Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------continuïteitsmanagement zijn achterhaald.Vervolgens zullen specifieke risico’s en noodzakelijkebeheersmaatregelen worden geidentificeerd.Specifieke virtualisatiefunctionaliteit met betrekking tot continuïteitsmanagement bestaat o.a. uit(VMware, 2006a)(VMware, 2006d)(Bowker, 2008):• Overzetten van VM’s tussen fysieke servers: Binnen een gevirtualiseerde omgeving bestaanvaak meerdere fysieke servers waarop één of meerdere logische VM’s draaien. Met eenverplaatsingsfunctionaliteit, binnen VMware Vmotion genaamd, kan een VM van de enefysieke machine overgezet worden naar een andere fysieke machine. Op deze manier kanbijvoorbeeld ruimte op een fysieke server worden gecreëerd voor andere VM’s.• Automatisch overzetten: Deze functionaliteit kan binnen virtualisatieplatformen nog verderworden uitgebreid door het overzetten van een VM volledig automatisch te latenplaatsvinden. Op basis van vooraf ingestelde configuratie-instellingen kan wordenafgedwongen dat bij bepaalde prestatie en capaciteitslimieten een VM wordt overgezet naareen minder intensief belaste fysieke server. Binnen VMware wordt deze functionaliteit DRSgenoemd.• Cluster: Een andere functionaliteit op het gebied van continuïteit is bekend onder de naamresource-clustering. Binnen een niet gevirtualiseerde omgeving is dit vergelijkbaar met hetclusteren van databases met bijvoorbeeld Microsoft Cluster Service (MSCS). Binnen eendergelijke configuratie moeten resources dubbel worden uitgevoerd en bestaat er eenmechanisme dat in geval van een storing de ene instantie (secondaire) het overneemt van deandere instantie (primaire). Binnen VMware is een dergelijke functionaliteit geïmplementeerdonder de naam HA (high availability). HA maakt gebruik van resource clusters. Dit betekentdat de resources die binnen het cluster zijn opgenomen, virtueel worden samengevoegd. Erwordt hierbij een service geïnstalleerd op elke server binnen de resource pool en er wordtdoorlopend gecontroleerd of alle servers nog actief reageren op signalen. Indien een serverniet reageert , worden alle virtuele servers van deze fysieke host verplaatst naar een anderefysieke host binnen het cluster.• Back-ups: Binnen een gevirtualiseerde infrastructuur wordt vaak nog steeds gebruik gemaaktvan tapes. Ongeacht de nieuwe mogelijkheden die virtualisatie ons biedt, zal dit ook nietdirect veranderen. Al is het vanwege bewaartermijnen van data e.d. Virtualisatie biedt echterook op dit vlak nieuwe mogelijkheden in de vorm van snapshots. Een snapshot maakt nietmeer een traditionele back-up van data of een applicatie maar neemt een foto (snapshots) vande gehele VM.• Portabiliteit: Als een rode draad door deze scriptie wordt erop gewezen dat virtualisatiehardware loskoppeld van de logische (besturingssyteem) laag. Op het gebied van continuïteitbetekent dit in het geval van een redundant uitgevoerde infrastructuur, de hardwareconfiguratie niet meer identiek hoeft te zijn. In een niet gevirtualiseerde infrastructuur moetvoor een applicatie de hardware van twee server instanties volledig identiek zijn ombijvoorbeeld een image (copy van een configuratie) terug te kunnen zetten. Deze beperkingbestaat binnen de virtueel uitgevoerde infrastructuur niet meer, wat tot grote besparingen kanleiden, aangezien de hardware niet altijd evenredig hoeft te worden ge-update.Het belangrijkste risico voor continuïteitsmanagement bij virtualisatie is dat er meerdere virtueleservers op één fysieke machine draaien, waardoor de impact van uitval van deze fysieke server veelgroter wordt. Er ontstaat een ‘single point of failure’, voor meerdere VM’s. De impact voor deorganisatie neemt nog eens toe indien gekeken wordt naar ketens (Hau & Araujo, 2007). Alsbijvoorbeeld een gevirtualiseerde applicatieserver op een fysieke server gebruik maakt van eenonderdeel (bijvoorbeeld een databaseserver) dat op de falende fysieke server draait, dan zal ook dezeapplicatie hiervan hinder ondervinden.Bij een continuous service implementatie, waarbij beide omgevingen volledig zijn gevirtualiseerd kaner alsnog een risico optreden. VM’s zijn namelijk flexibel en kunnen eenvoudig over de verschillendeservers worden gemigreerd (zelfs volledig automatisch). Dit kan ertoe leiden dat twee virtueeluitgevoerde servers op dezelfde fysieke server worden uitgevoerd. Het falen van de fysieke server zal---------------------------------------------------------------------------------------------------------------------------Pagina 36
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------in een dergelijk geval tot het falen van beide VM’s leiden. Bij het redundant uitvoeren van VM’s,dient derhalve een fysieke scheiding van servers te worden gehaneerd.Door introductie van de virtuele laag, moet er ook een back-up worden gemaakt van de virtueleinfrastructuuren er moet worden gewaarborgd dat deze infrastructuur kan worden hersteld. Van allerelevante VM’s moet een back-up worden gemaakt en hierbij dient rekening te worden gehouden meteventueel niet actieve VM’s (Baldwin e.a.2008). Het snel starten en stoppen van VM’s biedt nieuwemogelijkheden voor beheerders om een VM tijdelijk uit te zetten. Dit betekent dat een dergelijkeapplicatie mogelijk ten onrechte niet wordt meegenomen in de creatie van back-ups.De hedendaagse virtualisatieproducenten bieden legio nieuwe mogelijkheden op het vlak vancontinuïteitsmanagement. Toch verdient de database hierbij vaak een “status aparte”. Hierbij speleneen tweetal aspecten. Ten eerste maakt een database zijn besluiten op basis van de onderliggendehardwareconfiguratie. Deze configuratie wordt bij virtualisatie onzichtbaar (Aboulnaga, 2008). Defysieke hardware is vervangen door een logische configuratie. Ten tweede reageren de doorvirtualisatieproducenten aangeboden oplossingen zoals Vmotion, DRS en HA op basis van informatieover de VM. De vraag is bijvoorbeeld bij resource-clustering of eventuele problemen op de databaselaag tijdig worden opgemerkt door de virtualisatiefunctionaliteit om de database te verplaatsenwaarbij de integriteit blijft gewaarborgd. Aboulnaga e.a. (2009) wijzen erop dat juist op het vlak vancommunicatie tussen het databasesysteem en de virtualisatielaag er een verdergaande ontwikkeling isgewenst. Ook de snapshot functionaliteit om back-ups te maken op een databaseserver kan hetvoorkomen dat een database niet in consistente toestand verkeerd (als bijvoorbeeld nog niet alletransacties volledig zijn verwerkt). Bij de implementatie van continuiteitsmanagement is het derhalvevan belang dat de oplossing geschikt is voor de applicatie en dat de implementatie door de leverancierwordt ondersteund.Een belangrijk onderdeel van het continuïteitsplan betreft de Disaster Recovery. Dit onderdeel is eropgericht op het tijdig en volledig herstellen van (onderdelen van) de automatiseringsomgevingmogelijk op een alternatieve locatie. Hierbij is het van belang dat de restore locatie en ingerichteinfrastructuur aan dezelfde BIV classificatie eisen voldoen als de primaire locatie en infrastructuur(Butler & Vandenbrink, 2009). Een disaster recovery kan eruit bestaan dat VM’s weer opnieuwworden opgestart. VM’s zijn immers logische bestanden en middels een druk op de knop opnieuw opte starten. Hierdoor wordt het veel eenvoudiger om een disaster recovery in praktijk te toetsen(Bowker, 2008).Hoewel virtualisatie dus nieuwe risico’s introduceert, gaat dit hand in hand met nieuwemogelijkheden. De voordelen die virtualisatie kan bieden, stellen echter ook eisen aan deinfrastructuur. Vaak is functionaliteit als Vmotion, DRS en HA pas mogelijk indien er gebruikgemaakt wordt van een gezamenlijke data-opslag zoals een SAN. De nieuwe functionaliteit alssnapshots lijkt misschien bruikbaar, maar bij het opzetten van een continuïteitsplan moet men zichgoed realiseren dat hierbij een ontzettend grote hoeveelheid data over het netwerk moet wordenverplaatst. Er zal een afweging gemaakt moeten worden waarbij de voor en nadelen van de gekozenimplementatie, de impact op de infrastructuur en RTO / RPO eisen vanuit de organisatie wordengeëvalueerd.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieBM-01Referentie CobiTbeheersmaatregelDS4.1 IT ContinuityFrameworkGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr zijn organisatorische keuzes gemaakt over de manier waaropinvulling wordt gegeven aan continuïteitsmanagement. Hierbij zijnde mogelijkheden van virtualisatie geëvalueerd en is rekeninggehouden met de voor en nadelen van virtualisatie, impact opinfrastructuur en RTO / RPO eisen vanuit de organisatie.---------------------------------------------------------------------------------------------------------------------------Pagina 37
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 86 and 87: Risico’s van een gevirtualiseerde
Page 88 and 89:
Risico’s van een gevirtualiseerde
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Possen & UlrichRisico’s van een g
Page 128:
Possen & UlrichRisico’s van een g
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?