Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------wordt. Bij het definiëren van de beheersmaatregelen voor een gevirtualiseerde databaseserveromgeving zal zoveel mogelijk gebruik gemaakt worden van de beschikbare wetenschappelijkeliteratuur, bestaande raamwerken en methodieken (best practices). Daarnaast is gebruik gemaakt vanvirtualisatiedeskundigen om de geïdentificeerde set van beheersmaatregelen op juistheid te verifiëren.Hierbij zijn mogelijke suggesties geopperd voor het opnemen van additionele beheersmaatregelen. Ditheeft tot aanvullende informatie en theoretisch onderzoek geleid om nog eventueel ontbrekendebeheersmaatregelen te identificeren.Toetsing van de geïdentificeerde set van risico’s en hiervoor geformuleerde beheersmaatregelen vindtplaats bij ‘Deloitte Websolutions’. Er is specifiek voor ‘Deloitte Websolutions’ gekozen omdat zijdatabaseserver virtualisatie toepassen voor Microsoft SQL Server 2005. Het merendeel van grotereorganisaties heeft nog niet de database omgeving gevirtualiseerd of maakt gebruik van mainframetoepassingen. Op basis van onze kennis en ervaring is vastgesteld dat bij kleinere organisatiesdatabase virtualisatie succesvol wordt toegepast, echter dit is niet representatief voor een dataintensieve toepassing en/of infrastructuur. De specifieke details van de praktijktoets zijn ter validatiebesproken tijdens verschillende afspraken met medewerkers van ‘Deloitte Websolutions’. Eenvoordeel van ‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken kondenworden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen.Vaak is een volledig externe organisatie terughoudend om dergelijke informatie met anderen te delenaangezien dit potentiële zwaktes in (de beheersing van) de geautomatiseerde omgeving identificeert.Mogelijk misbruik van deze informatie kan verstrekkende (financiële) gevolgen met zichmeebrengen.De door ‘Deloitte Websolutions’ aangedragen (vertrouwelijke) informatie heeft bijgedragen om derelevantie van geformuleerde beheersmaatregelen te verifiëren. Verder zijn eventueel additionelerisico’s en benodigde beheersmaatregelen aangedragen. Op deze wijze is de volledigheid van hettotaal van beheersmaatregelen vastgesteld. De wijze waarop de geformuleerde beheersmaatregelenmoeten worden vastgesteld (audit) is daar waar nodig besproken. Voor beheersmaatregelen waarvooronvoldoende kennis van de materie bestond om dit in praktijk vast te kunnen stellen, is aanvullendeinformatie ontvangen en inhoudelijk besproken. Op deze wijze is de bruikbaarheid van geformuleerdebeheersmaatregelen geverifieerd. Aangezien de door ‘Deloitte Websolutions’ verstrekte informatievertrouwelijk dient te worden behandeld, is er geen inhoudelijke informatie van configuratie enverificatie opgenomen. De praktijktoetsing bestaat uit een set van meerdere interviews met architectenen management van ‘Deloitte Websolutions’. Een beschrijving van ‘Deloitte Websolutions’ isopgenomen in bijlage 4.De uitkomsten van de praktijk toetsing heeft tot aanpassingen van de geformuleerde ITbeheersmaatregelengeleid. De totale set van geformuleerde IT-beheersmaatregelen en de impact ophet IT-beheerproces zijn geëvalueerd en gecategoriseerd. De specifieke risico’s en noodzakelijke ITbeheersmaatregelenmet betrekking tot de IT-beheerprocessen in een geautomatiseerde omgevingwaarin gebruik wordt gemaakt van databaseserver virtualisatie zijn op hoofdlijnen nogmaals metDeloitte Websolutions afgestemd om te verifiëren dat alle wijzigingen correct zijn doorgevoerd.---------------------------------------------------------------------------------------------------------------------------Pagina 8
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------2. Virtualisatie“[Virtualization is] really best thought of as shorthand for separating hardware and softwareand thereby achieving all kinds of goodness (Romano, 2008)."2.1 Definitie van virtualisatieWat is virtualisatie? De definitie van “virtueel” is volgens de Van Dale “slechts schijnbaar bestaand”.Deze definitie is nog niet concreet. In het jaarlijkse “hype cycle report” dat Gartner elk jaar publiceerten waarin de grootste trends van het aanstaande jaar worden beschreven, wordt virtualisatiegedefinieerd als:”Virtualization is the process of decoupling layers of IT function so the configuration of thelayers becomes more independent of each other(Gartner, 2008).”Deze omschrijving is nog breed qua definitie, maar raakt wel de essentie van virtualisatie namelijk“het loskoppelen van lagen”. De definitie richt zich niet op welke lagen van elkaar losgekoppeldworden. Singh geeft een definitie van virtualisatie waarbij een scheiding tussen de fysieke (resourcesof a computer) en logische laag (multiple execution environments) wordt gemaakt:"a framework or methodology of dividing the resources of a computer into multiple executionenvironments, by applying one or more concepts or technologies such as hardware andsoftware partitioning, time-sharing, partial or complete machine simulation, emulation,quality of service, and many others (Singh, 2004).”De definitie van Singh hanteert de aanname dat virtualisatie altijd een één op veel relatieverondersteld. Uit het gebruik van het begrip virtualisatie in de praktijk blijkt echter dat virtualisatieniet altijd een één op veel relatie hoeft te representeren. Op het vlak van grid-computing, loadbalancing en opslag wordt virtualisatie bijvoorbeeld vaker gebruikt om aan te duiden dat meerdereinstanties zich als één (virtuele) instantie aanbieden (lees: een aantal verspreide databases worden alséén database instantie weergegeven). Naar onze mening gaat virtualisatie, lees definitie van Gartner,puur over het loskoppelen van de lagen. Dit betekent het creëren van een virtuele weergave vantoebedeelde resources, gebruikmakende van een onderliggende infrastructuur. Wij gebruiken enondersteunen daarom de definitie zoals deze wordt gegeven door (Klaver, 2008).“Virtualization is a technology that combines or divides IT hardware resources in logicalobjects by acting as an interface between the IT hardware resources and software. Itabstracts the software from the underlying hardware (Klaver, 2008).”2.2 Virtualisatie achtergrondHoewel de huidige virtualisatie hype anders doet vermoeden, is virtualisatie niet een nieuwetechnologie. Het gebruik van virtualisatie is ontstaan in de mainframeomgeving. In de zestiger jarenvan de vorige eeuw hadden de mainframes van IBM al de mogelijkheid om virtuele machines tecreëren. Na het mainframe werd virtualisatie geïntroduceerd binnen de midrange oplossingen voorHP-UX, AIX en Solaris. Hierbij moet vooral aan partitioneringstechnieken worden gedacht.De huidige hype richt zich niet op de vormen van virtualisatie die al jaren op de markt bestaan en nogsteeds worden toegepast. Als er tegenwoordig over virtualisatie wordt gesproken, wordt meestal devirtualisatie van x86 servers bedoeld. Eind jaren negentig werd het door VMware mogelijk gemaaktom ook Intel / AMD x86 machines van een virtualisatielaag te voorzien. Tot de x86-platformenbehoren onder andere de gebruikelijke Windows- en Linux-servers. In eerste instantie werd x86virtualisatie toegepast om ontwikkel en testomgevingen geïsoleerd aan te bieden, gebruikmakend vanslechts één fysieke machine. De x86 virtualisatie heeft zich echter in een snel tempo ontwikkeld en---------------------------------------------------------------------------------------------------------------------------Pagina 9
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 60 and 61:
Possen & UlrichRisico’s van een g
Page 62 and 63:
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?