Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Deze scriptie zal niet ingaan op de specifieke risico’s die samenhangen met Cloud Computing, maarhet moge duidelijk zijn dat de introductie van virtualisatie zal leiden tot wijzigingen van hetrisicoprofiel, beheersmaatregelen en audit-aanpak. Er bestaat dus een duidelijke reden om de toolkitvan de IT-auditor te voorzien van informatie over specifieke beheersmaatregelen die de risico’s vanvirtualisatie kunnen afdekken. De auditor zal bewust moeten worden van de nieuwe risico’s die metvirtualisatie worden geïntroduceerd en hoe hiermee om dient worden te gaan.De wereld van virtualisatieproducten is niet uniform. Het is dus niet mogelijk één algemeen raamwerkte ontwikkelen met specifieke beheersmaatregelen die toepasbaar zijn voor elke gevirtualiseerdeomgeving. Naast de product specifieke risico’s, bestaan risico’s voor de unieke situatie waarbinnenvirtualisatie wordt toegepast. Het is wel mogelijk om de huidige set van algemene beheersmaatregelendie binnen een datacenter worden toegepast onder de loep te nemen en te onderzoeken in hoeverrevirtualisatie hier impact op heeft.De beheersmaatregelen die voor een gevirtualiseerde omgeving zullen moeten worden aangepast,vormen een delta. De delta kan worden beschouwd als het verschil tussen het oude raamwerk van eenniet gevirtualiseerde omgeving en het nieuwe raamwerk voor een gevirtualiseerde omgeving. Erwordt bewust gekozen om een delta op te stellen, in tegenstelling tot een compleet nieuw raamwerk.De voornaamste reden hiervoor is eigenlijk al genoemd: Het onderzoek is erop gericht een generiekraamwerk te formuleren met beheersmaatregelen die binnen de verschillende gevirtualiseerdeomgevingen en op basis van verschillende virtualisatieproducten zijn uitgevoerd. . Debeheersmaatregelen zullen voor het uitvoeren van een audit nog verder moeten wordengeconcretiseerd op basis van het gebruikte virtualisatie product en (klant) omgeving.Er wordt niet verwacht dat door het toepassen van virtualisatie, reeds bestaande beheersmaatregelenkomen te vervallen. De oude situatie van een server met hierop draaiende een applicatie die beidenmoeten worden beheerst blijft immers bestaan, hetzij virtueel. Virtualisatie introduceert echter eenextra laag binnen de bestaande IT-architectuur waarvoor nieuwe beheersmaatregelen noodzakelijkzijn en de manier waarop invulling wordt gegeven aan reeds bestaande beheersmaatregelen brederwordt. Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en“vertrouwelijkheid” (ook bekend als ‘BIV’ of ‘CIA’) centraal, aangezien deze drie kwaliteitsaspectenvaak als uitgangspunt worden gehanteerd voor een IT-audit met als doelstelling het toetsen van degenerieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving.1.2 DoelstellingDit onderzoek richt zich op de risico’s die organisaties lopen indien gebruik wordt gemaakt vanvirtualisatie. Op basis van de genoemde kwaliteitaspecten (zie de vorige paragraaf) worden de voordit onderzoek relevante generieke IT-beheerprocessen geselecteerd, op basis van een algemeen erkendraamwerk. Voor de generieke IT-beheerprocessen wordt de impact van virtualisatie geïnventariseerdmet betrekking tot de toegepaste beheersmaatregelen. Vanwege de soms nog bestaande twijfel omdatabaseservers te virtualiseren, zal hierbij specifiek worden gekeken naar de risico’s voor eendatabaseserver omgeving.Het doel is om voor de geïdentificeerde risico’s met betrekking tot virtualisatie van eendatabaseserver, mitigerende beheersmaatregelen te definiëren die uiteindelijk leiden tot een algemeenbeheersmaatregelenraamwerk ten behoeve van gevirtualiseerde databaseservers.Het raamwerk bestaat uit beheersmaatregelen die nodig zijn om de specifieke risico’s van virtualisatieaf te dekken voor de geselecteerde IT-beheerprocessen. Het raamwerk zal niet gedetailleerd ingaan opde algemene beheersmaatregelen die niet wijzigen als gevolg van virtualisatie, maar het beschrijft eendelta tussen de oude en de nieuwe beheersmaatregelen als gevolg van virtualisatie.---------------------------------------------------------------------------------------------------------------------------Pagina 6
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------1.3 OnderzoeksvraagOm een voldoende afdekkend beheersmaatregelenraamwerk te definiëren met specifiekebeheersmaatregelen voor een gevirtualiseerde databaseserver omgeving, zullen een aantalonderzoeksvragen moeten worden beantwoord:Als eerste zal duidelijk moeten zijn wat virtualisatie precies inhoudt en de impact op de infrastructuur.“Wat is virtualisatie en wat is de impact hiervan op de bestaande IT- infrastructuur?”Vervolgens zal de scope van het onderzoek specifiek gericht zijn op de drie kwaliteitsaspecten(‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’) en IT-beheerprocessen. Om dit te bereikenzullen een drietal vragen moeten worden beantwoord.“Welke IT-beheersmaatregelraamwerken zijn geschikt om de relevante IT-beheerprocessen teselecteren?”“Welke IT-beheerprocessen hebben een directe invloed op de kwaliteitsaspecten ‘beschikbaarheid’,‘integriteit’ en ‘vertrouwelijkheid’?“Nadat de IT-beheerprocessen zijn geïdentificeerd welk impact hebben op de drie genoemdekwaliteitsaspecten, zullen de specifieke risico’s van virtualisatie worden onderzocht.“Welke specifieke risico’s zijn te onderkennen binnen de geselecteerde IT-beheerprocessen als gevolgvan virtualisatie van een databaseserver omgeving?”Op basis van de antwoorden op bovenstaande onderzoeksvragen zal een antwoord worden gegeven opde twee hoofdvragen van dit onderzoek, namelijk:“Wat zijn de specifieke risico’s met betrekking tot IT-beheerprocessen in een geautomatiseerdeomgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie en welke mitigerendebeheersmaatregelen kunnen hiervoor worden gedefinieerd en gemodelleerd in een generiek ITbeheersmaatregelraamwerk?”1.4 OnderzoeksaanpakIn de eerste plaats zal er een theoretisch kader worden gevormd door middel van literatuurstudie.Deze literatuurstudie richt zich op bestaande kennis en informatie op het gebied van ITbeheerprocessen,gerelateerde beheersmaatregelen, virtualisatie en specifieke risico’s van virtualisatieop databaseservers.Aan de hand van de verkregen informatie zal het onderzoeksobject (gevirtualiseerde databaseserveromgeving) worden beschreven. Op basis van eigen ervaring binnen het auditvak, geraadpleegdeliteratuur en gesprekken met inhoudelijke deskundigen zal er een afbakening worden gemaakt vanrelevante IT-beheerprocessen.Vervolgens zullen aanvullende literatuurstudie, interviews en andere kennisbronnen wordengeraadpleegd om specifieke risico’s met betrekking tot een gevirtualiseerde databaseserver omgevingte identificeren. Voor de geïdentificeerde risico’s worden de noodzakelijke beheersmaatregelengeïdentificeerd en geformuleerd. Aangezien VMware marktleider is op het gebied van virtualisatie,hanteren wij het VMware platform (ESX) als voornaamste referentiekader. De beheersmaatregelenzullen echter algemeen worden geformuleerd zodat ze voor alle virtualisatieproducten toepasbaar zijn.De nieuwe set van beheersmaatregelen vormen een delta. De delta geeft een overzicht vanaanvullende of gewijzigde beheersmaatregelen als gevolg van het virtualiseren van het audit-object.Hierbij zal geen uitspraak worden gedaan of het beheer van de omgeving makkelijker of moeilijker---------------------------------------------------------------------------------------------------------------------------Pagina 7
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 58 and 59:
Possen & UlrichRisico’s van een g
Page 60 and 61:
Page 62 and 63:
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?