Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-42 DS5.10 Network Security Maak geen gebruik van “promiscuous mode” voor alledaagsebedrijfsvoering. Deze maatregel geldt voor alle switches en poortgroepen afzonderlijk.Promicuous mode stuurt alle data door in plaats van uitsluitendde noodzakelijke frames.4.6.7 Virtual StorageBinnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor VirtualStorage beschreven. Voor meer informatie over een Virtual Storage, zie paragraaf 2.5.6.De virtualisatie biedt een abstractielaag tussen de technisch complexe opslag architectuur en de opslagelementen die zichtbaar zijn voor de gebruiker binnen de virtuele omgeving. De virtuele opslagelementen die voor een VM beschikbaar zijn, zijn virtuele presentaties van fysieke opslag mediums.Een belangrijke keuze in geval van VMware is daarbij om een VMFS-gebaseerde, of juist een NFSgebaseerdeoplossing te kiezen. Belangrijk is dat beide oplossingen ondersteuning bieden voorgedeelde en gecoördineerde toegang vanaf meerdere servers. Bij VMFS wordt die functionaliteit in deservers afgehandeld, bij NFS primair in de storagelaag zelf. Het gaat te ver en is buiten de scope vandeze scriptie om beide opslag methodieken te beschrijven en specifieke risico’s te identificeren.Een VM wordt opgeslagen als een set van bestanden in een eigen directory in de datastore. Ook eenvirtual disk wordt als een file in deze datastore gepresenteerd. Een datastore is fysiek een VMFS filesystem volume of een directory op een NAS. Zoals ook in onderstaand voorbeeld duidelijk wordt, kaneen datastore meerdere fysieke storage systemen aanspreken. Veldhuis en Turk (2008) geven voor eendatabase-applicatie het voorbeeld dat er meerdere disks zodanig worden gecombineerd dat er klassesvan disks met unieke eigenschappen ontstaan. Voor een database-applicatie kan een klassebijvoorbeeld bestaan uit een grote hoeveelheid zeer snelle disks. Van de geboden capaciteit kanvervolgens een kleiner stukje aan de databaseserver worden toegewezen. Dit heet een Logical Unit ofLUN.Ook specifieke virtualisatiefunctionaliteit vraagt om specifieke architectuur keuzes. Bij het gebruikvan Vmotion is het bijvoorbeeld noodzakelijk dat zowel de bron als doel ESX server rechten hebbentot de datastore waarop de te migreren VM is opgeslagen.---------------------------------------------------------------------------------------------------------------------------Pagina 56
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Figuur 5 opslag architectuur (VMware, 2006a)Het risico van zeer uitgebreide data architecturen is dat data zichtbaar wordt voor ongeautoriseerdegebruikers. Ofwel wordt er voldoende rekening gehouden met de consequenties van virtualisatie opde opslagarchitectuur autorisaties? Bij het centraliseren van data opslag, wat zeker bij virtualisatievoordelen biedt op het vlak van high availability, disaster recovery en dergelijke dienen maatregelente zijn geïmplementeerd die ervoor waken dat data on a need to have basis toegankelijk is.ReferentieReferentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieSE-43 DS5.10 Network Security Indien gebruik wordt gemaakt van geavanceerdevirtualisatiefunctionaliteit zoals Vmotion, dient de opslaginfrastructuur hierop te zijn ingericht. Keuzes voor een bepaaldetechnologie zijn in overeenstemming met de strategischebedrijfsdoelstellingen.SE-44 DS5.2 IT Security Plan Er bestaan duidelijke procedures en richtlijnen voor de manierwaarop binnen de virtuele opslag infrastructuur beschikbareresources worden ingezet voor verschillendeinformatievraagstukken.Er bestaan duidelijke richtlijnen hoe opslag resources wordengesegmenteerd d.m.v. zoning of LUN masking4.7 Manage the configuration (DS09)Het configuratie wordt binnen het CobiT-raamwerk behandeld in het proces “DS09 Manage theconfiguration”. Dit proces is erop gericht om de configuratie van de verschillende IT-componentenvast te leggen en bij te houden in een configuratiedatabase. Door een adequaat configuratiebeheerwordt een grotere beschikbaarheid gefaciliteerd worden problemen in de productieomgevinggeminimaliseerd en kunnen eventuele problemen sneller worden opgelost. De beheersdoelstellingvoor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van de configuratie. Hierbij wordt deinfrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden allecomponenten juist en volledig geregistreerd.”---------------------------------------------------------------------------------------------------------------------------Pagina 57
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?