Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------voogestestelde beheersmaatregelen werd aangegeven dat niet duidelijk was wat precies werdgevraagd en tot op welk niveau aangetoond moest kunnen worden dat risicomanagement wasgeïmplementeerd.oOp basis van de uitkomsten van dit gesprek, zijn de beheersmaatregelen specifiekertoegeschreven naar de virtualisatiecomponenten waar de delta specifiek betrekking opheeft.• Manage changes(AI06)Op het gebied van wijzigingsbeheer werd tijdens de toetsing van ons raamwerk geopperd dat ereen nieuwe manier van wijzigingenbeheer kan bestaan, namelijk een vorm waarbij niet desoftware maar de VM migreert over de OTAP omgevingen. Er werd gewezen op een mogelijkgevolg van het snel kunnen deployen van een VM, namelijk mogelijke wildgroei van VM’s(“Server sprawl”). Om deze wildgroei te voorkomen dient er een beheerst wijzigingsbeheerproceste bestaan. Verder bestaan in de literatuur verschillende meningen over de manier waaropscheiding van omgevingen moet worden geïmplementeerd. Op basis van de praktijktoetsing isgeconcludeerd dat er minimaal een fysieke scheiding tussen de test en productieomgeving van devirtualization layer (tussenlaag) dient te bestaan. Op basis van de gedefinieerdebeheersmaatregelen en de besproken door te voeren verbeteringen is geconcludeerd dat debeheersmaatregelen juist, volledig, relevant en toepasbaar zijn.ooTijdens het interview zijn de specifieke risico’s die bij wijzigingenbeheer op basis vanVM migratie worden onderkend nader geanalyseerd Er is een specifiekebeheersmaatregel geformuleerd, waarbij rekening wordt gehouden met het classificatieniveau en de (beveiligings)instellingen van een VM die naar de productieomgevingwordt gemigreerd.Op basis van de praktijktoetsing is geconcludeerd dat minimaal fysieke scheiding dient tebestaan tussen de test en productie-omgeving van de virtualization layer. Het betreft hiergescheiden omgevingen van de virtuele-infrastructuur. Bovenop deze infrastructurelescheiding van omgevingen bestaat de scheiding van serveromgevingen (OTAP) vanVM’s. Hiervoor zijn aparte beheersmaatregelen gedefinieerd.• Manage the configuration(DS09);Tijdens de praktijktoetsing kwam naar voren dat de gedefinieerde beheersmaatregelen relevant,juist en toepasbaar waren. Daarnaast heeft discussie plaatsgevonden over de volledigheid van debeheersmaatregelen. Tijdens de toetsing werd geopperd voor de opname van beheersmaatregelenvoor licentiebeheer. Dit werd in eerste instantie niet beschouwd als een component met impact opde drie kwaliteitsaspecten. Tijdens de toetsing is echter een scenario geschetst van een organisatiedie over te weinig licenties beschikte. In een dergelijk geval zouden er mogelijk juridischegevolgen bestaan voor het gebruik van een te groot aantal VM’s. Indirect kan dit een impact op debeschikbaarheid voor deze VM’s tot gevolg hebben.oEen beheersmaatregel is opgenomen om zorg te dragen voor een beheerst licentiebeheerproces. Hiermee is de volledigheid van de maatregelen voor dit proces geborgd.• Manage performance and capacity(DS03);Prestatie en capaciteitsmanagement krijgt veel aandacht binnen de beschikbare literatuur. Vooralop het vlak van (database)server virtualisatie. Tijdens de praktijktoetsing bleek dat de in hetconceptraamwerk opgenomen beheersmaatregelen relevant en volledig zijn. Door het formulerenvan duidelijke “Quality of Service” settings en het monitoren van resources kan het procesworden beheerst. Wel verandert de impact en de complexiteit van prestatie encapaciteitsmanagement. De impact wijzigt vanwege de onderlinge relatie tussen VM’s. Eventueleprestatie en capaciteitsproblemen brengt niet de beschikbaarheid van één VM, maar eenverzameling VM’s in gevaar. De complexiteit wijzigt omdat voorheen prestatie encapaciteitmanagement per fysieke server werd uitgevoerd. Bij virtualisatie bestaan resources uit---------------------------------------------------------------------------------------------------------------------------Pagina 64
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------het totaal van en samenwerking tussen servers, netwerk en opslag. De beschikbare capaciteit moetworden verdeeld tussen meerdere VM’s. Voorheen werd het proces dus voor een groot deel perserver uitgevoerd, terwijl bij virtualisatie ook een geïntegreerd beeld noodzakelijk is en waarbijook meer focus is gewenst voor de componenten opslag en netwerk. Wat betreft de juistheid entoepasbaarheid wordt tijdens de praktijktoetsing aanbevolen nog explicieter de componenten enniveaus op te nemen waarop prestatie en capaciteitsmanagement moet worden toegepast.ooAangezien prestatie en capaciteitsmanagement bij virtualisatie in grote mate wordtbepaald door de resultante van een geïntegreerd geheel, bestaande uit servers, netwerk enopslag, is het van belang dat dit expliciet in beheersmaatregelen wordt opgenomen.Tijdens de praktijktoetsing is bevestyigd dat er geen specifieke beheersmaatregelen zijnvereist voor een gevirtualiseerde databaseserver ten opzichte van andere typen servers.Wel gelden er vaak specifieke eisen die aan een dergelijk type server worden gesteld.• Ensure continuous service(DS04)Voor de in het conceptraamwerk opgenomen beheersmaatregelen wordt de relevantie, juistheid entoepasbaarheid onderkend. Voor de volledigheid is voor continuïteitsmanagement gewezen op denieuwe functionaliteit die virtualisatie biedt en de mogelijke risico’s die hiermee samenhangen.Bijvoorbeeld het maken van inconsistente snapshots van een databaseserver en mogelijkeintegriteitproblemen bij de implementatie van een database cluster middels Vmotion, HA en DRS.oEen extra beheersmaatregel is opgenomen om te waarborgen dat er per type resource eenevaluatie moet worden gemaakt over de toepasbaarheid en geschiktheid van debeschikbare (virtualisatie) methoden.• Ensure systems security(DS05);In het conceptraamwerk zijn een groot aantal nieuwe beheersmaatregelen geformuleerd als gevolgvan de introductie van de virtualisatielaag. Tijdens de praktijktoetsing bleek de toepasbaarheidontoereikend. Een aantal beheersmaatregelen moest namelijk worden toegelicht omdat niet directduidelijk was, wat ermee werd bedoeld en welke risico’s dergelijke beheersmaatregelen afdekten.De risico’s zijn inhoudelijk besproken en daaruit bleek dat de beheersmaatregelen als relevantworden onderkend. Het werd aanbevolen de maatregelen minder technisch te formuleren en daarwaar nodig te voorzien van een specifieke toelichting of uitwerking. Op deze manier is demaatregel in algemene zin duidelijk (wat moet er gebeuren). Daar waar niet duidelijk is hoe ditkan worden bewerkstelligd, is een specifieke toelichting gegeven (hoe kan de maatregel wordenuitgevoerd). De besproken set van maatregelen werd verder als juist, relevant en volledig ervaren.oOp advies van de geïnterviewden is besloten om voor de meer technischebeheersmaatregelen een meer algemene definitie te formuleren. Daar waar noodzakelijkaangevuld met een specifiekere invulling van de beheersmaatregel. Op deze manier is debeheersmaatregel generiek bruikbaar voor verschillende virtualisatieproducten en bestaater een concrete invulling van de beheersmaatregel voor meer achtergrond informatie.• Manage data(DS11);Op het vlak van datamanagement wordt aanbevolen een expliciete relatie naarcontinuïteitsmanagement op te nemen. De fysieke server wordt vervangen door logischebestanden die onderdeel gaan worden van het back-up proces. Een organisatie moet beleid enprocedures opstelen over de manier waarop met deze (server) data wordt omgegaanoBinnen de beheersmaatregelen voor het datamanagementproces is een referentie naarcontinuïteitsmanagement opgenomen.• Manage the physical environment(DS12);Geen verschillen geïdentificeerd.---------------------------------------------------------------------------------------------------------------------------Pagina 65
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?