beheersmaatregelen ook op de virtuele-infrastructuur worden toegepast.Dit betekent dat binnen de beheersmaatregelen expliciet aandacht moet worden besteed aan dezevirtuele laag. Voor de volgende processen zijn beheersmaatregelen geïdentificeerd die niet zozeerinhoudelijk wijzigen, maar verder zijn toegeschreven naar een gevirtualiseerde (database)serveromgeving:• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11).De derde categorie bestaat uit bestaande beheersmaatregelen die niet veranderen. Ten aanzien van deprocessen “Define the information architecture(PO02)” en “Manage the physical environment(DS12)”zijn er in dit onderzoek geen wijzigingen in de bestaande beheersmaatregelen aangetroffen.Op basis van interviews en de geformuleerde “delta” kan worden geconcludeerd dat de impact vanvirtualisatie op databaseservers dit wezenlijk verschilt van andere typen servers (bijvoorbeeld eenapplicatieserver). Het verschil heeft betrekking op de applicatielaag. Eendatabasemanagementsysteem is een applicatie met een hoge I/O ratio ten opzichte van de meesteapplicaties. Daarnaast brengt de informatie in een databasemanagementsysteem vaak andere eisen metzich mee ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid.vanwege de gegevens die erin zijn opgeslagen. Dit betekent dat niet zozeer de beheersmaatregelenveranderen, maar het type applicatie vraagt specfieke aandacht op het gebied van “Manageperformance and capacity (DS03)” en “Ensure continuous service (DS04)”.Het onderzoek toont aan dat bij het uitvoeren van audits op een gevirtualiseerde infrastructuur ook devirtuele laag moet worden beoordeeld. In het verleden was de scope van een audit vaak beperkt tot deserver waarop de applicatie wordt gehost. De beheersmaatregelen die in dit onderzoek zijn opgesteld,zie bijlage 1, moeten worden opgenomen in de huidige beheersmaatregelenraamwerken. Ditonderzoek toont de delta aan tussen een traditionele, niet gevirtualiseerde omgeving en een omgevingwaarin de verschillende servers en overige IT-componenten zijn gevirtualiseerd.---------------------------------------------------------------------------------------------------------------------------Pagina 72

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Binnen dit onderzoek wordt geen uitspraak gedaan of virtualisatie inderdaad voordelen biedt zoalsflexibilteit, utilisatie, goedkoper en eenvoudiger beheer. Ook wordt er geen uitspraak gegeven of ereen positief of negatief effect bestaat op de beheerlast voor de automatiseringsafdeling. Er kan welworden geconcludeerd dat de introductie van virtualisatie een grote impact heeft op de infrastructuuren IT-beheerprocessen en dat de eventuele voordelen van virtualisatie uitsluitend kunnen wordenbereikt indien de binnen dit onderzoek aangekaarte risico’s voldoende worden beheerst. Voor de ITauditorbetekent dit dat bij de verkenning van de organisatie en het informatielandschap de IT-auditorzich moet vergewissen hoe het informatielandschap is ingericht en of hierbij virtualisatie wordttoegepast. De IT-auditor kan vervolgens het binnen dit onderzoek ontwikkelde raamwerk, gebruikenals tooling om de risico’s bij een gevirtualiseerde (database)server omgeving voor een organisatieinzichtelijk te maken.---------------------------------------------------------------------------------------------------------------------------Pagina 73

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 74

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------BronnenAboulnaga A., Sallem K., Soror A.A., Minhas U.F., Kokosielis P. & Kamath S., Deploying databaseappliances in the cloud, IEEE, Maart 2009Adams K. & Agesen O., A Comparison of Software and Hardware Techniques for x86Virtualization,VMware, Augustus 2006Amazon, Amazon Elastic Compute Cloud (Amazon EC2), Amazon.com, Maart 2010AMD, Virtualizing Server Workloads; Looking Beyond Current Assumptions, AMD White Paper,2008Araujo R.& Hau W., Virtualization and Risk – Key Security Considerations for your EnterpriseArchitecture, Foundstone, November 2007Baldwin A., Shiu S.,Beres Y., Auditing in shared virtualized environments, Trusted SystemsLaboratory, HP Laboratories, Palo Alto, Januari 2008Bats, B., 11 VMWare template tips, Bjornbats.nl, Juni 2009Behnia K. & Wrobel E., Seven Requirements for Balancing Control and Agility in the VirtualEnvironment, BMC Software, Augustus 2009Bhatia N., Performance Evaluation of AMD RVI Hardware Assist, VMware, Maart 2009Bowker M., Storage Considerations for Data Protection in VMware Environments, Februari 2008Buchanan S., Virtualization Licensing Costs: Comparing VMwareVMware ESX With MicrosoftHyper-V, Gartner, Augustus 2009Butler J.M. & Vandenbrink R., IT Audit for the Virtual Environment, A SANS Whitepaper,September 2009Chandrasekaran B., Holman K., Nguyen C.T., Stanford S., Enabling VMware ESX Server vLANNetwork Configurations, Dell Power Solutions, Februari 2006Chen G.P. & Bozman J.S., Optimizing I/O Virtualization: Preparing the Datacenter for Next -Generation Applications, IDC Information and Data, September 2009Clavister, Virtualization 101 A basic guide to virtualization for the small to medium business,Clavister, Oktober 2009Derksen en Noordam, Modellen die werken, Boekdrukkunst uitgevers, Gouda, augustus, 2008Dutton G., Managing Virtualization's Additional Risks, Virtual Strategy Magazine, Mei 2007Fijneman, R., E. Lindgreen & P. Veltman, Grondslagen IT-auditing, Academic Service, Den Haag,December 2005Gartner, Gartner Says 60 Percent of Virtualized Servers Will Be Less Secure Than the PhysicalServers They Replace Through 2012, March 15, 2010---------------------------------------------------------------------------------------------------------------------------Pagina 75

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Gartner, Gartner Says Virtualization Will Be the Highest-Impact Trend in Infrastructure andOperations Market Through 2012,Gartner, April 2008Gartner, Virtualization Will Drive Major Change in IT Infrastructure and Operations in the NextThree Years, Gartner, Mei 2007Geuze R., van teeffelen R., Consolidatie en Virtualisatie van Intel en UNIX platformen – de praktijk,IBM, maart 2009Golden B., Virtualization for dummies, Wiley Publishing, Hoboken, 2008Haight C. & Colville R.J., Virtualization Is Bringing Together Configuration and PerformanceManagement, Gartner, 2010Haight C., Data Center Conference Survey: Addressing the Operational Challenges of Virtual ServerManagement, Gartner, February 2008.Hau W. & Araujo R., Virtualization and Risk – Key Security Considerations for your EnterpriseArchitecture, Foundstone, November 2007Hietala J.D., Top Virtualization Security Mistakes (and How to Avoid Them), SANS Whitepaper ,August 2009Hoff, The Four Horsemen Of the Virtualization Apocalypse, Blackhat 2008HP, Managing a sustainable virtual environment, HP, Oktober 2009HP, Planning a Microsoft Virtual Server infrastructure with HP ProLiant servers, storage, andmanagement, Hewlett-Packard Development Company, April 2006Huet A., Staquet A., Business Risk Management, FEDICT, Augustus 2006IBM, Creating a Dynamic Infrastructure through Virtualization, IBM Corporation, April 2009InfoGard Laboratories, VMware ESX Server 2.5.0 and VirtualCenter1.2.0 Security Target, 2006ISACA, ISACA Overview and History, ISACA.nl , Maart 2010IT Governance Institute (ITGI), CobiT 4.1, IT Governance Institute (ITGI), December 2007Jolliffe G, VMware Virtual infrastructure Security risk assessment, Xtravirt, 2007Jong B. de, Gestandaardiseerd maatwerk in audits op IT Beheersing, .ego, juli 2006Klaver C., Challenges that virtualization bring to traditional IT security controls,Vurore.nl, April2008Kortchinsky K., CLOUDBURST A VMwareVMware Guest to Host Escape Story, BlackHat USA2009, Juni 2009Lowe S., How virtualization impacts IT staff, security and change management, Techtarget.com,maart 2008---------------------------------------------------------------------------------------------------------------------------Pagina 76

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------McAfee, Virtualization and Risk: Key Security Considerations for Your Enterprise Architecture,McAfee.com, November 2007Melançon D., Getting Real About Virtual Environments, Enterprise Networks & Servers, Februari2008Miller R, Cisco Unveils Virtual Switch for VMware, Datacenterknowledge.com, September 2008Montero A., Virtualisatie: alleen maar voordelen?, de EDP-Auditor, 2009,nummer 1&2.Morgan B, Virtualization , WindowSecurity.com, Januari 2006Muirhead T., Microsoft SQL Server 2005 Virtualization in the Dell Scalable Enterprise, Dell PowerSolutions, November 2006.National Security Agency (NSA), VMware ESX Server 3 Configuration Guide, Ft. Meade, March2008Nederlands Normalisatie Instituut (NNI), Nederlandse Norm NEN-ISO 8402 ‘Kwaliteit, termen endefinities’, NNI, Delft, juli 1989NIVRA & NOREA, Handboek EDP-auditing , Kluwer Bedrijfswetenschappen, Deventer, November1999.Olsen G., Adapt change management processes to include virtualization,Techtarget.com, Maart 2009Pike J.D. & Engstrom D., Server Virtualization in the Scalable Enterprise, Dell Power Solutions,Augustus 2006.Ranada J., Virtualization- Related Security Risk, Nysforum.org, Juni 2009Romano B.J. Virtualization Case Studies, The Seattle Times, February 18, 2008Scalzo, 10 Simple Steps for Boosting Database Performance in a Virtualized Environment, Questsoftware, 2009Singh, Amit, An Introduction to Virtualization, Kernelthread.com, Januari 2004,Snijders, De Groot & De Seriere, Informatiekunde 2 ondernemen met informatie, Educatieve PartnersNederland, Houten, Maart 1999, 2e drukSoror A.A., Aboulnaga A. & Salem K., Database Virtualization: A New Frontier for DatabaseTuning and Physical Design, Universiteit van Waterloo, Januari 2007Stevens F., Grembergen W. van & Haes S. de, ITIL en CobiT en hun toepassing op Sox, Informative,December 2006Szabolcs M., How virtualization will help you to transform the IT, DCT Architect, april 2009Toet D., Atos werkt vier jaar aan ICT Vancouver 2010, Computable.nl, Januari 2010Van der Beek M. Korf R. & Smit H.J., Standaarden, is door de bomen het bos nog te zien?,Vurore.nl, April 2009---------------------------------------------------------------------------------------------------------------------------Pagina 77

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Van Praat & Suerink, Inleiding in EDP-auditing, Ten Hagen & Stam, Den Haag, November 2004, 5edrukVeldhuis B. & Turk R.,”Virtualisatie taxonomie”, Continuity center, Oktober 2008VMware, VMware Infrastructure Architecture Overview, VMware, 2006aVMware, Reducing Server Total Cost of Ownership with VMware Virtualization Software, VMware,2006bVMware, Making Your Business Disaster Ready with Virtual Infrastructure, VMware, 2006cVMware, Automating High Availability (HA) Services with VMware, VMware, 2006dVMware, Security Hardening, VMware, 2008Wagter, R., Berg, M. van den, Luijpers, J. & Steenbergen, M. van (2005). Dynamic EnterpriseArchitecture – How to make it work, John Wiley & Sons, Inc., New York.Wininger R., Capacity Management in Virtual Infrastructures, FusionStorm, November 2009Woollard D., NTP in a Virtualised Infrastructure,Vmote, Augustus 2009---------------------------------------------------------------------------------------------------------------------------Pagina 78

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------IndexAppliances .................................................... 28Beschikbaarheid ............................................ 19Cluster ........................................................... 35Continuous availability ................................. 34Denial of service attack ................................. 39Disk shrinking ............................................... 41DiskWiper ..................................................... 41Integriteit ....................................................... 20iSCSI ............................................................. 50LUN .............................................................. 55Man-in-the-middle ........................................ 44NAS .............................................................. 16Near-line hot site ........................................... 34Network Time Protocol (NTP) ..................... 47Non persistent disk ........................................ 41On-line hot site .............................................. 34OTAP ............................................................ 29Promiscuous mode ........................................ 54RPO .............................................................. 34RTO .............................................................. 34SAN .............................................................. 16Service Console ............................................ 15Snapshots ...................................................... 35Vertrouwelijkheid ......................................... 20Virtual Center ............................................... 15Virtual Machines .......................................... 15Virtual Networking Layer ............................. 15Virtual Storage .............................................. 15Virtualization Layer ...................................... 14vLAN ............................................................ 16vMotion......................................................... 11x86-platformen ............................................... 9---------------------------------------------------------------------------------------------------------------------------Pagina 79

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 80

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Bijlage 1 Opgesteld NormenkaderDe binnen deze bijlage opgenomen tabel is de resultante van dit onderzoek en toont voor elk CobiT-proces de delta voor beheersmaatregelen in eengevirtualiseerde (database)server omgeving ten opzichte van een niet gevirtualiseerde omgeving.ReferentieCobiTprocesPO09CobiTprocesAssess andmanage ITrisksCobiT-beheersdoelstellingEr bestaat een beheerst proces voor ITrisicoidentificatie, beoordeling enbeheersing. Alle IT-risico’s en mogelijkeimpact op de processen en doelen van eenorganisatie worden onderzocht en binnende organisatie gedeeld.ReferentieBeheersmaatregelRM-01Referentie CobiTbeheersmaatregelPO9.1 IT RiskManagementFrameworkGeïdentificeerde beheersmaatregel(Delta)In het IT-risicomanagement raamwerkwordt aandacht besteed aan de risico’svoor virtualisatie van (database) serversen de impact hiervan op debedrijfsprocessen, (virtuele) infrastructuuren (IT) beheerprocessen. Hierbij moetende volgende onderdelen van een virtueleomgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual Storage----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 81

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------PO09ReferentieCobiTprocesPO09CobiTprocesAssess andmanage ITrisksAssess andmanage ITrisksCobiT-beheersdoelstellingEr bestaat een beheerst proces voor ITrisicoidentificatie, beoordeling enbeheersing. Alle IT-risico’s en mogelijkeimpact op de processen en doelen van eenorganisatie worden onderzocht en binnende organisatie gedeeld.Er bestaat een beheerst proces voor ITrisicoidentificatie, beoordeling enbeheersing. Alle IT-risico’s en mogelijkeimpact op de processen en doelen van eenorganisatie worden onderzocht en binnende organisatie gedeeld.ReferentieBeheersmaatregelRM-02RM-03Referentie CobiTbeheersmaatregelPO9.2 Establishmentof Risk ContextPO9.3 EventIdentificationGeïdentificeerde beheersmaatregel(Delta)Bij het vaststellen van de risico contextvoor de bedrijfsprocessen, (IT)beheerprocessen en de (virtuele)infrastructuur dient expertise op hetgebied van (database)server virtualisatieaanwezig te zijn. Hierbij moeten devolgende onderdelen van een virtueleomgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageEr bestaat een periodiek proces voor hetidentificeren van de bedreigingen voor debedrijfsprocessen, (IT) beheerprocessenen de (virtuele) infrastructuur. Hierbijmoeten de specifieke bedreigingen vaneen virtuele omgeving wordenmeegenomen en is expertise op het gebiedvan (database)server virtualisatiebetrokken. De volgende onderdelen vaneen virtuele omgeving moeten hierin iniedergeval worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual Storage----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 82

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------PO09ReferentieCobiTprocesPO09CobiTprocesAssess andmanage ITrisksAssess andmanage ITrisksCobiT-beheersdoelstellingEr bestaat een beheerst proces voor ITrisicoidentificatie, beoordeling enbeheersing. Alle IT-risico’s en mogelijkeimpact op de processen en doelen van eenorganisatie worden onderzocht en binnende organisatie gedeeld.Er bestaat een beheerst proces voor ITrisicoidentificatie, beoordeling enbeheersing. Alle IT-risico’s en mogelijkeimpact op de processen en doelen van eenorganisatie worden onderzocht en binnende organisatie gedeeld.ReferentieBeheersmaatregelRM-04Referentie CobiTbeheersmaatregelPO9.4 RiskAssessmentGeïdentificeerde beheersmaatregel(Delta)Bij het uitvoeren van de risicoanalysevoor de bedrijfsprocessen, (IT)beheerprocessen en de (virtuele)infrastructuur dient expertise op hetgebied van (database)server virtualisatiete worden betrokken. Hierbij moeten devolgende onderdelen van een virtueleomgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageRM-05 PO9.5 Risk Response De maatregelen om de risico’s voor debedrijfsprocessen, (IT) beheerprocessenen de (virtuele) infrastructuur worden metinhoudelijke experts enverantwoordelijken in de organisatiebesproken. Hierbij moeten de volgendeonderdelen van een virtuele omgevingworden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageEr bestaat een geïntegreerde aanpakwaarbij tevens deskundigen op het gebiedvan virtualisatie zijn betrokken.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 83

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------AI06ReferentieCobiTprocesAI06CobiTprocesManagechangesManagechangesCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.Er bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.ReferentieBeheersmaatregelCM-01CM-02Referentie CobiTbeheersmaatregelAI6.1 ChangeStandards andProceduresAI6.1 ChangeStandards andProceduresGeïdentificeerde beheersmaatregel(Delta)De wijzigingsprocedure dient invulling tegeven aan de volgende activiteiten;• Wijzigen van de parameters van hetplatform waarop de virtuele (database)servers werken;• Toevoegen van een nieuwe(database)server aan de omgeving;• Wijzigen in de templates voor deVirtuele Machine’s;• In en uitschakelen van de virtuele(database) servers;• Het migreren van een virtuele(database)server tussen fysieke servers;• Het updaten (patchen) van de virtuelesoftware;• Wijzigingen aan de instellingen voor hetgeautomatiseerd verplaatsen van VM’s.Alle wijzigingen en patches voor detussenlaag (virtualization layer) moetenworden getest in een fysiek gescheidenomgeving.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 84

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------AI06ReferentieCobiTprocesAI06CobiTprocesManagechangesManagechangesCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.Er bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.ReferentieBeheersmaatregelCM-03CM-04Referentie CobiTbeheersmaatregelAI6.1 ChangeStandards andProceduresAI6.1 ChangeStandards andProceduresGeïdentificeerde beheersmaatregel(Delta)De ontwikkel, test en acceptatie VM’sworden gehost op een server die fysiekgescheiden is van de omgeving waar deproductie VM’s op worden gehost.De wijzigingsprocedure voorziet erin datvirtuele servers (VM’s) niet van deacceptatie naar de productie omgeving(oftussen andere omgevingen) mogenworden verplaatst.Wanneer een organisatie ervoor kiest omdit wel te doen dient de organisatieadditionele beheersmaatregelen te treffen;• Voordat virtuele servers van deacceptatieomgeving in deproductieomgeving worden geplaatstmoeten alle relevante(beveiligings)instellingen, autorisaties enclassificaties worden aangepast aan deeisen die worden gesteld ten aanzien vande kwaliteitsaspecten betrouwbaarheid,integriteit en vertrouwelijkheid.• De organisatie dient vast te stellen dat deVM’s alleen verschillen ten aanzien vande geautoriseerde (applicatie of database)wijziging en dat er geen andereverschillen aanwezig zijn.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 85

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------AI06AI06AI06ReferentieCobiTprocesAI06CobiTprocesManagechangesManagechangesManagechangesManagechangesCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.Er bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.Er bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.Er bestaat een beheerst proces voor hetimplementeren van wijzigingen. Dewijzigingen zijn een gevolg van eisenvanuit de organisatie en in lijn met debedrijfsstrategie. Het proces is eropgericht om oplossingstijden, verstoringenvan de informatievoorziening en nazorg tebeperken.ReferentieBeheersmaatregelCM-05CM-06CM-07CM-08Referentie CobiTbeheersmaatregelAI6.1 ChangeStandards andProceduresAI6.1 ChangeStandards andProceduresAI6.2 ImpactAssessment,Prioritization andAuthorizationAI6.2 ImpactAssessment,Prioritization andAuthorizationGeïdentificeerde beheersmaatregel(Delta)De wijzigingsprocedure moet erop gerichtzijn dat bij het aanmaken, restoren ofverplaatsen van virtuele databaseserversde database instantie wordt aangepast aande identiteit van de virtuele server.De wijzigingsprocedure moet erinvoorzien dat wanneer de organisatie eenappliance van de acceptatie naar deproductieomgeving gaat verplaatsen dezeaan alle eisen die worden gesteld tenaanzien van de kwaliteitsaspectenbetrouwbaarheid, integriteit envertrouwelijkheid voldoet.Voordat een VM naar een fysieke anderehost wordt verplaatst moet wordenvastgesteld dat de configuratie enpatchniveau van de virtuele lagen op deverschillende fysieke hosts gelijk is.De wijzigingsprocedure moet erinvoorzien dat de impact van de wijzigingop de totale capaciteit en prestaties van defysieke host wordt bepaald en beoordeeld.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 86

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ReferentieCobiTprocesCobiTprocesCobiT-beheersdoelstellingReferentieBeheersmaatregelCM-09Referentie CobiTbeheersmaatregelAI6.2 ImpactAssessment,Prioritization andAuthorizationGeïdentificeerde beheersmaatregel(Delta)De wijzigingsprocedure dient erin tevoorzien dat bij het verplaatsen van een(database)server of ander IT-componentde dataverzoeken ook juist gerouteerdworden.CM-10AI6.2 ImpactAssessment,Prioritization andAuthorizationVoordat een appliance van de acceptatienaar de productieomgeving wordtverplaatst dient de organisatie vast testellen dat de appliance geen malware ofandere gevaarlijke elementen bevat.DS03Manageperformanceand capacityEr bestaat een beheerst proces voor hetmonitoren van de prestaties en capaciteitvan de automatiseringomgeving. Hierbijworden de prestaties en capaciteit van deautomatiseringomgeving geoptimaliseerdvoor de eisen van de organisatie.PC-01DS3.1 Performanceand Capacity PlanningEr bestaat een duidelijk beschrevenperformance en capaciteitsplan. Het planbesteed aandacht aan de componentenCPU, geheugen, storage en het netwerk.Voor het beheersen van dezecomponenten bestaat een duidelijkeaanpak en afspraken over de te leverenQOS (quality of service) voor de volgendevirtualisatie lagen: virtual machine,Virtualization Layer, clusters en resourcepools.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 87

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS03ReferentieCobiTprocesDS03CobiTprocesManageperformanceand capacityManageperformanceand capacityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetmonitoren van de prestaties en capaciteitvan de automatiseringomgeving. Hierbijworden de prestaties en capaciteit van deautomatiseringomgeving geoptimaliseerdvoor de eisen van de organisatie.Er bestaat een beheerst proces voor hetmonitoren van de prestaties en capaciteitvan de automatiseringomgeving. Hierbijworden de prestaties en capaciteit van deautomatiseringomgeving geoptimaliseerdvoor de eisen van de organisatie.ReferentieBeheersmaatregelPC-02PC-03Referentie CobiTbeheersmaatregelDS3.2 CurrentPerformance andCapacityDS3.3 FuturePerformance andCapacityGeïdentificeerde beheersmaatregel(Delta)Er bestaat inzicht in de huidige onder enbovengrens van geleverde performance engebruikte capaciteit voor momenten meteen hoge als lage belasting.Er bestaan inzichtelijke referentiekadervoor CPU, geheugen, opslag en netwerkgebruik. Deze componenten wordengemonitored voor de volgendevirtualisatie lagen: VM, VirtualizationLayer, clusters en resource pools. Dereferentiekaders zijn actueel en wordengebruikt om te reageren op overbelastingvolgens het geformuleerde performanceen capaciteitsplan.Actuele referentiekaders worden gebruiktom de toekomstige prestatie indicatorenen het capaciteitsverbruik te voorspellen.Analyses worden gebruikt om de impactop de gevirtualiseerde infrastructuur(CPU, geheugen, opslag en netwerk) tebepalen. Voor eventuele performance encapaciteitsproblemen worden actiesgedefinieerd, gecommuniceerd engemonitored.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 88

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS03DS04ReferentieCobiTprocesDS03CobiTprocesManageperformanceand capacityManageperformanceand capacityEnsurecontinuousserviceCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetmonitoren van de prestaties en capaciteitvan de automatiseringomgeving. Hierbijworden de prestaties en capaciteit van deautomatiseringomgeving geoptimaliseerdvoor de eisen van de organisatie.Er bestaat een beheerst proces voor hetmonitoren van de prestaties en capaciteitvan de automatiseringomgeving. Hierbijworden de prestaties en capaciteit van deautomatiseringomgeving geoptimaliseerdvoor de eisen van de organisatie.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.ReferentieBeheersmaatregelPC-04PC-05BM-01Referentie CobiTbeheersmaatregelDS3.4 IT ResourcesAvailabilityDS3.5 Monitoring andReportingDS4.1 IT ContinuityFrameworkGeïdentificeerde beheersmaatregel(Delta)De ontwikkelingen op het gebied vanprestatie en capaciteit managementworden periodiek verwerkt in eenresource plan ten opzichte vanbeschikbare resources. Er wordt rekeninggehouden met de geldende QOS (qualityof service) afspraken van de specifiekegevirtualiseerde omgeving. Ook bestaat eraandacht voor gemaakte beleid keuzes(bijvoorbeeld of het mogelijk is dat hetgeformuleerde continuïteitsplan kanblijven worden uitgevoerd).De actuele informatie van geleverdeprestaties en verbruikte capaciteit voor devolgende virtualisatie lagen: VM,Virtualization Layer, clusters en resourcepools worden gebruikt om de actueledienstverlening verder te optimaliseren enom over de geleverde QOS te rapporterenrichting de gebruikersorganisatie.Er zijn organisatorische keuzes gemaaktover de manier waarop invulling wordtgegeven aan continuïteitsmanagement.Hierbij zijn de mogelijkheden vanvirtualisatie geëvalueerd en is rekeninggehouden met de voor en nadelen vanvirtualisatie, impact op infrastructuur enRTO / RPO eisen vanuit de organisatie.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 89

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ReferentieCobiTprocesDS04CobiTprocesEnsurecontinuousserviceCobiT-beheersdoelstellingEr bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.ReferentieBeheersmaatregelBM-02Referentie CobiTbeheersmaatregelDS4.2 IT ContinuityPlansGeïdentificeerde beheersmaatregel(Delta)Er bestaat een uitgewerktcontinuïteitsbeleid en vertaling naar eenconcreet plan.Er heeft een inventarisatie van kritiekeresources plaatsgevonden.Binnen het plan bestaat aandacht voor deBeschikbaarheid, Integriteit enVertrouwelijkheid classificatie van devirtuele-infrastructuur en kritieke procesketens van VM’s binnen en over meerderefysieke server heen.De richtlijnen, rollen,verantwoordelijkheden, procedures,communicatie processen en test aanpakzijn duidelijk beschreven voor de virtueleinfrastructuur.Er wordt rekeninggehouden met niet actieve VM’s.Er is zekerheid verkregen over de matewaarin de gekozen implementatie vanvirtualisatiefunctionaliteit geschikt is voorde desbetreffende applicatie en wordtondersteund door leveranciers.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 90

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ReferentieCobiTprocesDS04CobiTprocesEnsurecontinuousserviceCobiT-beheersdoelstellingEr bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.ReferentieBeheersmaatregelBM-03Referentie CobiTbeheersmaatregelDS4.3 Critical ITResourcesGeïdentificeerde beheersmaatregel(Delta)Voor de kritieke resources is een concreetplan uitgewerkt waarbij rekening wordtgehouden met de RTO en RPO eisen. Deeisen zijn vertaald naar concreteimplementaties binnen de virtueleinfrastructuur.DS04DS04DS04EnsurecontinuousserviceEnsurecontinuousserviceEnsurecontinuousserviceEr bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.BM-04BM-05BM-06DS4.4 Maintenance ofthe IT Continuity PlanDS4.5 Testing of theIT Continuity PlanDS4.6 IT ContinuityPlan TrainingVoor redundant uitgevoerde VM’sbestaan maatregelen die ervoor waken datde VM’s op fysiek gescheiden serversworden uitgevoerd.Voor wijzigingen in het continuïteitsplanwordt de impact op de virtueleinfrastructuurverwerkt.Wijzigingen op de virtuele-infrastructuurworden verwerkt in bestaande procedures.Het continuïteitsplan / disaster recoverywordt periodiek getoetst. Hierbij wordtgelet op geschiktheid van degeïmplementeerde procedures voor devirtuele-infrastructuur.Er bestaat voldoende kennis en kunde vande virtuele-infrastructuur zodat hetcontinuïteitsplan kan worden uitgevoerd.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 91

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS04DS04DS04ReferentieCobiTprocesDS04CobiTprocesEnsurecontinuousserviceEnsurecontinuousserviceEnsurecontinuousserviceEnsurecontinuousserviceCobiT-beheersdoelstellingEr bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.Er bestaat een beheerst proces om tezorgen voor de continue beschikbaarheidvan de automatiseringsomgeving. Hierbijwordt de impact voor de bedrijfsprocessenvan een calamiteit of een incident tot eenminimum beperkt.ReferentieBeheersmaatregelBM-07BM-08BM-09BM-10Referentie CobiTbeheersmaatregelDS4.7 Distribution ofthe IT Continuity PlanDS4.8 IT ServicesRecovery andResumptionDS4.9 Offsite BackupStorageDS4.10 PostresumptionReviewGeïdentificeerde beheersmaatregel(Delta)Het continuïteitsplan wordt verstrekt aanbeheerders van de virtuele-infrastructuur.Wijzigingen in het continuïteitsplan ophet niveau van de virtuele-infrastructuurworden verstrekt aan alle betrokkenen.Er bestaan procedures om allebetrokkenen te informeren over de impactvoor de organisatie vancontinuïteitsmaatregelen op de virtueleinfrastructuur.De uitwijklocatie en virtueleinfrastructuurvoldoen aan dezelfde eisenals de primaire productielocatie envirtuele-infrastructuur.Back-ups van de Virtuele-infrastructuuren VM's die extern worden opgeslagenzijn geclassificeerd op basis vanBeschikbaarheid, integriteit envolledigheid. De offsite opslaglocatievoldoet aan de BIV classificatieDe resultaten van een succesvolleuitvoering van het continuïteitsplanworden geëvalueerd. Hierbij worden deprocedures voor de virtuele-infrastructuurbeoordeeld op mogelijke verbeteringen.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 92

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-01SE-02SE-03Referentie CobiTbeheersmaatregelDS5.1 Management ofIT SecurityDS5.2 IT SecurityPlanDS5.5 SecurityTesting, Surveillanceand MonitoringGeïdentificeerde beheersmaatregel(Delta)De consequenties van virtualisatie op deIT beveiliging is afgestemd met het(strategisch) management van deorganisatieHet IT beveiligingsplan besteedt aandachtaan de rollen, verantwoordelijkheden,beleid, standaarden en procedures metbetrekking tot de gevirtualiseerdeinfrastructuur laag.Er bestaat een periodiek proces voor hetmonitoren van beveiligingsinstellingenten opzichte van een gedefinieerdestandaard voor de gevirtualiseerdeinfrastructuur laag.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 93

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-04SE-05SE-06Referentie CobiTbeheersmaatregelDS5.9 MaliciousSoftware Prevention,Detection andCorrectionDS5.4 User AccountManagementDS5.5 SecurityTesting, Surveillanceand MonitoringGeïdentificeerde beheersmaatregel(Delta)Elke VM is voorzien van antivirus,antispyware, intrusion detection, securityhardening en patch management. Deingerichte procedures zorgen ervoor datdeze maatregelen ook wordenafgedwongen voor eventueel slapende(niet actieve) virtual machines.Beperk het aantal gebruikers die eenremote connectie toegang kunnen krijgentot een VM tot het strikt noodzakelijke.Deze gebruikers beschikken overfunctionaliteit om de VM uit te schakelenof externe apparatuur te configureren.Er bestaan geaccordeerde Virtual Machinetemplates in overeenstemming met degedefinieerde kwaliteitsaspectenbeschikbaarheid, integriteit envolledigheid.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 94

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-07SE-08SE-09Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataDS5.5 SecurityTesting, Surveillanceand MonitoringDS5.11 Exchange ofSensitive DataGeïdentificeerde beheersmaatregel(Delta)Blokkeer het gebruik van copy-pastefunctionaliteit tussen de remote consoleen het VM besturingssysteem. Blokkeerdeze functionaliteit op elke VM en bijvoorkeur binnen de voorgedefinieerdetemplates.Maak geen gebruik van non persistentdisks voor productie servers.Indien non persistent disks wordentoegepast dienen er additionelemaatregelen te zijn geïmplementeerd omlogfiles veilig te stellen, bijvoorbeeld eencentrale log serverBlokkeer het mogelijke gebruik vanexterne apparatuur voor alle VM’s, tenzijstrikt noodzakelijk. Er bestaat eenduidelijk beleid en procedures voor hetgebruik van eventuele externe apparatuur.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 95

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-10SE-11SE-12Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataDS5.5 SecurityTesting, Surveillanceand MonitoringDS5.3 IdentityManagementGeïdentificeerde beheersmaatregel(Delta)Blokkeer het automatisch detecteren vanUSB devices voor VM’s.Blokkeer de functionaliteit van diskshrinking of disk wiper indien hier geennoodzaak toe bestaat.VMWare ESX specifiek: disk shrinkingen disk wiper zijn methoden om deschijfruimte groter / kleiner te maken.Frequent gebruik kan leiden tot het nietmeer beschikbaar zijn van virtuele schijf.Toegang tot logische systeembestanden(Virtual Machine) zijn afgeschemd voorongeoorloofde toegang.VMware ESX specifiek: Toegangsrechtentot het configuratiebestand (.vmx) moetingesteld zijn als read, write, execute(rwx) voor eigenaar en read en execute (rx)voor Group (755). Toegangsrechtenvoor de virtual disk van de virtualmachine (.vmdk) moet ingesteld zijn alsread en write(rw-) voor de owner (600).Voor al deze bestanden moet de user enGroup ingesteld zijn als root.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 96

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-13SE-14SE-15Referentie CobiTbeheersmaatregelDS5.9 MaliciousSoftware Prevention,Detection andCorrectionDS5.5 SecurityTesting, Surveillanceand MonitoringDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)Controleer periodiek op nieuwe patchesen updates. Installeer uitsluitend patchesgeaccordeerd door leverancier van deService Console.Patches doorlopen het algemene changeen configuratie management proces.Gebruik een beveiligingstool waarvoor isvastgesteld dat deze geschikt is voor hetcontroleren van beveiligingsinstellingenvan de Service Console. Behandel deService Console niet als een standaardbesturingssysteem.Blokkeer alle inkomende en uitgaandeverkeer van de Service Console firewallindien hier geen actieve service aan isgekoppeld. Sta uitsluitend connecties naarinterne beveiligde netwerken toe enblokkeer connecties naar het internet.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 97

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-16SE-17SE-18Referentie CobiTbeheersmaatregelDS5.10 NetworkSecurityDS5.10 NetworkSecurityDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)Sta uitsluitend als veilig bestempeldeprotocollen toe voor Service Consoleconnecties. Blokkeer clear textprotocollen als FTP, Telnet e.d.Beperk het gebruik van (third party)software en services binnen de ServiceConsole tot het strikt noodzakelijke. DeService console dient uitsluitend voorbeheer doeleinden. Applicaties en serviceshebben betrekking totbeheerfunctionaliteit zoals opslag,authentificatie, NTP of back-up tools.Documenteer voor de Service Consolealle additionele poorten of geïnstalleerdeservices die zijn opengezet ofgeïnstalleerd met een toelichting.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 98

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-19SE-20SE-21Referentie CobiTbeheersmaatregelDS5.8 CryptographicKey ManagementDS5.9 MaliciousSoftware Prevention,Detection andCorrectionDS5.3 IdentityManagementGeïdentificeerde beheersmaatregel(Delta)Connecties tussen clients en de ServiceConsole is middels encryptie (bijv. SSL)beveiligd. Maak hierbij gebruik vanerkende ‘third party’ certificaten.Service Console toegang middels webservices is beperkt in functionaliteit enbeveiligd tegen aanvallen door goed patchmanagement.Zorg voor sterke authenticatiemaatregelen voor toegang tot de serviceconsole. Stel minimaal eisen ten aanzienvan de ouderdom en complexiteit vanwachtwoorden.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 99

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-22SE-23Referentie CobiTbeheersmaatregelDS5.3 IdentityManagementDS5.3 IdentityManagementGeïdentificeerde beheersmaatregel(Delta)Beperk het aantal beheerders met toegangtot de Service Console tot het striktnoodzakelijke. Maak gebruik vanpersoonlijke accounts en zorg datgenerieke accounts niet worden gebruiktvoor algemene beheertaken.VMware specifiek: Geef uitsluitend eenbeperkte Groep gebruikers rechten voorSudo/SUBeperk directe beheer via de ServiceConsole tot het strikt noodzakelijke.Maak zoveel mogelijk gebruik van een alsveilig geclassificeerde en ondersteundebeheerapplicatie.VMware specifiek: Gebruik vooralgemeen beheer zoveel mogelijk debeschikbare beheerapplicaties als VIclienten VirtualCenter.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 100

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-24Referentie CobiTbeheersmaatregelDS5.5 SecurityTesting, Surveillanceand MonitoringGeïdentificeerde beheersmaatregel(Delta)Logfiles registeren minimaal de volgendeacties:- het starten en stoppen van audit functies- het opstarten en afsluiten van virtualmachines- het aanmaken en verwijderen van virtualmachines- configureren van alarm of taken- alle identificatie en authenticatie acties.DS05DS05EnsuresystemssecurityEnsuresystemssecurityEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.SE25-SE-26DS5.5 SecurityTesting, Surveillanceand MonitoringDS5.5 SecurityTesting, Surveillanceand MonitoringLogfiles worden op een afgeschermdelocatie opgeslagen en zijn uitsluitend dooreen beperkte groep gebruikers teraadplegenLog files worden voor een bepaaldeperiode bewaard en er zijn maximageformuleerd voor de retentie van logbestanden.De registreerde events van devirtualisatielaag worden periodiek dooreen security functionaris met virtualisatiekennis gereviewed. Over opvallende /afwijkende events wordt melding gemaakten de vereiste opvolging uitgevoerd.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 101

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-27SE-28SE-29Referentie CobiTbeheersmaatregelDS5.5 SecurityTesting, Surveillanceand MonitoringDS5.5 SecurityTesting, Surveillanceand MonitoringDS5.5 SecurityTesting, Surveillanceand MonitoringGeïdentificeerde beheersmaatregel(Delta)Er bestaat een bestand integriteit controlevoor belangrijke configuratie bestandenmet behulp van een beveiligings- ofchecksumapplicatie. Toegang tot dezeconfiguratiebestanden is afgeschermd.VMware specifiek: Voor VMware ESXdient integriteit voor de volgendebestanden te worden vastgesteld:/etc/profile /etc/ssh/sshd_config/etc/pam.d/system_auth /etc/ntp/etc/ntp.conf /etc/passwd/etc/group /etc/sudoers//etc/shadow /etc/VMwareZorg ervoor dat de klokken tussenvirtualisatieservers, VM en anderecomponenten binnen het netwerk (o.a. eendomain controller) zijn gesynchroniseerd.VMware specifiek: Tijdsynchronisatiekan worden toegepast bijvoorbeeld doormiddel van NTP.Voor elke virtualisatieserver bestaat eenaparte directory voor file systembestanden en temp/werkdirectories.VMware specifiek: installeer de volgendedirecories elk op een aparte partitie:/home, /tmp en /var/log (/var)----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 102

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-30SE-31SE-32Referentie CobiTbeheersmaatregelDS5.11 Exchange ofSensitive DataDS5.2 IT SecurityPlanDS5.4 User AccountManagementGeïdentificeerde beheersmaatregel(Delta)Er bestaat een duidelijk beleid enprocedures voor het gebruik van eventueleexterne apparatuur. Blokkeer hetautomatisch detecteren van USB devicesvoor de Service Console. Het mogelijkegebruik van externe apparatuur door deService Console is geblokkeerd tenzijstrikt noodzakelijk.Indien er gebruik wordt gemaakt van eencentale beheerapplicatie, dan bestaan erduidelijke richtlijnen en procedures overde inrichting en werking van dezeapplicatie.VMware specifiek: Wijzig niet deconfiguratie van het standaard account“vpxuser”. Alle connecties vanuitVirtualCenter worden uitgevoerd met ditgenerieke account.Onderscheid het beheer van de virtueleinfrastructuurten opzichte van het beheer vanbesturingssystemen. Er bestaat een duidelijkescheiding tussen de taken enverantwoordelijkheden voor beide typenbeheergroepen.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 103

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-33SE-34Referentie CobiTbeheersmaatregelDS5.4 User AccountManagementDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)Gebruik verschillende groepen beheerdersbinnen de virtuele-infrastructuur. Groepen zijnopgezet op basis van least privilege. Er bestaateen duidelijke beschrijving van taken enverantwoordelijkheden voor de gedefinieerdebeheergroepen.Het infrastructurele en beheernetwerkdienen bij voorkeur fysiek maar minimaallogisch van elkaar te zijn gescheidenVMware specifiek:- Infrastructurele netwerk: voor hetafschermen van bepaalde infrastructuurservices als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen vanbeheeractiviteiten- gebruikersnetwerk: het operationelenetwerk van bedrijfsvoering----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 104

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-35SE-36Referentie CobiTbeheersmaatregelDS5.10 NetworkSecurityDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)De gebruikersnetwerken dienen fysiekvan het infrastructurele en beheernetwerkte zijn gescheiden.VMware specifiek:- Infrastructurele netwerk: voor hetafschermen van bepaalde infrastructuurservices als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen vanbeheeractiviteiten- gebruikersnetwerk: het operationelenetwerk van bedrijfsvoeringBeperk de connectie tussen operationelegebruikersnetwerken en hetbeheernetwerk tot het strikt noodzakelijkeen maak altijd gebruik van een externefirewall.VMware specifiek:- Infrastructurele netwerk: voor hetafschermen van bepaalde infrastructuurservices als iSCI, Vmotion e.d.- beheernetwerk:voor het afschermen vanbeheeractiviteiten- gebruikersnetwerk: het operationelenetwerk van bedrijfsvoering----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 105

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-38SE-39Referentie CobiTbeheersmaatregelDS5.10 NetworkSecurityDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)Netwerken zijn gesegmenteerd in fysiekeen logische netwerken conform hetgestelde beleid en BIV classificaties.Er bestaan duidelijke procedures voor hetin stand houden van de gedefinieerdenetwerksegmentatie enbeveiligingsinstellingen (policies) bij hetmigreren van VM’s over fysieke servers.VMware specifiek: VMware ondersteundsoftware matige oplossingen die een VMen ingestelde policies aan elkaar koppelt.Een voorbeeld van een ondersteunendbeheercomponent is de Citco Nexus1000V virtual switch----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 106

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-40Referentie CobiTbeheersmaatregelDS5.10 NetworkSecurityGeïdentificeerde beheersmaatregel(Delta)Een organisatie heeftbeveiligingsfunctionaliteit geïnstalleerdvoor de beheersing van de virtuelenetwerk laag in relatie met het fusiekenetwerkDS05EnsuresystemssecurityEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.SE-41DS5.10 NetworkSecurityZorg dat MAC-adres instellingen nietvoor aanvallen zijn te misbruiken en zorgvoor een configuratie waarbij degeconfigureerde instellingen niet zijn tewijzigen.VMware specifiek:Bij MAC-addressspoofing probeert een aanvaller zich tepresenteren als een betrouwbare VM doorhet unieke MAC-adres te imiteren. Stelonderstaande parameters als volgt in:MAC address changes: REJECTForged transmission: REJECT----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 107

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS05DS05ReferentieCobiTprocesDS05CobiTprocesEnsuresystemssecurityEnsuresystemssecurityEnsuresystemssecurityCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.Er bestaat een beheerst proces voor hetbeveiligen van deautomatiseringsomgeving. Hierbij wordtde integriteit van deinformatievoorziening en ITinfrastructuuronderhouden waarbij deimpact van beveiligingskwetsbaarhedenen incidenten tot een minimum wordenbeperkt.ReferentieBeheersmaatregelSE-42SE-43SE-44Referentie CobiTbeheersmaatregelDS5.10 NetworkSecurityDS5.10 NetworkSecurityDS5.2 IT SecurityPlanGeïdentificeerde beheersmaatregel(Delta)Maak geen gebruik van “promiscuousmode” voor alledaagse bedrijfsvoering.Deze maatregel geldt voor alle switchesen poort groepen afzonderlijk.Promicuous mode stuurt alle data door inplaats van uitsluitend de noodzakelijkeframes.Indien gebruik wordt gemaakt vangeavanceerde virtualisatiefunctionaliteitzoals Vmotion, dient de opslaginfrastructuur hierop te zijn ingericht.Keuzes voor een bepaalde technologiezijn in overeenstemming met destrategische bedrijfsdoelstellingen.Er bestaan duidelijke procedures enrichtlijnen voor de manier waarop binnende virtuele opslag infrastructuurbeschikbare resources worden ingezetvoor verschillendeinformatievraagstukken.Er bestaan duidelijke richtlijnen hoeopslag resources worden gesegmenteerdd.m.v. zoning of LUN masking----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 108

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS09DS09DS09ReferentieCobiTprocesDS09CobiTprocesManage theconfigurationManage theconfigurationManage theconfigurationManage theconfigurationCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.Er bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.Er bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.Er bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.ReferentieBeheersmaatregelCO-01CO-02CO-03CO-04Referentie CobiTbeheersmaatregelDS9.1 ConfigurationRepository andBaselineDS9.1 ConfigurationRepository andBaselineDS9.1 ConfigurationRepository andBaselineDS9.2 Identificationand Maintenance ofConfiguration ItemsGeïdentificeerde beheersmaatregel(Delta)Voor elke virtuele (database)server isvastgelegd waarvoor de server dient(welke bedrijfsprocessen ermee wordenondersteund), welke applicaties, databasesen besturingssystemen hiervoor wordengebruikt, op welke fysieke host de serverdraait en welke parameters zijn ingesteld.Periodiek wordt beoordeeld of deorganisatie over voldoende en juistelicenties beschikt voor de virtuele(database) servers.De conponenten van de geïmplementeerdevirtuele architectuur zijn opgenomen inde CMDB van de organisatie en zijngeclassificeerd ten aanzien van dekwaliteitsaspecten beschikbaarheid,integriteit en vertrouwelijkheid.Wijzigingen in instellingen van virtuele(database) servers ennetwerkcomponenten worden juist, tijdigen volledig vastgelegd. Voor elke virtuele(database)server en netwerkcomponentenworden de historischegegevens/instellingen bewaard.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 109

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DS09ReferentieCobiTprocesDS09CobiTprocesManage theconfigurationManage theconfigurationCobiT-beheersdoelstellingEr bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.Er bestaat een beheerst proces voor hetbeheren van de configuratie. Hierbij wordtde infrastructuur, verschillendecomponenten en mogelijkhedengeoptimaliseerd, daarnaast worden allecomponenten juist en vollediggeregistreerd.DS11 Manage data Er bestaat een beheerst proces voor hetbeheren van gegevens. Hierbij wordtgebruik van de gegevens geoptimaliseerden beschikbaar gesteld wanneer deze zijnbenodigd.DS11 Manage data Er bestaat een beheerst proces voor hetbeheren van gegevens. Hierbij wordtgebruik van de gegevens geoptimaliseerden beschikbaar gesteld wanneer deze zijnbenodigd.DS11 Manage data Er bestaat een beheerst proces voor hetbeheren van gegevens. Hierbij wordtgebruik van de gegevens geoptimaliseerden beschikbaar gesteld wanneer deze zijnbenodigd.ReferentieBeheersmaatregelCO-05CO-06DM-01DM-02DM-03Referentie CobiTbeheersmaatregelDS9.3 ConfigurationIntegrity ReviewDS9.3 ConfigurationIntegrity ReviewDS11.2 Storage andRetentionArrangementsDS11.6 SecurityRequirements for DataManagementDS11.5 Backup andRestorationGeïdentificeerde beheersmaatregel(Delta)Geautomatiseerd of periodiek wordtbeoordeeld of geen conflicten ten aanzienvan de (BIV) classificaties van deverschillende virtuele en hardwarematigeIT-componenten aanwezig zijn of zijngeweest.Periodiek wordt beoordeeld of alleaanwezige (virtuele) (database) servers enIT-componenten tijdig, juist en volledig inhet CMDB zijn opgenomen.Er bestaat een duidelijk beleid over demanier waarop er een back-up wordtgemaakt van VM, service console envirtualization layer, de locatie waar backupbestanden worden opgeslagen en hetbewaartermijn.In de back-up en restore procedure vanvirtual machines wordt rekeninggehouden met het verschil in(beveiligings)instellingen en patchniveaustussen het moment dat de back-up isgemaakt en de restore wordt uitgevoerdop basis van de configuratie DB.Het bewaren en verwijderen van back-upbestanden van VM,Service Console envirtualization layer is in overeenstemmingmet het continuïteitsbeleid.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 110

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Bijlage 2 CobiT­processenOnderstaande tabel toont de CobiT-processen en geeft voor een zevental kwaliteitsaspecten aan of er een primaire (“P”), secundaire (“S”) of geen (“ “) relatiebestaat.DomeinProcessnummerProcesEffectivenessEfficiencyKwaliteitsaspectenConfidentialityIntegrityAvailibilityComplianceReliabilityPlan and Organise PO1 Define a strategic IT plan P SPlan and Organise PO2 Define the information architecture S P S PPlan and Organise PO3 Determine technological direction P PPlan and Organise PO4 Define the IT processes, organisation and relationships P PPlan and Organise PO5 Manage the IT investment P P PPlan and Organise PO6 Communicate management aims and direction P SPlan and Organise PO7 Manage IT human resources P PPlan and Organise PO8 Manage quality P P S SPlan and Organise PO9 Assess and manage IT risks S S P P P S SPlan and Organise PO10 Manage projects P PAcquire andImplementAI1 Identify automated solutions P SAcquire andImplementAI2 Acquire and maintain application software P P S SAcquire andImplementAI3 Acquire and maintain technology infrastructure S P S SAcquire andImplementAI4 Enable operation and use P P S S S SAcquire andImplementAI5 Procure IT resources S P S----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 111

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DomeinProcessnummerProcesEffectivenessEfficiencyKwaliteitsaspectenConfidentialityIntegrityAvailibilityComplianceReliabilityAcquire andImplementAI6 Manage changes P P P P SAcquire andImplementAI7 Install and accredit solutions and changes P S S SDeliver and Support DS1 Define and manage service levels P P S S S S SDeliver and Support DS2 Manage third-party services P P S S S S SDeliver and Support DS3 Manage performance and capacity P P SDeliver and Support DS4 Ensure continuous service P S PDeliver and Support DS5 Ensure systems security P P S S SDeliver and Support DS6 Identify and allocate costs P PDeliver and Support DS7 Educate and train users P SDeliver and Support DS8 Manage service desk and incidents P PDeliver and Support DS9 Manage the configuration S SDeliver and Support DS10 Manage problems P P SDeliver and Support DS11 Manage data P PDeliver and Support DS12 Manage the physical environment P PDeliver and Support DS13 Manage operations P P S SMonitor and Evaluate ME1 Monitor and evaluate IT performance P P S S S S SMonitor and Evaluate ME2 Monitor and evaluate internal control P P S S S S SMonitor and Evaluate ME3 Ensure compliance with external requirements P SMonitor and Evaluate ME4 Provide IT governance P P S S S S S----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 112

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Bijlage 3 Geselecteerde CobiT­processen en beheersmaatregelenOnderstaande tabel toont de binnen deze scriptie geselecteerde CobiT-processen en geeft een overzicht van de binnen CobiT gedefinieerde “Controlobjectives”.ProcessnumberPO02PO02PO02PO02PO09PO09ProcessDefine theinformationarchitectureDefine theinformationarchitectureDefine theinformationarchitectureDefine theinformationarchitectureAssess and manageIT risksAssess and manageIT risksControlobjectivenumberPO2.1PO2.2Control objectiveEnterprise InformationArchitecture ModelEnterprise Data Dictionary andData Syntax RulesControl objective descriptionEstablish and maintain an enterprise information model to enable applicationsdevelopment and decision-supporting activities, consistent with IT plans asdescribed in PO1. The model should facilitate the optimal creation, use andsharing of information by the business in a way that maintains integrity and isflexible, functional, cost-effective, timely, secure and resilient to failure.Maintain an enterprise data dictionary that incorporates the organisation’sdata syntax rules. This dictionary should enable the sharing of data elementsamongst applications and systems, promote a common understanding of dataamongst IT and business users, and prevent incompatible data elements frombeing created.PO2.3 Data Classification Scheme Establish a classification scheme that applies throughout the enterprise, basedon the criticality and sensitivity (e.g., public, confidential, top secret) ofenterprise data. This scheme should include details about data ownership;definition of appropriate security levels and protection controls; and a briefdescription of data retention and destruction requirements, criticality andsensitivity. It should be used as the basis for applying controls such as accesscontrols, archiving or encryption.PO2.4 Integrity Management Define and implement procedures to ensure the integrity and consistency ofall data stored in electronic form, such as databases, data warehouses and dataarchives.PO9.1IT Risk ManagementFrameworkEstablish an IT risk management framework that is aligned to theorganisation’s (enterprise’s) risk management framework.PO9.2 Establishment of Risk Context Establish the context in which the risk assessment framework is applied toensure appropriate outcomes. This should include determining the internaland external context of each risk assessment, the goal of the assessment, andthe criteria against which risks are evaluated.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 113

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberPO09PO09PO09PO09ProcessAssess and manageIT risksAssess and manageIT risksAssess and manageIT risksAssess and manageIT risksControlobjectivenumberControl objectiveControl objective descriptionPO9.3 Event Identification Identify events (an important realistic threat that exploits a significantapplicable vulnerability) with a potential negative impact on the goals oroperations of the enterprise, including business, regulatory, legal, technology,trading partner, human resources and operational aspects. Determine thenature of the impact and maintain this information. Record and maintainrelevant risks in a risk registry.PO9.4 Risk Assessment Assess on a recurrent basis the likelihood and impact of all identified risks,using qualitative and quantitative methods. The likelihood and impactassociated with inherent and residual risk should be determined individually,by category and on a portfolio basis.PO9.5 Risk Response Develop and maintain a risk response process designed to ensure that costeffectivecontrols mitigate exposure to risks on a continuing basis. The riskresponse process should identify risk strategies such as avoidance, reduction,sharing or acceptance; determine associated responsibilities; and consider riskPO9.6Maintenance and Monitoringof a Risk Action PlanAI06 Manage changes AI6.1 Change Standards andProceduresAI06 Manage changes AI6.2 Impact Assessment,Prioritization andAuthorizationtolerance levels.Prioritise and plan the control activities at all levels to implement the riskresponses identified as necessary, including identification of costs, benefitsand responsibility for execution. Obtain approval for recommended actionsand acceptance of any residual risks, and ensure that committed actions areowned by the affected process owner(s). Monitor execution of the plans, andreport on any deviations to senior management.Set up formal change management procedures to handle in a standardisedmanner all requests (including maintenance and patches) for changes toapplications, procedures, processes, system and service parameters, and theunderlying platforms.Assess all requests for change in a structured way to determine the impact onthe operational system and its functionality. Ensure that changes arecategorised, prioritised and authorised.AI06 Manage changes AI6.3 Emergency Changes Establish a process for defining, raising, testing, documenting, assessing andauthorising emergency changes that do not follow the established changeprocess.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 114

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberProcessControlobjectivenumberControl objectiveAI06 Manage changes AI6.4 Change Status Tracking andReportingAI06 Manage changes AI6.5 Change Closure andDocumentationDS03DS03DS03DS03DS03Manage performanceand capacityManage performanceand capacityManage performanceand capacityManage performanceand capacityManage performanceand capacityDS3.1DS3.2DS3.3Performance and CapacityPlanningCurrent Performance andCapacityFuture Performance andCapacityControl objective descriptionEstablish a tracking and reporting system to document rejected changes,communicate the status of approved and in-process changes, and completechanges. Make certain that approved changes are implemented as planned.Whenever changes are implemented, update the associated system and userdocumentation and procedures accordingly.Establish a planning process for the review of performance and capacity of ITresources to ensure that cost-justifiable capacity and performance areavailable to process the agreed-upon workloads as determined by the SLAs.Capacity and performance plans should leverage appropriate modellingtechniques to produce a model of the current and forecasted performance,capacity and throughput of the IT resources.Assess current performance and capacity of IT resources to determine ifsufficient capacity and performance exist to deliver against agreed-uponservice levels.Conduct performance and capacity forecasting of IT resources at regularintervals to minimise the risk of service disruptions due to insufficientcapacity or performance degradation, and identify excess capacity forpossible redeployment. Identify workload trends and determine forecasts tobe input to performance and capacity plans.DS3.4 IT Resources Availability Provide the required capacity and performance, taking into account aspectssuch as normal workloads, contingencies, storage requirements and ITresource life cycles. Provisions such as prioritising tasks, fault-tolerancemechanisms and resource allocation practices should be made. Managementshould ensure that contingency plans properly address availability, capacityand performance of individual IT resources.DS3.5 Monitoring and Reporting Continuously monitor the performance and capacity of IT resources. Datagathered should serve two purposes:• To maintain and tune current performance within IT and address such issuesas resilience, contingency, current and projected workloads, storage plans,and resource acquisition• To report delivered service availability to the business, as required by the----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 115

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberProcessControlobjectivenumberControl objectiveControl objective descriptionSLAsAccompany all exception reports with recommendations for corrective action.DS04DS04DS04Ensure continuousserviceEnsure continuousserviceEnsure continuousserviceDS4.1 IT Continuity Framework Develop a framework for IT continuity to support enterprisewide businesscontinuity management using a consistent process. The objective of theframework should be to assist in determining the required resilience of theinfrastructure and to drive the development of disaster recovery and ITcontingency plans. The framework should address the organisational structurefor continuity management, covering the roles, tasks and responsibilities ofinternal and external service providers, their management and theircustomers, and the planning processes that create the rules and structures todocument, test and execute the disaster recovery and IT contingency plans.The plan should also address items such as the identification of criticalresources, noting key dependencies, the monitoring and reporting of theavailability of critical resources, alternative processing, and the principles ofbackup and recovery.DS4.2 IT Continuity Plans Develop IT continuity plans based on the framework and designed to reducethe impact of a major disruption on key business functions and processes. Theplans should be based on risk understanding of potential business impacts andaddress requirements for resilience, alternative processing and recoverycapability of all critical IT services. They should also cover usage guidelines,roles and responsibilities, procedures, communication processes, and thetesting approach.DS4.3 Critical IT Resources Focus attention on items specified as most critical in the IT continuity plan tobuild in resilience and establish priorities in recovery situations. Avoid thedistraction of recovering less-critical items and ensure response and recoveryin line with prioritised business needs, while ensuring that costs are kept at anacceptable level and complying with regulatory and contractual requirements.Consider resilience, response and recovery requirements for different tiers,e.g., one to four hours, four to 24 hours, more than 24 hours and criticalbusiness operational periods.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 116

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberDS04DS04DS04DS04DS04ProcessEnsure continuousserviceEnsure continuousserviceEnsure continuousserviceEnsure continuousserviceEnsure continuousserviceControlobjectivenumberDS4.4DS4.5Control objectiveMaintenance of the ITContinuity PlanTesting of the IT ContinuityPlanControl objective descriptionEncourage IT management to define and execute change control proceduresto ensure that the IT continuity plan is kept up to date and continually reflectsactual business requirements. Communicate changes in procedures andresponsibilities clearly and in a timely manner.Test the IT continuity plan on a regular basis to ensure that IT systems can beeffectively recovered, shortcomings are addressed and the plan remainsrelevant. This requires careful preparation, documentation, reporting of testresults and, according to the results, implementation of an action plan.Consider the extent of testing recovery of single applications to integratedtesting scenarios to end-to-end testing and integrated vendor testing.DS4.6 IT Continuity Plan Training Provide all concerned parties with regular training sessions regarding theprocedures and their roles and responsibilities in case of an incident ordisaster. Verify and enhance training according to the results of thecontingency tests.DS4.7DS4.8Distribution of the ITContinuity PlanIT Services Recovery andResumptionDetermine that a defined and managed distribution strategy exists to ensurethat plans are properly and securely distributed and available to appropriatelyauthorised interested parties when and where needed. Attention should bepaid to making the plans accessible under all disaster scenarios.Plan the actions to be taken for the period when IT is recovering andresuming services. This may include activation of backup sites, initiation ofalternative processing, customer and stakeholder communication, andresumption procedures. Ensure that the business understands IT recoverytimes and the necessary technology investments to support business recoveryand resumption needs.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 117

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberDS04DS04DS05DS05DS05ProcessEnsure continuousserviceEnsure continuousserviceEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityControlobjectivenumberControl objectiveControl objective descriptionDS4.9 Offsite Backup Storage Store offsite all critical backup media, documentation and other IT resourcesnecessary for IT recovery and business continuity plans. Determine thecontent of backup storage in collaboration between business process ownersand IT personnel. Management of the offsite storage facility should respondto the data classification policy and the enterprise’s media storage practices.IT management should ensure that offsite arrangements are periodicallyassessed, at least annually, for content, environmental protection and security.Ensure compatibility of hardware and software to restore archived data, andperiodically test and refresh archived data.DS4.10 Post-resumption Review Determine whether IT management has established procedures for assessingthe adequacy of the plan in regard to the successful resumption of the ITfunction after a disaster, and update the plan accordingly.DS5.1 Management of IT Security: Manage IT security at the highest appropriate organisational level, so themanagement of security actions is in line with business requirements.DS5.2 IT Security Plan Translate business, risk and compliance requirements into an overall ITsecurity plan, taking into consideration the IT infrastructure and the securityculture. Ensure that the plan is implemented in security policies andprocedures together with appropriate investments in services, personnel,software and hardware. Communicate security policies and procedures tostakeholders and users.DS5.3 Identity Management Ensure that all users (internal, external and temporary) and their activity on ITsystems (business application, IT environment, system operations,development and maintenance) are uniquely identifiable. Enable useridentities via authentication mechanisms. Confirm that user access rights tosystems and data are in line with defined and documented business needs andthat job requirements are attached to user identities. Ensure that user accessrights are requested by user management, approved by system owners andimplemented by the security-responsible person. Maintain user identities andaccess rights in a central repository. Deploy cost-effective technical andprocedural measures, and keep them current to establish user identification,implement authentication and enforce access rights.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 118

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberDS05DS05DS05DS05DS05DS05DS05ProcessEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityEnsure systemssecurityControlobjectivenumberControl objectiveControl objective descriptionDS5.4 User Account Management Address requesting, establishing, issuing, suspending, modifying and closinguser accounts and related user privileges with a set of user accountmanagement procedures. Include an approval procedure outlining the data orsystem owner granting the access privileges. These procedures should applyfor all users, including administrators (privileged users) and internal andexternal users, for normal and emergency cases. Rights and obligationsrelative to access to enterprise systems and information should becontractually arranged for all types of users. Perform regular managementDS5.5Security Testing, Surveillanceand Monitoringreview of all accounts and related privileges.Test and monitor the IT security implementation in a proactive way. ITsecurity should be reaccredited in a timely manner to ensure that the approvedenterprise’s information security baseline is maintained. A logging andmonitoring function will enable the early prevention and/or detection andsubsequent timely reporting of unusual and/or abnormal activities that mayneed to be addressed.DS5.6 Security Incident Definition Clearly define and communicate the characteristics of potential securityincidents so they can be properly classified and treated by the incident andproblem management process.DS5.7DS5.8DS5.9Protection of SecurityTechnologyCryptographic KeyManagementMalicious SoftwarePrevention, Detection andCorrectionMake security-related technology resistant to tampering, and do not disclosesecurity documentation unnecessarily.Determine that policies and procedures are in place to organise thegeneration, change, revocation, destruction, distribution, certification, storage,entry, use and archiving of cryptographic keys to ensure the protection ofkeys against modification and unauthorised disclosure.Put preventive, detective and corrective measures in place (especially up-todatesecurity patches and virus control) across the organisation to protectinformation systems and technology from malware (e.g., viruses, worms,spyware, spam).DS5.10 Network Security Use security techniques and related management procedures (e.g., firewalls,security appliances, network segmentation, intrusion detection) to authoriseaccess and control information flows from and to networks.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 119

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberDS05DS09DS09DS09ProcessEnsure systemssecurityManage theconfigurationManage theconfigurationManage theconfigurationControlobjectivenumberControl objectiveControl objective descriptionDS5.11 Exchange of Sensitive Data Exchange sensitive transaction data only over a trusted path or medium withcontrols to provide authenticity of content, proof of submission, proof ofDS9.1DS9.2Configuration Repository andBaselineIdentification and Maintenanceof Configuration Itemsreceipt and non-repudiation of origin.Establish a supporting tool and a central repository to contain all relevantinformation on configuration items. Monitor and record all assets and changesto assets. Maintain a baseline of configuration items for every system andservice as a checkpoint to which to return after changes..Establish configuration procedures to support management and logging of allchanges to the configuration repository. Integrate these procedures withchange management, incident management and problem managementprocedures.DS9.3 Configuration Integrity Review Periodically review the configuration data to verify and confirm the integrityof the current and historical configuration. Periodically review installedsoftware against the policy for software usage to identify personal orunlicensed software or any software instances in excess of current licenseagreements. Report, act on and correct errors and deviations.DS11 Manage data DS11.1 Business Requirements forData ManagementDS11 Manage data DS11.2 Storage and RetentionArrangementsDS11 Manage data DS11.3 Media Library ManagementSystemVerify that all data expected for processing are received and processedcompletely, accurately and in a timely manner, and all output is delivered inaccordance with business requirements. Support restart and reprocessingneeds.Define and implement procedures for effective and efficient data storage,retention and archiving to meet business objectives, the organisation’ssecurity policy and regulatory requirements.Define and implement procedures to maintain an inventory of stored andarchived media to ensure their usability and integrity.DS11 Manage data DS11.4 Disposal Define and implement procedures to ensure that business requirements forprotection of sensitive data and software are met when data and hardware aredisposed or transferred.DS11 Manage data DS11.5 Backup and Restoration Define and implement procedures for backup and restoration of systems,applications, data and documentation in line with business requirements andthe continuity plan.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 120

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ProcessnumberProcessControlobjectivenumberControl objectiveDS11 Manage data DS11.6 Security Requirements forData ManagementDS12DS12DS12DS12DS12Manage the physicalenvironmentManage the physicalenvironmentManage the physicalenvironmentManage the physicalenvironmentManage the physicalenvironmentControl objective descriptionDefine and implement policies and procedures to identify and apply securityrequirements applicable to the receipt, processing, storage and output of datato meet business objectives, the organisation’s security policy and regulatoryrequirements.DS12.1 Site Selection and Layout Define and select the physical sites for IT equipment to support thetechnology strategy linked to the business strategy. The selection and designof the layout of a site should take into account the risk associated with naturaland man-made disasters, whilst considering relevant laws and regulations,such as occupational health and safety regulations.DS12.2 Physical Security Measures Define and implement physical security measures in line with businessrequirements to secure the location and the physical assets. Physical securitymeasures must be capable of effectively preventing, detecting and mitigatingrisks relating to theft, temperature, fire, smoke, water, vibration, terror,vandalism, power outages, chemicals or explosives.DS12.3 Physical Access Define and implement procedures to grant, limit and revoke access topremises, buildings and areas according to business needs, includingemergencies. Access to premises, buildings and areas should be justified,authorised, logged and monitored. This should apply to all persons enteringthe premises, including staff, temporary staff, clients, vendors, visitors or anyother third party.DS12.4DS12.5Protection AgainstEnvironmental FactorsPhysical FacilitiesManagementDesign and implement measures for protection against environmental factors.Install specialised equipment and devices to monitor and control theenvironment.Manage facilities, including power and communications equipment, in linewith laws and regulations, technical and business requirements, vendorspecifications, and health and safety guidelines.----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 121

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 122

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigenBinnen deze bijlage is een korte beschrijving opgenomen van het toetsingsobject ‘DeloitteWebsolutions’ en de (externe) deskundigen die input hebben geleverd voor deze scriptie.Deloitte WebsolutionsEen onderdeel van Deloitte Enterprise Risk Services (ERS) is de afdeling Websolutions. Dezeafdeling verzorgt verschillende applicaties en platformen voor verschillende afdelingen binnenDeloitte en klanten van Deloitte. Hiervoor wordt gebruik gemaakt van verschillende (virtuele) ITomgevingendie extern bij Schuberg Philis wordt gehost. In hoofdlijnen zijn de diensten dieWebsolutions ondersteunen in drie onderdelen op te splitsen;• Invisionweb, is een online platform voor verschillende producten en diensten die doorDeloitte zijn ontwikkeld. De verschillende applicaties kunnen voor interne Deloitte klantenzijn of voor externe klanten van Deloitte• CTRL.nl, is een online portal waarmee klanten van Deloitte kunnen communiceren ensamenwerken met medewerkers van Deloitte. Daarnaast kunnen klanten via deze portalonline hun boekhouding voeren en hierover rapporteren.• Forensic & Dispute services, is een afdeling van ERS die zich bezig houdt met houdt zichbezig met onderzoek naar fraude, corruptie en integriteitkwesties in binnen- en buitenland.Waarbij binnen Europa intensief wordt samengewerkt. Het platform dat hiervoor wordtgebruikt, Deloitte Discovery, wordt beheerd door de afdeling Websolutions. Dit platform steltorganisaties in staat om complexe en ongesorteerde data te bewerken, indexeren, doorzoekenen hiervan een adequaat dossier op te bouwenDe keuze voor Schuberg Philis wordt door Ko van Leeuwen, Managing Partner Deloitte ERS op dewebsite als volgt verwoord: “It’s our strategy to make more solutions with even shorter lead timesavailable through the Deloitte INVision platform. Facilitating substantive growth, while retaining theexcellent quality and availability reputation of Deloitte INVision, requires a specialist partner. Apartner that has the innovative power and knowledge to implement changes flexibly and in acontrolled manner. And, last but not least, a partner that has a good reputation enabling us to grow andfacilitate our business dynamics to improve our services to our clients.”Gesprekspartners Deloitte Websolutions:Binnen Deloitte Websolutions hebben wij gesproken met Herman Braam en Gert de Jong. Gert deJong is als senior manager verantwoordelijk voor de implementatie en de operations van allemarktgericht ICT. Dit bestaat voor een groot deel uit virtualisatietechnieken. Daarnaast in zijnloopbaan eindverantwoordelijke geweest voor meerdere virtualisatie toepassingen die aan klanten zijnaangeboden. Herman Braam is als director eind verantwoordelijk voor de infrastructurele diensten dievanuit Deloitte Websolutions worden aangeboden.GesprekspartnersVoor inventarisatie en evaluatie van de geformuleerde beheersmaatregelen hebben wij zowel metinterne als externe gesprekspartners gesproken:Interne gesprekspartners:Deloitte Enterprise Risk Services (ERS) verleent diensten op gebieden als risicobeheersing van deorganisatie, informatie- en communicatietechnologie, secure e-business, integriteit van ICTinfrastructurenen de beveiliging van informatiesystemen. Wij hebben binnen ERS met diversevirtualisatie specialisten gesproken.---------------------------------------------------------------------------------------------------------------------------Pagina 123

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Externe Gesprekspartners:Bart Veldhuis, Continuity centerMet ruim tien jaar datacenter ervaring heeft Bart vanuit zijn rol als infrastructuur architect al veleimplementaties van de verschillende virtualisatie leveranciers mogen begeleiden. Bart heeft diversecertificeringen behaald, onder andere van Microsoft, Cisco en VMware, en is momenteel bezig methet prestigieuze VMware Certified Design Expert (VCDX). Bart tekende de afgelopen jaren voortientallen organisaties de infrastructuren; van kleine infrastructuren voor startende Applicatie ServiceProviders (ASP’s) tot grote multiregionale datacenter architecturen.Dick van Gaalen, HPWerkt meer dan 35 jaar in de IT industrie. Na oorspronkelijk begonnen te zijn als softwareontwikkelaar en systeem ontwerper bij de toenmalige computerdivisie van Philips, werkte hijvervolgens vele jaren bij bedrijven als Digital en Compaq in diverse internationale product marketingen product management rollen, zowel voor hardware als voor software. Op dit moment is hij binnenHP Nederland als de programma manager voor het thema Business Technology. Hij geeft regelmatiggastcolleges bij een aantal Nederlandse universiteiten en opleidingsinstituten.---------------------------------------------------------------------------------------------------------------------------Pagina 124

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellenTabel overgenomen uit het onderzoek van Van der Beek ea. (2009)Diepte:Flexibiliteit:Ratio:Acceptatie:Taal:Kosten:• Tactisch enoperationeel• Managementcyclus isopgenomen in27001.• Weinig gebruikdoor anderen danIB specialisten• Doelstellingenhangen samen metrichtlijnen• Meestgeaccepteerdestandaard inNederland• Nederlands enEngels• Gehele reeksbetaaldCriteria ISO 27002 NIST SP 800-53 COBIT ISFBreedte: • Dekt dehoofdgebieden vanIB• OnderwerpenOverzichtelijkgerangschikt• Dekt dehoofdgebieden vanIB• Onderwerpenversnipperdbehandeld• Veel product-• Beperkt op hetgebied van IB• Niet specifiekIB, gericht op debeheersing van ITin het algemeenstandaarden• Tactisch enoperationeel• Tactisch niet heeluitgebreiduitgewerkt inNIST SP 800- 53,echter wel verder,verspreid,uitgewerkt inoverige NISTreeksen.• Weinig gebruikdoor anderen danIB specialisten• Op basis van eenrisk assessmentkunnen deminimalebeveiligingsmaatregelenwordengeselecteerd.• Verplicht voorUS federaleoverheid• Private sectorbeperkt.• Strategisch entactisch• Operationeel nietuitgewerkt.• Verwijst naarISO• Kent ookspecifieke COBITPractices enSecurity Baselines• Veel gebruikdoor anderen danIB specialisten• Verbondenheidmet auditprocessen(auditor)• Elementenhangen samen metbusiness driversen input en output• Goedeondersteuningvoor Soxcompliance• Breedgeaccepteerd• Dekt dehoofdgebieden van IB• Periodieke update eneventuele aanpassingen• Tactisch enoperationeel• Engels • Engels • Engels• Gehele reeksbetaald• Betaald• Weinig gebruik dooranderen dan IBspecialisten• Principes hangensamen metdoelstellingen• Niet breedgeaccepteerd• Met namegeaccepteerd doorleden ISF.Bijvoorbeeld niet inUS• De standaard (SGOP)is gratis.• Overige productentegen een betaaldlidmaatschap.---------------------------------------------------------------------------------------------------------------------------Pagina 125

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 126