Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Vanuit CobiT worden een drietal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS9.1 Configuration Repository and Baseline;• DS9.2 Identification and Maintenance of Configuration Items;• DS9.3 Configuration Integrity Review.In traditionele, niet virtuele omgevingen, is het vaak duidelijk over welke servers een organisatiebeschikt. In de serverruimte kunnen de fysieke servers worden onderscheiden. In een virtueleomgeving zijn deze niet zichtbaar. Zoals Gartner naar aanleiding van een in 2007 uitgevoerde enquêteheeft aangegeven is een van de grootste uitdagingen in virtuele omgevingen het beheren van dewildgroei van virtuele (database) servers (Haight, 2008). Deze wildgroei brengt een uitdaging metzich mee op het gebied van configuratiebeheer. Een enkele fysieke server herbergt vaak meerderevirtuele (database) servers. Daarom is het belangrijk om vast te leggen welke virtuele (database)servers in gebruik zijn en dit periodiek te controleren of deze virtuele (database) servers nogbeschikbaar zijn en of de registratie nog volledig is. Daarnaast zijn per virtuele (database)serververschillende instellingen mogelijk ook deze instellingen dienen adequaat en volledig te wordengeregistreerd. Hiervoor dienen goede procedures worden opgesteld zodat het inzichtelijk is en blijftop welke wijze de virtuele (database) servers zijn geconfigureerd (Baldwin e.a., 2008)(Montero,2009).Het is van belang dat de configuratie van alle (database) servers en andere IT-componenten adequaaten volledig plaatsvindt. Wanneer dit niet gebeurt kan het oplossen van storingen langer duren dangewenst of nodig is. Tevens is dit voor het monitoren van belang om inzichtelijk te hebben welkevirtuele databaseservers op welke host draaien. Verder is het van belang dat niet alleen de huidigeinstellingen te zien zijn maar dat ook inzichtelijk kan worden gemaakt welke wijzigingen zijndoorgevoerd ten aanzien van een IT-component (Behnia & Wrobel, 2009)(Clavister, 2009)(Olsen,2009).Voor het beoordelen van de juistheid van de configuratiedatabase is het van belang dat deparameterwijzigingen aan en het in en uitschakelen van de virtuele (database) servers automatischwordt gelogd en periodiek wordt beoordeeld. Hiermee kan worden vastgesteld of de configuratie vande omgeving conform de eisen van de organisatie is en is geweest binnen een bepaalde periode.(Melançon, 2008)Alle IT-componenten dienen te zijn geclassificeerd ten aanzien van de kwaliteitsaspectenbeschikbaarheid, integriteit en vertrouwelijkheid. Op basis van deze classificatie zullen verschillendemaatregelen moeten worden genomen, onder andere op het gebied van beveiliging en continuïteit.Virtualisatie brengt de mogelijkheid met zich mee om onder andere (database) servers en ander ITcomponentendie zijn gevirtualiseerd snel en zonder veel moeite over verschillende fysieke hosts teverplaatsen. Het is hierbij van belang om de classificatie van de virtuele servers, fysieke hosts enoverige (virtuele)IT-componenten vast te hebben liggen in het CMDB en te controleren. Vanuit onderandere het beveiligings- en continuïteitsoogpunt is het van belang dat de servers alleen op hostsmogen draaien met dezelfde classificatie. Hierop dient controle te worden uitgeoefend (Baldwin ea,2008)(Klaver, 2008).Traditioneel werden licenties voor besturingssystemen uitgegeven per server en was de licentiegebonden aan het aantal processoren van de server. Uit interviews met experts komt ook naar vorendat het beheren van licenties in virtuele omgevingen erg lastig is omdat het vaak niet duidelijk is---------------------------------------------------------------------------------------------------------------------------Pagina 58
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------welke regels de softwareleveranciers hanteren. In een onderzoek van Buchanan (2009) ten aanzienvan het licentiebeleid van de verschillende edities van Microsoft Server 2008 komt het volgende naarvoren;• Windows Server 2008 standaard editie, voor elke virtuele server is een separate licentienodig;• Windows Server 2008 enterprise editie, deze licentie mag op vier virtuele servers, op dezelfdehost, worden gebruikt;• Windows Server 2008 datacentrum editie, deze licentie mag voor een ongelimiteerd aantalservers, op dezelfde host, worden gebruikt.Om problemen met licenties te voorkomen is het belangrijk om goed te registeren en te controleren opwelke (virtuele) server wat voor soort licentie wordt gebruik. Dit dient vervolgens periodiek teworden beoordeeld. Uit deze beoordeling kan vervolgens worden vastgesteld of de organisatie over teveel, te weinig of voldoende licenties beschikt. Op basis hiervan kunnen vervolgens maatregelenworden getroffen.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieCO-01CO-02CO-03CO-04CO-05CO-06Referentie CobiTbeheersmaatregelDS9.1 ConfigurationRepository and BaselineDS9.1 ConfigurationRepository and BaselineDS9.1 ConfigurationRepository and BaselineDS9.2 Identification andMaintenance ofConfiguration ItemsDS9.3 ConfigurationIntegrity ReviewDS9.3 ConfigurationIntegrity ReviewGeïdentificeerde beheersmaatregel t.b.v. virtualisatieVoor elke virtuele (database)server is vastgelegd waarvoor deserver dient (welke bedrijfsprocessen ermee wordenondersteund), welke applicaties, databases enbesturingssystemen hiervoor worden gebruikt, op welke fysiekehost de server draait en welke parameters zijn ingesteld.Periodiek wordt beoordeeld of de organisatie over voldoende enjuiste licenties beschikt voor de virtuele (database) servers.De componenten van de geïmplementeerde virtuele architectuurzijn opgenomen in de CMDB van de organisatie en zijngeclassificeerd ten aanzien van de kwaliteitsaspectenbeschikbaarheid, integriteit en vertrouwelijkheid.Wijzigingen in instellingen van virtuele (database) servers ennetwerkcomponenten worden juist, tijdig en volledig vastgelegd.Voor elke virtuele (database)server en netwerkcomponentenworden de historische gegevens/instellingen bewaard.Geautomatiseerd of periodiek wordt beoordeeld of geenconflicten ten aanzien van de (BIV) classificaties van deverschillende virtuele en hardwarematige IT-componentenaanwezig zijn of zijn geweest.Periodiek wordt beoordeeld of alle aanwezige (virtuele)(database) servers en IT-componenten tijdig, juist en volledig inhet CMDB zijn opgenomen.---------------------------------------------------------------------------------------------------------------------------Pagina 59
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9:
Page 10 and 11: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?