Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.8 Manage data (DS11)Data management, het beheren van gegevens, wordt binnen het CobiT-raamwerk behandeld in hetproces “DS11 Manage Data”. Dit proces is erop gericht om de eisen die aan de gegevens wordengesteld vast te leggen. Het proces voorziet in het beheren van de gegevensbibliotheken, de back-upen restore van gegevens en het verwijderen van gegevens en media. De beheersdoelstelling voor ditproces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van degegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.”Vanuit CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS11.1 Business Requirements for Data Management;• DS11.2 Storage and Retention Arrangements;• DS11.3 Media Library Management System;• DS11.4 Disposal;• DS11.5 Backup and Restoration;• DS11.6 Security Requirements for Data Management.Data management is binnen een virtuele wereld niet wezenlijk anders ten opzichte van een fysiekeserver infrastructuur. Echter virtualisatie biedt nieuwe mogelijkheden op het gebied van back-up enrecovery. Zie hiervoor tevens de paragraaf 4.4 Manage performance and capacity (DS03).De fysieke server is een logisch bestand geworden. Wat betreft data management blijft datamanagement niet meer beperkt tot een gegevensverzameling of applicatie, maar wordt een back-upvan de complete VM gemaakt. Dit betekent dat VM’s eenvoudiger zijn te restoren aangezien er geenconflicten meer optreden tussen de gearchiveerde data en de software versie toentertijd. Echter hetintroduceert tevens het risico dat de VM back-up gebaseerd is op een oude (beveiligings)instellingenen niet is voorzien van de laatste patches, waardoor er bij het restoren een beveiligingsrisico ontstaat.In de procedures voor back-up en restore moet voldoende rekening worden gehouden met de risico’svan de nieuwe virtualisatiefunctionaliteit op dit vlak.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDM-01 DS11.2 Storage andRetention ArrangementsDM-02DM-03DS11.6 SecurityRequirements for DataManagementDS11.5 Backup andRestorationEr bestaat een duidelijk beleid over de manier waarop er eenback-up wordt gemaakt van VM, service console envirtualization layer, de locatie waar back-up bestanden wordenopgeslagen en het bewaartermijn.In de back-up en restore procedure van virtual machines wordtrekening gehouden met het verschil in (beveiligings)instellingenen patchniveaus tussen het moment dat de back-up is gemaakt ende restore wordt uitgevoerd op basis van de configuratie DB.Het bewaren en verwijderen van back-up bestanden vanVM,Service Console en virtualization layer is inovereenstemming met het continuïteitsbeleid.---------------------------------------------------------------------------------------------------------------------------Pagina 60
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------4.9 Manage the physical environment (DS12)Fysieke beveiliging wordt binnen het CobiT-raamwerk behandeld in het proces “DS12 Manage thephysical enviroment”. Dit proces is erop gericht om de fysieke beveiliging van de IT-componentenadequaat in te richten en te beheren. Het doel hiervan is om de hardware te beschermen tegenkwaadwillenden en omgevingsfactoren als bijvoorbeeld water of vuur. De beheersdoelstelling voor ditproces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van de fysieke IT-omgeving. Hierbij worden de ITcomponentenen gegevens beschermd en wordt het risico van verstoringen geminimaliseerd.”Vanuit CobiT worden een vijftal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS12.1 Site Selection and Layout;• DS12.2 Physical Security Measures;• DS12.3 Physical Access;• DS12.4 Protection Against Environmental Factors;• DS12.5 Physical Facilities Management.Virtualisatie brengt geen wijzigingen met zich mee aan de fysieke beveiliging van de ITcomponenten.Wel wordt de beveiliging van de componenten belangrijker wanneer de IT-omgevingwordt gevirtualiseerd. Wanneer (database) servers worden gevirtualiseerd worden deze vaak, zoalsreeds in een eerder hoofdstuk is besproken, geconsolideerd op 1 fysieke server. Hierdoor draaien vaakmeerdere (database) servers op 1 fysieke machine, wanneer deze machine uitvalt heeft dit dus eengrotere impact dan wanneer in een traditionele, niet gevirtualiseerde omgeving, 1 machine uitvalt.(Behnia en Wrobel, 2009) Dit resulteert echter niet in een nieuwe of aangepaste beheersmaatregel.In dit hoofdstuk zijn de wijzigingen in de beheersmaatregelen voor de geselecteerde CobiT-processengeïdentificeerd en besproken. De geïdentificeerde ‘delta’ tussen het bestaande CobiT-raamwerk en despecifieke risico’s die het virtualiseren van databaseserver omgevingen met zich meebrengt isopgenomen in bijlage 1. In het volgende hoofdstuk zullen de resultaten van de praktijktoetsingworden besproken.---------------------------------------------------------------------------------------------------------------------------Pagina 61
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?