Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieBM-02BM-03Referentie CobiTbeheersmaatregelDS4.2 IT ContinuityPlansDS4.3 Critical ITResourcesGeïdentificeerde beheersmaatregel t.b.v. virtualisatieEr bestaat een uitgewerkt continuïteitsbeleid en vertaling naar eenconcreet plan.Er heeft een inventarisatie van kritieke resources plaatsgevonden.Binnen het plan bestaat aandacht voor de Beschikbaarheid,Integriteit en Vertrouwelijkheid classificatie van de virtueleinfrastructuuren kritieke proces ketens van VM’s binnen en overmeerdere fysieke server heen.De richtlijnen, rollen, verantwoordelijkheden, procedures,communicatie processen en test aanpak zijn duidelijk beschrevenvoor de virtuele-infrastructuur. Er wordt rekening gehouden metniet actieve VM’s.Er is zekerheid verkregen over de mate waarin de gekozenimplementatie van virtualisatiefunctionaliteit geschikt is voor dedesbetreffende applicatie en wordt ondersteund door leveranciers.Voor de kritieke resources is een concreet plan uitgewerkt waarbijrekening wordt gehouden met de RTO en RPO eisen. De eisen zijnvertaald naar concrete implementaties binnen de virtueleinfrastructuur.BM-04BM-05BM-06BM-07BM-08BM-09DS4.4 Maintenance of theIT Continuity PlanDS4.5 Testing of the ITContinuity PlanDS4.6 IT Continuity PlanTrainingDS4.7 Distribution of theIT Continuity PlanDS4.8 IT ServicesRecovery and ResumptionDS4.9 Offsite BackupStorageVoor redundant uitgevoerde VM’s bestaan maatregelen die ervoorwaken dat de VM’s op fysiek gescheiden servers wordenuitgevoerd.Voor wijzigingen in het continuïteitsplan wordt de impact op devirtuele-infrastructuur verwerkt.Wijzigingen op de virtuele-infrastructuur worden verwerkt inbestaande procedures.Het continuïteitsplan / disaster recovery wordt periodiek getoetst.Hierbij wordt gelet op geschiktheid van de geïmplementeerdeprocedures voor de virtuele-infrastructuur.Er bestaat voldoende kennis en kunde van de virtueleinfrastructuurzodat het continuïteitsplan kan worden uitgevoerd.Het continuïteitsplan wordt verstrekt aan beheerders van devirtuele-infrastructuur. Wijzigingen in het continuïteitsplan op hetniveau van de virtuele-infrastructuur worden verstrekt aan allebetrokkenen.Er bestaan procedures om alle betrokkenen te informeren over deimpact voor de organisatie van continuïteitsmaatregelen op devirtuele-infrastructuur.De uitwijklocatie en virtuele-infrastructuur voldoen aan dezelfdeeisen als de primaire productielocatie en virtuele-infrastructuur.BM-10DS4.10 Post-resumptionReviewBack-ups van de Virtuele-infrastructuur en VM's die externworden opgeslagen zijn geclassificeerd op basis vanBeschikbaarheid, integriteit en volledigheid. De offsiteopslaglocatie voldoet aan de BIV classificatieDe resultaten van een succesvolle uitvoering van hetcontinuïteitsplan worden geëvalueerd. Hierbij worden deprocedures voor de virtuele-infrastructuur beoordeeld op mogelijkeverbeteringen.---------------------------------------------------------------------------------------------------------------------------Pagina 38
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4.6 Ensure systems security (DS05)Binnen het CobiT-raamwerk wordt ‘Security’ voor een groot gedeelte behandeld door het proces“DS5 Ensure Systems Security”. Security raakt echter de complete IT-architectuur en komt daaromook in andere beheersdoelstelling terug zoals ‘PO2 Define the Information Architecture’ en ‘PO9Assess and Manage IT Risks’. Volgens CobiT is systeembeveiliging vereist om de integriteit vaninformatie te handhaven en de IT bezittingen te beschermen (ITGI, 2007). Er dient aandacht teworden besteed aan het bepalen van en het handhaven van de veiligheidsrollen enverantwoordelijkheden, beleid, standaarden en procedures. Daarnaast omvat systeembeveiliging ookhet uitvoeren van monitoring het periodiek testen en het uitvoeren correctieve acties voorgeïdentificeerde beveiligingszwakheden of incidenten. De beheersdoelstelling voor dit proces wordtin CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordtde integriteit van de informatievoorziening en IT-infrastructuur onderhouden waarbij de impact vanbeveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.”Vanuit CobiT worden hiertoe een aantal beheersmaatregelen gedefinieerd welke hieronder kortworden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen dewijzigingen die voor dit proces zijn geïdentificeerd worden beschreven.• DS5.1 Management of IT Security;• DS5.2 IT Security Plan;• DS5.3 Identity Management;• DS5.4 User Account Management;• DS5.5 Security Testing, Surveillance and Monitoring;• DS5.6 Security Incident Definition;• DS5.7 Protection of Security Technology;• DS5.8 Cryptographic Key Management;• DS5.9 Malicious Software Prevention, Detection and Correction;• DS5.10 Network Security;• DS5.11 Exchange of Sensitive Data.De architectuur die verschillende fabrikanten hebben ontwikkeld onder de term virtualisatie is reeds inhoofdstuk 2 besproken. Om op de cruciale beveiligingsaspecten in te zoemen zal er aansluitingworden gezocht op de verschillende componenten van een gevirtualiseerde infrastructuur. Hierbij zalde terminologie die door VMware wordt gehanteerd worden overgenomen. De beschreven aspectenzijn echter generiek en worden door de verschillende fabrikanten toegepast, hetzij met een andereterminologie. De volgende onderverdeling zal binnen deze sectie worden gehanteerd:• Algemeen;• Virtual Machine (VM);• Service Console;• VirtualCenter;• Virtualization Layer;• Virtual network;• Virtual Storage;4.6.1 AlgemeenVoordat ingezoomd zal worden op de verschillende componenten binnen de gevirtualiseerdeinfrastructuur, zullen een aantal generieke beheersmaatregelen worden besproken die voor de gehelevirtuele-infrastructuur van toepassing zijn.---------------------------------------------------------------------------------------------------------------------------Pagina 39
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 90 and 91:
Risico’s van een gevirtualiseerde
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Possen & UlrichRisico’s van een g
Page 128:
Possen & UlrichRisico’s van een g
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?