Risico s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object

Risico’s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object Door A. Possen en P. Ulrich Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate IT-Audit opleiding, Maart, 2010

Begeleider VU: Dr. J. Hulstijn Begeleider Deloitte: D. Suijkerbuijk MSc

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------

Samenvatting Virtualisatie neemt een grote vlucht. Wij zijn van mening dat virtualisatie verder zal doorzetten. Binnen de markt zijn hiervoor een aantal argumenten. Ten eerste biedt virtualisatie bedrijven veel voordelen op het gebied van utilisatie. Virtualisatie maakt het mogelijk dat een verzameling resources (hardware) wordt verdeeld door meerdere virtuele servers (applicaties). Ten tweede biedt virtualisatie voordelen op het gebied van beschikbaarheid en het beheer. De virtuele servers (VM’s) kunnen namelijk tussen meerdere fysieke virtualisatieservers worden verplaatst. Hierdoor kan de belasting van servers eenvoudig worden aangepast en servers kunnen worden verplaatst voor beheerdoeleinden of continuïteitsmanagement. Ten derde zien wij vanuit onze auditwerkzaamheden vaak klanten die hun IT-infrastrucuur uitbesteden. Vaak zijn bedrijven vervolgens aan de IT-dienstverlener tot in de lengte van dagen verbonden. Virtualisatie brengt echter een scheiding aan tussen de fysieke (hardware) en logische (applicatie) laag. Hierdoor is een organisatie beter in staat zijn applicaties bij een andere IT-dienstverlener onder te brengen. Ten slotte is er een trend zichtbaar waarbij naar een meer flexibelere organisatie wordt gestreefd. Voorbeelden van dergelijke ontwikkelingen zijn Cloud Computing en SAAS. Dergelijk diensten vragen vanwege hun schaalbaarheid en flexibiliteit vaak om een gevirtualiseerde infrastructuur. Ondanks de voordelen van virtualisatie bestaat er een hoge impact op de bestaande infrastructuur en beheerprocessen.“Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012”(Gartner, 2008). Vreemd genoeg lijkt de auditor nog niet helemaal doordrongen van het concept virtualisatie en de impact op de infrastructuur en het beheer. In de praktijk wordt naar onze mening te weinig beoordeeld hoe een organisatie haar IT heeft ingericht en of hierbij gebruik wordt gemaakt van virtualisatie. Binnen dit onderzoek wordt de impact van virtualisatie op de IT-beheerprocessen geëvalueerd en wordt beoordeeld in hoeverre de bestaande beheersmaatregelen als gevolg van virtualisatie moeten worden aangepast. Wij hopen met deze scriptie het bewustzijn te stimuleren dat virtualisatie specifieke aandacht verdient en bij te dragen aan de opzet van een aanvullend (delta) beheersmaatregelen raamwerk voor een gevirtualiseerde (database)server omgeving. Deze scriptie is geschreven in het kader Postgraduate ITaudit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Om tot een dergelijk raamwerk te komen, zijn de bestaande kwaliteitsmethodieken beoordeeld op bruikbaarheid om als standaard beheersmaatregelen raamwerk te dienen. Op basis van een inhoudelijk vergelijking van diverse kwaliteitsmethodieken is CobiT als uitgangspunt gehanteerd. Vervolgens is er een selectie gemaakt van de IT-beheerprocessen met een impact op de kwaliteitsaspecten “beschikbaarheid”, “integriteit” en “volledigheid”. De geselecteerde set van IT-beheerprocessen zijn inhoudelijk onderzocht op de impact, de risico’s en noodzakelijke beheersmaatregelen voor virtualisatie. Voor de inventarisatie is gebruik gemaakt van interne als externe virtualisatie experts. Het opgestelde beheersmaatregelen raamwerk is inhoudelijk getoetst bij Deloitte Websolutions. Aanpassingen zijn vervolgens nogmaals met deze partij afgestemd. Wij hebben nieuwe beheersmaatregelen geïdentificeerd voor de CobiT-processen “Manage changes(AI06)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)” en “Manage data(DS11)”. Het blijkt dat door de wijziging in de IT-infrastructuur en impact op de IT-beheerprocessen er nieuwe beheersmaatregelen voor deze processen zijn vereist. Voor de CobiT-processen “Assess and manage IT risks(PO09)”, “Manage changes(AI06)”, “Manage performance and capacity(DS03)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)”, “Manage the configuration(DS09)” en “Manage data(DS11)” zijn ook wijzigingen op beheersmaatregelen geïdentificeerd die niet de strekking van de standaard beheersmaatregel veranderen, maar de diepgang ervan. Er dient nu ook rekening te worden gehouden met de nieuwe virtualisatielaag. Wij zijn van mening dat de aanvulling op het bestaande beheersmaatregelen raamwerk in de vorm van nieuwe en gewijzigde beheersmaatregelen een IT-auditor beter zullen ondersteunen om de beheersing van een gevirtualiseerde (database)server omgeving te beoordelen.

--------------------------------------------------------------------------------------------------------------------------Pagina 1

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving ---------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------Pagina 2


Inhoudsopgave Samenvatting........................................................................................................................................... 1 Inhoudsopgave ........................................................................................................................................ 3 1.

Introductie ...................................................................................................................................... 5 1.1 Aanleiding ............................................................................................................................. 5 1.2 Doelstelling............................................................................................................................ 6 1.3 Onderzoeksvraag ................................................................................................................... 7 1.4 Onderzoeksaanpak ................................................................................................................. 7

2.

Virtualisatie .................................................................................................................................... 9 2.1 Definitie van virtualisatie ...................................................................................................... 9 2.2 Virtualisatie achtergrond ....................................................................................................... 9 2.3 Virtualisatie: mogelijke voordelen of pure noodzaak? ........................................................ 10 2.3.1 Voordelen van server virtualisatie................................................................................... 10 2.3.2 Noodzaak voor toekomstige ontwikkeling ...................................................................... 11 2.3.3 Virtualisatie van de databaseserver ................................................................................. 12 2.4 Server virtualisatie ............................................................................................................... 13 2.4.1 Volledige virtualisatie ..................................................................................................... 13 2.4.2 Paravirtualisatie ............................................................................................................... 13 2.4.3 Virtualisatie ondersteunende hardware ........................................................................... 13 2.5 Componenten bij volledige virtualisatie .............................................................................. 14 2.5.1 Virtualization Layer ........................................................................................................ 14 2.5.2 Virtual Machines ............................................................................................................. 15 2.5.3 Service Console ............................................................................................................... 15 2.5.4 VirtualCenter ................................................................................................................... 15 2.5.5 Virtual Networking Layer ............................................................................................... 15 2.5.6 Virtual Storage ................................................................................................................ 15 2.6 Consequenties voor infrastructuur en beheer ...................................................................... 15 2.6.1 Consequenties voor het netwerk ..................................................................................... 16 2.6.2 Consequenties voor de data opslag ................................................................................. 16 2.6.3 Consequenties voor infrastructuur en gebruikersbeheer ................................................. 17

3.

IT - Audit van een databaseserver omgeving ............................................................................... 19 3.1 Audit aanpak ........................................................................................................................ 19 3.1.1 Beschikbaarheid .............................................................................................................. 19 3.1.2 Integriteit ......................................................................................................................... 20 3.1.3 Vertrouwelijkheid ........................................................................................................... 20 3.2 IT- beheersmaatregelraamwerken ....................................................................................... 20

4.

Delta identificatie voor IT-beheerprocessen bij virtualisatie ....................................................... 25 4.1 Define the information architecture (PO02) ........................................................................ 25 4.2 Assess and manage IT risks (PO09) .................................................................................... 26 4.3 Manage changes (AI06)....................................................................................................... 28 4.4 Manage performance and capacity (DS03) ......................................................................... 32 4.5 Ensure continuous service (DS04) ...................................................................................... 35 4.6 Ensure systems security (DS05) .......................................................................................... 39 4.6.1 Algemeen ........................................................................................................................ 39 4.6.2 Virtual machine (VM) ..................................................................................................... 40 4.6.3 Service Console ............................................................................................................... 44

--------------------------------------------------------------------------------------------------------------------------Pagina 3

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------4.6.4 VirtualCenter ................................................................................................................... 49 4.6.5 Virtualization Layer ........................................................................................................ 51 4.6.6 Virtual Network Layer .................................................................................................... 51 4.6.7 Virtual Storage ................................................................................................................ 56 4.7 Manage the configuration (DS09) ....................................................................................... 57 4.8 Manage data (DS11) ............................................................................................................ 60 4.9 Manage the physical environment (DS12) ......................................................................... 61 5.

Toetsing, analyse en evaluatie ...................................................................................................... 63 5.1 Toetsing van het geformuleerde IT-beheersmaatregelenraamwerk..................................... 63 5.2 Analyse van bevindingen..................................................................................................... 66 5.3 Evaluatie onderzoek ............................................................................................................ 67 5.4 Aanvullend onderzoek ......................................................................................................... 68

6.

Conclusie ...................................................................................................................................... 71

Bronnen ................................................................................................................................................. 75 Index ..................................................................................................................................................... 79 Bijlage 1 Opgesteld Normenkader ........................................................................................................ 81 Bijlage 2 CobiT-processen .................................................................................................................. 111 Bijlage 3 Geselecteerde CobiT-processen en beheersmaatregelen ..................................................... 113 Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen ................................................ 123 Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellen .................................................... 125

--------------------------------------------------------------------------------------------------------------------------Pagina 4


1. Introductie Binnen dit hoofdstuk zal de aanleiding van dit onderzoek worden beschreven. Daarnaast zal de doelstelling, centrale onderzoeksvraag en de onderzoeksaanpak worden beschreven.

1.1

Aanleiding

“Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012” (Gartner, 2008) Het vakgebied van een IT-auditor is een gebied dat constant aan (technologische) veranderingen onderhevig is. Een ontwikkeling die zeker een grote impact heeft op het vakgebied van IT-audit is virtualisatie. Het concept “virtualisatie” is niet nieuw en bestaat al sinds de jaren zestig van de 20e eeuw voornamelijk binnen de mainframe-omgeving. Echter ook buiten de mainframe-omgeving heeft virtualisatie zich de laatste jaren sterk ontwikkeld en heeft een volwassen status bereikt. Steeds meer ondernemingen maken de stap om hun infrastructuur te virtualiseren of zijn bezig zich hierop te oriënteren. Volgens Gartner(2008) lag het gebruik van virtualisatie in 2007 nog onder de vijf miljoen servers. Naar verwachting zal dit gebruik sterk toenemen tot 660 miljoen in 2011. Virtualisatie wordt genoemd als de trend met de hoogste impact op de infrastructuur en het beheer voor de periode tot 2012 (Gartner, 2008). Het feit dat virtualisatie in steeds hogere mate wordt geaccepteerd blijkt uit de toepassing hiervan voor de IT-infrastructuur door de Olympische Spelen 2010 (Toet, 2010). Ook grote marktleiders als Amazon.com bieden hosting diensten aan (Amazon EC2) op een volledig gevirtualiseerde omgeving(Amazon, 2010). Dergelijke organisaties kiezen hierbij steeds meer voor virtualisatie onder andere vanwege de schaalbaarheid en afnemende beheerkosten. Met het toenemen van virtualisatie gebruik, ontstaat bij organisaties ook terecht de vraag welke risico’s worden geïntroduceerd door het gebruik hiervan. Enerzijds zijn dit nieuwe risico’s als gevolg van een nieuwe technologie, zoals specifieke virtualisatie-aanvallen. Anderzijds zijn dit de risico’s die samenhangen met het algemene IT-beheer. Het IT-beheer veranderd door de introductie van virtualisatie waarbij een veel flexibelere architectuur ontstaat. Middels een goed uitgewerkte configuratie en hierop afgestemde IT-beheerprocessen (bijvoorbeeld afgeleid van ITIL) moet het omslagpunt kunnen worden bereikt dat het beheer van een virtuele architectuur eenvoudiger is dan een fysieke architectuur. Naast de impact van virtualisatie op de infrastructuur en het IT- beheer biedt het ook vele voordelen. Onder andere op het gebied van flexibiliteit, de mate van gebruik van de beschikbare middelen en de beschikbaarheid van de middelen. Virtualisatie stelt de organisatie beter in staat om de beschikbare middelen volledig in te zetten en snel op technologische ondersteunende ontwikkelingen in te spelen. De voordelen kunnen worden behaald zonder afbreuk te doen aan de mate van beheersing, mits de bijkomende risico’s voldoende worden afgedekt middels effectieve beheersmaatregelen in opzet, bestaan en werking. Voorafgaande aan implementatie van virtualisatie vragen organisaties zich af, of alle applicaties en ondersteunende systemen wel geschikt zijn om te virtualiseren. Een specifiek voorbeeld van een dergelijk systeem is het database management systeem. Juist de databaseserver is voor een organisatie van onschatbare waarde. Wij zijn van mening dat de voordelen die virtualisatie biedt juist groter worden of mogelijk worden als virtualisatie in zijn uiterste vorm wordt uitgevoerd. Hiermee wordt bedoeld dat de volledige infrastructuur bestaande uit de dataopslag, netwerk, servers (inclusief databaseserver) wordt gevirtualiseerd. De flexibele (gevirtualiseerde componenten) worden dan immers niet afgeremd door de nog statisch (niet gevirtualiseerd) uitgevoerde componenten. Zover zullen nog niet alle organisaties zijn, maar de specifieke vraagtekens rondom geschiktheid tot virtualisatie, maakt de databaseserver wel een extra interessant object van onderzoek. Dat de markt deze kant opgaat, blijkt nogmaals uit een voorbeeld van Amazon EC2. Aboulnaga e.a. (2009) beschrijven een voorbeeld waarin virtualisatie volledig wordt omarmd, ook voor databaseservers. Virtualisatie wordt hierbij als eis gezien om de volgende stap van IT-flexibilisering te bereiken. Beter bekent als Cloud Computing. --------------------------------------------------------------------------------------------------------------------------Pagina 5

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Deze scriptie zal niet ingaan op de specifieke risico’s die samenhangen met Cloud Computing, maar het moge duidelijk zijn dat de introductie van virtualisatie zal leiden tot wijzigingen van het risicoprofiel, beheersmaatregelen en audit-aanpak. Er bestaat dus een duidelijke reden om de toolkit van de IT-auditor te voorzien van informatie over specifieke beheersmaatregelen die de risico’s van virtualisatie kunnen afdekken. De auditor zal bewust moeten worden van de nieuwe risico’s die met virtualisatie worden geïntroduceerd en hoe hiermee om dient worden te gaan. De wereld van virtualisatieproducten is niet uniform. Het is dus niet mogelijk één algemeen raamwerk te ontwikkelen met specifieke beheersmaatregelen die toepasbaar zijn voor elke gevirtualiseerde omgeving. Naast de product specifieke risico’s, bestaan risico’s voor de unieke situatie waarbinnen virtualisatie wordt toegepast. Het is wel mogelijk om de huidige set van algemene beheersmaatregelen die binnen een datacenter worden toegepast onder de loep te nemen en te onderzoeken in hoeverre virtualisatie hier impact op heeft. De beheersmaatregelen die voor een gevirtualiseerde omgeving zullen moeten worden aangepast, vormen een delta. De delta kan worden beschouwd als het verschil tussen het oude raamwerk van een niet gevirtualiseerde omgeving en het nieuwe raamwerk voor een gevirtualiseerde omgeving. Er wordt bewust gekozen om een delta op te stellen, in tegenstelling tot een compleet nieuw raamwerk. De voornaamste reden hiervoor is eigenlijk al genoemd: Het onderzoek is erop gericht een generiek raamwerk te formuleren met beheersmaatregelen die binnen de verschillende gevirtualiseerde omgevingen en op basis van verschillende virtualisatieproducten zijn uitgevoerd. . De beheersmaatregelen zullen voor het uitvoeren van een audit nog verder moeten worden geconcretiseerd op basis van het gebruikte virtualisatie product en (klant) omgeving. Er wordt niet verwacht dat door het toepassen van virtualisatie, reeds bestaande beheersmaatregelen komen te vervallen. De oude situatie van een server met hierop draaiende een applicatie die beiden moeten worden beheerst blijft immers bestaan, hetzij virtueel. Virtualisatie introduceert echter een extra laag binnen de bestaande IT-architectuur waarvoor nieuwe beheersmaatregelen noodzakelijk zijn en de manier waarop invulling wordt gegeven aan reeds bestaande beheersmaatregelen breder wordt. Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en “vertrouwelijkheid” (ook bekend als ‘BIV’ of ‘CIA’) centraal, aangezien deze drie kwaliteitsaspecten vaak als uitgangspunt worden gehanteerd voor een IT-audit met als doelstelling het toetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving.

1.2

Doelstelling

Dit onderzoek richt zich op de risico’s die organisaties lopen indien gebruik wordt gemaakt van virtualisatie. Op basis van de genoemde kwaliteitaspecten (zie de vorige paragraaf) worden de voor dit onderzoek relevante generieke IT-beheerprocessen geselecteerd, op basis van een algemeen erkend raamwerk. Voor de generieke IT-beheerprocessen wordt de impact van virtualisatie geïnventariseerd met betrekking tot de toegepaste beheersmaatregelen. Vanwege de soms nog bestaande twijfel om databaseservers te virtualiseren, zal hierbij specifiek worden gekeken naar de risico’s voor een databaseserver omgeving. Het doel is om voor de geïdentificeerde risico’s met betrekking tot virtualisatie van een databaseserver, mitigerende beheersmaatregelen te definiëren die uiteindelijk leiden tot een algemeen beheersmaatregelenraamwerk ten behoeve van gevirtualiseerde databaseservers. Het raamwerk bestaat uit beheersmaatregelen die nodig zijn om de specifieke risico’s van virtualisatie af te dekken voor de geselecteerde IT-beheerprocessen. Het raamwerk zal niet gedetailleerd ingaan op de algemene beheersmaatregelen die niet wijzigen als gevolg van virtualisatie, maar het beschrijft een delta tussen de oude en de nieuwe beheersmaatregelen als gevolg van virtualisatie.

--------------------------------------------------------------------------------------------------------------------------Pagina 6


1.3

Onderzoeksvraag

Om een voldoende afdekkend beheersmaatregelenraamwerk te definiëren met specifieke beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving, zullen een aantal onderzoeksvragen moeten worden beantwoord: Als eerste zal duidelijk moeten zijn wat virtualisatie precies inhoudt en de impact op de infrastructuur . “Wat is virtualisatie en wat is de impact hiervan op de bestaande IT- infrastructuur?” Vervolgens zal de scope van het onderzoek specifiek gericht zijn op de drie kwaliteitsaspecten (‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’) en IT-beheerprocessen. Om dit te bereiken zullen een drietal vragen moeten worden beantwoord. “Welke IT-beheersmaatregelraamwerken zijn geschikt om de relevante IT-beheerprocessen te selecteren?” “Welke IT-beheerprocessen hebben een directe invloed op de kwaliteitsaspecten ‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’?“ Nadat de IT-beheerprocessen zijn geïdentificeerd welk impact hebben op de drie genoemde kwaliteitsaspecten, zullen de specifieke risico’s van virtualisatie worden onderzocht. “Welke specifieke risico’s zijn te onderkennen binnen de geselecteerde IT-beheerprocessen als gevolg van virtualisatie van een databaseserver omgeving?” Op basis van de antwoorden op bovenstaande onderzoeksvragen zal een antwoord worden gegeven op de twee hoofdvragen van dit onderzoek, namelijk: “Wat zijn de specifieke risico’s met betrekking tot IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie en welke mitigerende beheersmaatregelen kunnen hiervoor worden gedefinieerd en gemodelleerd in een generiek ITbeheersmaatregelraamwerk?”

1.4

Onderzoeksaanpak

In de eerste plaats zal er een theoretisch kader worden gevormd door middel van literatuurstudie. Deze literatuurstudie richt zich op bestaande kennis en informatie op het gebied van ITbeheerprocessen, gerelateerde beheersmaatregelen, virtualisatie en specifieke risico’s van virtualisatie op databaseservers. Aan de hand van de verkregen informatie zal het onderzoeksobject (gevirtualiseerde databaseserver omgeving) worden beschreven. Op basis van eigen ervaring binnen het auditvak, geraadpleegde literatuur en gesprekken met inhoudelijke deskundigen zal er een afbakening worden gemaakt van relevante IT-beheerprocessen. Vervolgens zullen aanvullende literatuurstudie, interviews en andere kennisbronnen worden geraadpleegd om specifieke risico’s met betrekking tot een gevirtualiseerde databaseserver omgeving te identificeren. Voor de geïdentificeerde risico’s worden de noodzakelijke beheersmaatregelen geïdentificeerd en geformuleerd. Aangezien VMware marktleider is op het gebied van virtualisatie, hanteren wij het VMware platform (ESX) als voornaamste referentiekader. De beheersmaatregelen zullen echter algemeen worden geformuleerd zodat ze voor alle virtualisatieproducten toepasbaar zijn. De nieuwe set van beheersmaatregelen vormen een delta. De delta geeft een overzicht van aanvullende of gewijzigde beheersmaatregelen als gevolg van het virtualiseren van het audit-object. Hierbij zal geen uitspraak worden gedaan of het beheer van de omgeving makkelijker of moeilijker --------------------------------------------------------------------------------------------------------------------------Pagina 7

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------wordt. Bij het definiëren van de beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving zal zoveel mogelijk gebruik gemaakt worden van de beschikbare wetenschappelijke literatuur, bestaande raamwerken en methodieken (best practices). Daarnaast is gebruik gemaakt van virtualisatiedeskundigen om de geïdentificeerde set van beheersmaatregelen op juistheid te verifiëren. Hierbij zijn mogelijke suggesties geopperd voor het opnemen van additionele beheersmaatregelen. Dit heeft tot aanvullende informatie en theoretisch onderzoek geleid om nog eventueel ontbrekende beheersmaatregelen te identificeren. Toetsing van de geïdentificeerde set van risico’s en hiervoor geformuleerde beheersmaatregelen vindt plaats bij ‘Deloitte Websolutions’. Er is specifiek voor ‘Deloitte Websolutions’ gekozen omdat zij databaseserver virtualisatie toepassen voor Microsoft SQL Server 2005. Het merendeel van grotere organisaties heeft nog niet de database omgeving gevirtualiseerd of maakt gebruik van mainframe toepassingen. Op basis van onze kennis en ervaring is vastgesteld dat bij kleinere organisaties database virtualisatie succesvol wordt toegepast, echter dit is niet representatief voor een data intensieve toepassing en/of infrastructuur. De specifieke details van de praktijktoets zijn ter validatie besproken tijdens verschillende afspraken met medewerkers van ‘Deloitte Websolutions’. Een voordeel van ‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is een volledig externe organisatie terughoudend om dergelijke informatie met anderen te delen aangezien dit potentiële zwaktes in (de beheersing van) de geautomatiseerde omgeving identificeert. Mogelijk misbruik van deze informatie kan verstrekkende (financiële) gevolgen met zich meebrengen. De door ‘Deloitte Websolutions’ aangedragen (vertrouwelijke) informatie heeft bijgedragen om de relevantie van geformuleerde beheersmaatregelen te verifiëren. Verder zijn eventueel additionele risico’s en benodigde beheersmaatregelen aangedragen. Op deze wijze is de volledigheid van het totaal van beheersmaatregelen vastgesteld. De wijze waarop de geformuleerde beheersmaatregelen moeten worden vastgesteld (audit) is daar waar nodig besproken. Voor beheersmaatregelen waarvoor onvoldoende kennis van de materie bestond om dit in praktijk vast te kunnen stellen, is aanvullende informatie ontvangen en inhoudelijk besproken. Op deze wijze is de bruikbaarheid van geformuleerde beheersmaatregelen geverifieerd. Aangezien de door ‘Deloitte Websolutions’ verstrekte informatie vertrouwelijk dient te worden behandeld, is er geen inhoudelijke informatie van configuratie en verificatie opgenomen. De praktijktoetsing bestaat uit een set van meerdere interviews met architecten en management van ‘Deloitte Websolutions’. Een beschrijving van ‘Deloitte Websolutions’ is opgenomen in bijlage 4. De uitkomsten van de praktijk toetsing heeft tot aanpassingen van de geformuleerde ITbeheersmaatregelen geleid. De totale set van geformuleerde IT-beheersmaatregelen en de impact op het IT-beheerproces zijn geëvalueerd en gecategoriseerd. De specifieke risico’s en noodzakelijke ITbeheersmaatregelen met betrekking tot de IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie zijn op hoofdlijnen nogmaals met Deloitte Websolutions afgestemd om te verifiëren dat alle wijzigingen correct zijn doorgevoerd.

--------------------------------------------------------------------------------------------------------------------------Pagina 8


2. Virtualisatie “[Virtualization is] really best thought of as shorthand for separating hardware and software and thereby achieving all kinds of goodness (Romano, 2008)."

2.1

Definitie van virtualisatie

Wat is virtualisatie? De definitie van “virtueel” is volgens de Van Dale “slechts schijnbaar bestaand”. Deze definitie is nog niet concreet. In het jaarlijkse “hype cycle report” dat Gartner elk jaar publiceert en waarin de grootste trends van het aanstaande jaar worden beschreven, wordt virtualisatie gedefinieerd als: ”Virtualization is the process of decoupling layers of IT function so the configuration of the layers becomes more independent of each other(Gartner, 2008).” Deze omschrijving is nog breed qua definitie, maar raakt wel de essentie van virtualisatie namelijk “het loskoppelen van lagen”. De definitie richt zich niet op welke lagen van elkaar losgekoppeld worden. Singh geeft een definitie van virtualisatie waarbij een scheiding tussen de fysieke (resources of a computer) en logische laag (multiple execution environments) wordt gemaakt: "a framework or methodology of dividing the resources of a computer into multiple execution environments, by applying one or more concepts or technologies such as hardware and software partitioning, time-sharing, partial or complete machine simulation, emulation, quality of service, and many others (Singh, 2004).” De definitie van Singh hanteert de aanname dat virtualisatie altijd een één op veel relatie verondersteld. Uit het gebruik van het begrip virtualisatie in de praktijk blijkt echter dat virtualisatie niet altijd een één op veel relatie hoeft te representeren. Op het vlak van grid-computing, load balancing en opslag wordt virtualisatie bijvoorbeeld vaker gebruikt om aan te duiden dat meerdere instanties zich als één (virtuele) instantie aanbieden (lees: een aantal verspreide databases worden als één database instantie weergegeven). Naar onze mening gaat virtualisatie, lees definitie van Gartner, puur over het loskoppelen van de lagen. Dit betekent het creëren van een virtuele weergave van toebedeelde resources, gebruikmakende van een onderliggende infrastructuur. Wij gebruiken en ondersteunen daarom de definitie zoals deze wordt gegeven door (Klaver, 2008). “Virtualization is a technology that combines or divides IT hardware resources in logical objects by acting as an interface between the IT hardware resources and software. It abstracts the software from the underlying hardware (Klaver, 2008).”

2.2

Virtualisatie achtergrond

Hoewel de huidige virtualisatie hype anders doet vermoeden, is virtualisatie niet een nieuwe technologie. Het gebruik van virtualisatie is ontstaan in de mainframeomgeving. In de zestiger jaren van de vorige eeuw hadden de mainframes van IBM al de mogelijkheid om virtuele machines te creëren. Na het mainframe werd virtualisatie geïntroduceerd binnen de midrange oplossingen voor HP-UX, AIX en Solaris. Hierbij moet vooral aan partitioneringstechnieken worden gedacht. De huidige hype richt zich niet op de vormen van virtualisatie die al jaren op de markt bestaan en nog steeds worden toegepast. Als er tegenwoordig over virtualisatie wordt gesproken, wordt meestal de virtualisatie van x86 servers bedoeld. Eind jaren negentig werd het door VMware mogelijk gemaakt om ook Intel / AMD x86 machines van een virtualisatielaag te voorzien. Tot de x86-platformen behoren onder andere de gebruikelijke Windows- en Linux-servers. In eerste instantie werd x86 virtualisatie toegepast om ontwikkel en testomgevingen geïsoleerd aan te bieden, gebruikmakend van slechts één fysieke machine. De x86 virtualisatie heeft zich echter in een snel tempo ontwikkeld en --------------------------------------------------------------------------------------------------------------------------Pagina 9

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------wordt vandaag de dag in steeds hogere mate ingezet voor de consolidatie van productiesystemen (Chen & Bozman, 2009). Consolidatie is binnen het virtualisatie jargon een term waarmee wordt aangeduid dat meerdere systemen worden samengevoegd en gezamenlijk draaien op één fysieke machine. Naast consolidatie bestaat er een groeiende beweging om virtualisatie in te zetten voor het verkrijgen van een hogere beschikbaarheid, vereenvoudiging van disaster recovery en resource optimalisatie (utilisation).

2.3

Virtualisatie: mogelijke voordelen of pure noodzaak?

Volgens sommige biedt virtualisatie voordelen voor specifieke doelgroepen en anderen zien virtualisatie als pure noodzaak. In deze paragraaf zullen de veronderstelde voordelen kort worden beschreven. Ook wordt een trend beschreven die virtualisatie als noodzakelijke ontwikkeling beschouwd. Er zal kort worden ingegaan op de ontwikkeling van databaseservers binnen het gedachtegoed van virtualisatie. 2.3.1 Voordelen van server virtualisatie De argumenten om over te stappen op virtualisatie zijn legio In deze paragraaf worden enkele hoofdargumenten belicht (Pike & Engstrom, 2006) (Golden, 2008)(Geuze & van teeffelen, 2009 ) (Szabolcs, 2009) (Montero, 2009) (VMware, 2006b). • Vereenvoudigen van het beheer; • Kosten; • Beschikbaarheid. Vereenvoudigen van het beheer Server virtualisatie brengt een scheiding aan tussen de hardware en software. Hierdoor kan het beheer op een aantal punten worden vereenvoudigd: • Het toevoegen van een nieuwe server heeft zich vertaald van fysieke handelingen naar een administratieve handeling. Een nieuwe server kan hierdoor zeer eenvoudig worden opgetuigd. • De fysieke omgeving wordt overzichtelijker wat betreft het aantal serverkasten, switches, stoom- en netwerkkabels. • Door virtualisatie wordt het mogelijk een logische server te verplaatsen naar een andere fysieke server, zodat er hardwarematig onderhoud aan de fysieke server kan plaatsvinden. Een logische server hoeft niet meer uitgezet te worden, waardoor onderhoud gedurende de dag mogelijk is. Kosten Virtualisatie heeft een grote impact op de kosten voor de IT-infrastructuur: • Hardware and Software: In een niet gevirtualiseerde wilt men voorkomen dat applicaties elkaar negatief beïnvloeden. Hierom wordt veelal voor elke applicatie een aparte fysieke server gebruikt. Dit leidt vaak tot een lage utilisatie (bezettingsgraad) van een groot aantal fysieke servers. In veel datacentra draaien servers die slechts 10% van hun totale capaciteit gebruiken. Door het toepassen van virtualisatie kan het aantal fysiek benodigde systemen worden teruggebracht. Hierbij kan een hogere utilisatie van de beschikbare hardware worden behaald. Meerdere virtuele servers die elk geïsoleerd worden uitgevoerd, maken gezamenlijk gebruik van de beschikbare resources • IT Operations: De vereenvoudiging in beheeractiviteiten zorgt ervoor dat de beheeractiviteiten door een stuk minder beheerders kunnen worden uitgevoerd. Hierbij kan echter de kanttekening gemaakt worden dat er een nieuwe laag wordt geïntroduceerd en daarmee een nieuw soort kennis is vereist. Beschikbaarheid Met de introductie van virtualisatie bestaan nieuwe mogelijkheden die de beschikbaarheid van processen kunnen verhogen. • Een verstoring is beperkt tot het restoren van een logische server, waardoor er veel minder tijd nodig is om een herstart uit te voeren. --------------------------------------------------------------------------------------------------------------------------Pagina 10

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------• • • •

Er bestaan mogelijkheden om processen van de ene fysieke server te verplaatsen naar een andere server (Vmotion). Virtualisatie biedt mogelijkheden om tijdelijke pieken van resource consumptie op te vangen door de VM’s toe te bedelen aan servers met meer beschikbare capaciteit. Logische servers kunnen gemakkelijk worden opgestart voor het moment dat dit gewenst is. Denk bijvoorbeeld aan een back-up server die uitsluitend actief is op het moment dat het back-up window geldt (moment waarop back-ups worden gemaakt). Virtualisatie introduceert nieuwe mogelijkheden op het gebied van back-up en recovery (zoals het maken van snapshots van de complete server) en Disaster recovery implementaties (het automatisch overzetten / opstarten van logische servers).

2.3.2 Noodzaak voor toekomstige ontwikkeling Vandaag de dag worden er steeds hogere eisen aan de IT-infrastructuur gesteld. Organisaties ervaren steeds vaker dat organisatorische ontwikkelingen worden tegenhouden door mogelijkheden van de bestaande IT-infrastructuur. Organisaties zijn doorlopend op zoek naar kostenreducties, grotere mate van flexibiliteit en efficiëntie van de geautomatiseerde omgeving. Consequentie voor de ITorganisatie is een volle agenda met zeer uitdagende initiatieven, terwijl er minder resources (personeel, budget en IT hulpmiddelen) beschikbaar zijn. In de jaren tachtig bestond vooral aandacht voor de stabiliteit en betrouwbaarheid van gegevensverwerking. In de jaren negentig werd hieraan de focus op snelheid, efficiëntie en 24x7 beschikbaarheid toegevoegd. In de 20ste eeuw is hier een nieuwe ontwikkeling aan toegevoegd namelijk flexibiliteit (Chen & Bozman, 2009). Binnen de literatuur wordt voor deze zoektocht naar flexibiliteit in de IT-infrastructuur diverse kreten gehanteerd. Er zijn diverse raamwerken ontwikkeld, die een beheerste ontwikkeling moeten begeleiden. Door HP wordt de term “Adaptive Enterprise” gebruikt (HP, 2009), IBM spreekt over de “dynamic infrastruture” (IBM, 2009) en Dell over de scalable enterprise (Pike & Engstrom, 2006). Binnen de verschillende initiatieven staan enkele kernbegrippen centraal (HP,2006): • Simplificatie, een simpele opzet vermindert de complexiteit en verlaagt risico’s terwijl het bedrijven in staat stelt sneller en gemakkelijker veranderingen door te voeren. • Standaardisatie, vermindert eveneens complexiteit en maakt het eenvoudiger om verandering door te voeren evenals de kosten en risico’s gerelateerd aan veranderingen en het algehele beheer van geautomatiseerde omgevingen zoveel mogelijk te beperken. • Integratie, essentieel om wendbaarheid en flexibiliteit te creëren. • Modulair, logische of fysieke modules die op verzoek kunnen worden gebruikt. Door deze ontwerp principes toe te passen op de gehele IT-infrastructuur ontstaan autonome puzzelstukken die eenvoudig gecombineerd kunnen worden. Met deze filosofie ontstaat een omgeving waarmee de geautomatiseerde omgeving van een organisatie relatief snel en eenvoudig aanpasbaar is aan de organisatorische wensen en eisen. In de literatuur wordt gesproken over een “agile” (wendbare) organisatie die over de kwaliteit beschikt om zich snel aan veranderende omstandigheden en vragen aan te passen. Virtualisatie van de IT-infrastructuur wordt door de raamwerken van HP, IBM en Dell als een fundamenteel uitgangspunt beschouwd om aan de eigenschappen van een agile organisatie te voldoen. Virtualisatie biedt een organisatie de mogelijkheid om snel op uitdagingen en kansen te reageren. IT wordt hierbij steeds meer als een standaard dienst beschouwd die naar behoeft kan worden afgenomen. De IT-infrastructuur kan zich hierbij naadloos aanpassen aan de veranderende wensen van de business (schaalbaarheid) en biedt de organisatie nieuwe mogelijkheden voor haar dienstverlening. Of beter gezegd ondersteunt het een organisatie om nieuwe mogelijkheden te implementeren, waarbij de organisatie niet wordt afgeremd door de eigenschappen van de geïmplementeerde infrastructuur. Deze ontwikkeling wordt door de eerder genoemde raamwerken van onder andere HP, IBM en Dell onderkend en veelal weergeven in een zogenaamd groeimodel. Hierbij wordt gestreefd naar de uiterste vorm van flexibiliteit (Pike & Engstrom, 2006).

--------------------------------------------------------------------------------------------------------------------------Pagina 11


Figuur 1 Roadmap to a business ready infrastructure (HP, 2009)

2.3.3 Virtualisatie van de databaseserver Servers zijn steeds beter in staat om processor, geheugen en I/O prestaties te optimaliseren. Inmiddels worden ook organisatie kritische systemen in steeds hogere aantallen gevirtualiseerd (Chen & Bozman, 2009) (Muirhead, 2006). Traditioneel werd verondersteld dat sommige processen, zoals databaseservers, niet effectief zouden kunnen worden gevirtualiseerd. Deze gedachtelijn houdt echter onvoldoende rekening met het feit dat tussen het virtualiseren van verschillende soorten applicaties, grote verschillen bestaan. Als specifiek wordt gekeken naar databaseserver virtualisatie, dan verschilt de omvang en performance eisen die aan een afzonderlijke database worden gesteld aanzienlijk. Server processen worden gekarakteriseerd door opslag, verwerkingscapaciteit o.a. bestaande uit de beschikbare processor en netwerkcapaciteit, en het beschikbare geheugen. Het zijn deze kenmerken die bepalend zijn of een proces geschikt is voor virtualisatie, niet het type proces (AMD, 2008). Als meerdere en verschillende type processen binnen een organisatie worden uitgevoerd op dezelfde hardware, is de som van deze verschillende processen draaiende op dezelfde server bepalend voor het succes of falen van server virtualisatie. Toekomstige ontwikkelingen voor de virtualisatie van zware processen richten zich voornamelijk in het optimaliseren van de I/O prestaties en het benutten van resources. Voorbeeld hiervan is het onderzoek van de Universiteit van Waterloo, waarbij wordt gezocht naar mechanismen voor automatische resource verdeling van meerdere gevirtualiseerde database processen (Soror e.a., 2007). Ondanks het (gedeeltelijk) wegnemen van het pijnpunt “performance”, zijn de voordelen om een databaseserver te virtualiseren niet altijd zichtbaar. Een databaseserver heeft namelijk vaak al een vrij hoge bezettingsgraad. De voordelen liggen hier veel meer op het vlak van de complete infrastructuur. Door databaseservers niet te virtualiseren, wordt een organisatie met twee verschillende infrastructuren geconfronteerd. Dit beperkt de mogelijkheden van het gevirtualiseerde deel van de infrastructuur en reduceert het mogelijke voordeel wat betreft beheerkosten, consolidatie e.d. De beste resultaten met behulp van virtualisatie worden behaald indien alle belangrijke onderdelen van de infrastructuur zijn gevirtualiseerd (IBM, 2009). Infrastructuur objecten krijgen een hogere mate van schaalbaarheid en kunnen de business bij wijzigende omstandigheden blijven dienen. Met het wegnemen van bottlenecks omtrent databaseserver virtualisatie, lijkt niets een vergaande virtualisatie van de infrastructuur meer in de weg te staan. Of bedrijven die voor virtualisatie kiezen ook geneigd zijn om hun gehele infrastructuur te virtualiseren en zich willen ontwikkelen tot de ‘adaptive enterprise’ zal de komende tijd duidelijk moeten worden. Een ander trend waarbij een verregaande vorm van databaseserver virtualisatie wordt vereist is Cloud Computing. Cloud Computing is de meest extreme vorm van een “adaptive infrastructure” waarbij ook externe diensten worden afgenomen (IBM, 2009).

--------------------------------------------------------------------------------------------------------------------------Pagina 12


2.4

Server virtualisatie

Binnen een niet gevirtualiseerde omgeving bestaat er een één op één relatie tussen het besturingssysteem en de hardware. Alle fysieke componenten staan tot beschikking van het besturingssysteem en worden zo efficiënt mogelijk ingezet ten behoeve van de applicatie door het specifieke besturingssysteem. Bij server virtualisatie worden de beschikbare resources (processor, geheugen, harde schijf e.d.) verdeeld over de virtuele machines die op één fysieke server staan geïnstalleerd. Met virtualisatie wordt het dus mogelijk om meerdere virtuele machines met elk hun eigen type besturingssysteem (Windows, Unix, Linux, etc.) en toepassingen (applicaties en databases) naast elkaar te laten draaien en gebruik te laten maken van de componenten waarover de fysieke infrastructuur beschikt. Binnen deze scriptie wordt uitsluitend aandacht besteed aan virtualisatie van de x86 omgeving. Binnen een niet gevirtualiseerde omgeving wordt het gemeenschappelijk gebruik van een computer door meerdere applicaties afgeraden omdat applicaties elkaar negatief kunnen beïnvloeden. Hierdoor blijft veel capaciteit van de hardware ongebruikt. Met server virtualisatie wordt deze spagaat tussen capaciteit optimalisatie en scheiding tussen applicaties opgelost, omdat alle gevirtualiseerde omgevingen volledig geïsoleerd van elkaar opereren. Elke virtuele uitgevoerde omgeving reserveert en krijgt een deel van de beschikbare capaciteit toegewezen. 2.4.1 Volledige virtualisatie De meest toegepast vorm van server virtualisatie is volledige virtualisatie. Zoals de naam al doet vermoeden is volledige virtualisatie ontwikkeld om volledige loskoppeling te bieden tussen de hardware en logische laag. Een bepaald type besturingssysteem wordt in een virtual machine (VM) geïnstalleerd waarbij alle onderliggende hardware wordt nagebootst (gevirtualiseerd). Hiervoor zijn geen modificaties aan het besturingssysteem vereist. Het virtueel draaiende besturingssysteem is volledig geïsoleerd van andere VM’s en merkt niet dat het in een virtuele omgeving wordt uitgevoerd. Het besturingssysteem kan zonder problemen draaien als zijnde op een fysieke server. Door de volledige loskoppeling tussen besturingssysteem en hardware, kunnen virtual machines van de ene naar de andere server worden verplaatst met verschillende hardware configuraties zonder dat dit problemen oplevert (mits hardware natuurlijk wordt ondersteund) en juist wordt geconfigureerd in de virtual machine beheersapplicatie). Deze technologie biedt voordelen qua gebruiksgemak. Negatieve aspecten van deze aanpak hebben betrekking op de tussenlaag (extra laag tussen hardware en het besturingssysteem). Door de volledige loskoppeling tussen hardware en besturingssysteem moeten alle verzoeken voor virtuele resources worden vertaald en worden doorgezet naar de onderliggende hardware. Dit heeft tot gevolg dat indien er veel vertaalslagen worden gemaakt dit consequenties heeft voor de performance van de VM. 2.4.2 Paravirtualisatie Bij paravirtualisatie dient het besturingssysteem dat in de virtual machine wordt gedraaid te worden aangepast met een zogenaamde Application Programming Interface (API). Het besturingssysteem weet dus dat het in een virtuele omgeving wordt uitgevoerd. Met behulp van de API kan rechtstreeks of via een minimale tussenlaag met de hardware worden gecommuniceerd. Hierbij vindt geen vertaalslag plaats tussen hardware en besturingssysteem zoals bij volledige virtualisatie het geval is. Hierdoor kan paravirtualisatie performance winst bewerkstelligen. Maar ook deze vorm van virtualisatie heeft een keerzijde. Het besturingssysteem zal moeten worden aangepast, wat hoge risico’s introduceert. 2.4.3 Virtualisatie ondersteunende hardware De laatste vorm van virtualisatie die sterk in opkomst is, maar nog in de kinderschoenen staat, is hardware ondersteunende virtualisatie. Deze vorm van virtualisatie biedt niet een volledige oplossing maar ondersteunende functionaliteit. Hierbij nemen hardware componenten een aantal virtualisatie taken over, welk niet meer door de virtualisatielaag hoeven te worden uitgevoerd (geen vertaling tussen besturingssysteem en resources vereist). Intel en AMD hebben in 2006 de eerste generatie van virtualisatie ondersteunende hardware geïntroduceerd. Deze vorm van virtualisatie sloot nog niet goed --------------------------------------------------------------------------------------------------------------------------Pagina 13

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------aan op de beschikbare virtualisatiesoftware en leverde daarom voor bepaalde typen processen een lagere performance (Adams & Agesen, 2006). Tegenwoordig is er een tweede generatie virtualisatie ondersteunende hardware beschikbaar gekomen. Deze tweede generatie biedt een betere aansluiting op bestaande virtualisatiesoftware en derhalve verbeterde performance (Bhatia, 2009). De hedendaagse ontwikkelingen op het gebied van hardware ondersteunende virtualisatie kunnen een belangrijke bijdrage gaan leveren om bestaande performance bottlenecks weg te nemen en een goede aanvulling te vormen voor softwarematige virtualisatie.

2.5

Componenten bij volledige virtualisatie

Binnen deze scriptie zal uitsluitend aandacht worden besteed aan volledige virtualisatie. Wanneer wordt gekeken naar de beschikbare producten en leveranciers, dan is VMware verreweg de meest bekende. VMware levert het product VMware ESX server en zal kort nader worden besproken. Hoewel het doel van dit onderzoek erop gericht is een generiek raamwerk op te leveren voor een gevirtualiseerde databaseserver omgeving, zal het product van VMware als leidraad worden gehanteerd. De geformuleerde beheersmaatregelen zijn van toepassing op de meeste virtualisatie oplossingen en kunnen daardoor als leverancier onafhankelijk worden beschouwd. De VMware infrastructuur bestaat uit de volgende componenten, dit wordt ook op onderstaande afbeelding weergegeven (VMware, 2006a)(Jolliffe, 2007): • Virtualization Layer; • Virtual Machines; • Service Console; • VirtualCenter; • Virtual Networking Layer; • Virtual Storage.

Figuur 2 VMware ESX Server architectuur (Jolliffe, 2007)

2.5.1 Virtualization Layer De VMware ESX server presenteert een gevirtualiseerd platform waarin de vier hardware componenten worden gevirtualiseerd: processor, geheugen, schijfruimte en netwerk. De Virtualization Layer is de tussenlaag van de ESX server die speciaal door VMware is ontwikkeld om VM’s te draaien. Binnen de Virtualization Layer worden resources gevirtualiseerd aangeboden, verdeeld over meerdere VM’s. De Virtualization Layer is volledig gericht op het bieden van een geïsoleerde omgeving voor meerdere VM’s. --------------------------------------------------------------------------------------------------------------------------Pagina 14

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------2.5.2 Virtual Machines Virtual Machines (VM’s) zijn zogenaamde afgeschermde containers, waarbinnen verschillende type besturingssystemen kunnen worden geïnstalleerd en waarop applicaties en databases worden uitgevoerd. De werking verschilt niet wezenlijk van een fysieke server met daarop geïnstalleerde applicaties. De instructies van het besturingssysteem worden echter niet meer direct door de hardware uitgevoerd, maar moeten eerst door de virtualisatielaag worden vertaald naar begrijpbare operaties. De verschillende VM’s zijn van elkaar afgeschermd, maar delen gemeenschappelijke (fysieke) hardware. 2.5.3 Service Console Zoals in bovenstaande afbeelding is weergegeven kan de ESX server worden aangesproken middels de zogenaamde Service Console. Alle beheertaken voor de ESX server worden middels de Service Console uitgevoerd. Deze taken bestaat uit het configureren van opslag, instellingen van VM’s tot aan het inrichten van virtuele netwerken. De Service Console biedt daarmee een beheerfunctionaliteit van het ESX server, terwijl VMM beheerfunctionaliteit van een afzonderlijke VM levert. 2.5.4 VirtualCenter VirtualCenter is het VMware beheerproduct dat kan worden gebruikt voor het beheren van één of meerdere ESX Servers Zodra twee of meer ESX Servers worden gebruikt loont het beslist de moeite om VirtualCenter te gebruiken. VirtualCenter biedt namelijk een centrale beheerconsole waarmee alle ESX servers en VM’s kunnen worden beheerd. Binnen VirtualCenter wordt ook specifieke virtualisatiefunctionaliteit aangeboden zoals Vmotion. Met deze functionaliteit kan een draaiende VM worden verplaatst van de ene, naar een andere fysieke machine (beide ESX servers). Vmotion maakt het dus mogelijk om een VM zonder downtime te verplaatsen. 2.5.5 Virtual Networking Layer De Virtual Network Layer bestaat uit virtuele switches en adapters. Met behulp van deze virtuele resources maken VM’s connectie met de rest van het virtuele en fysieke netwerk. De netwerk laag wordt gebruikt om communicatie tussen VM’s onderling en gebruikers mogelijk te maken. Daarnaast wordt deze laag ook gebruik voor communicatie met externe opslag media, zoals SAN en NAS. 2.5.6 Virtual Storage Een VM is hardware onafhankelijk en transporteerbaar over servers, dit biedt flexibiliteit van de ITinfrastructuur. Om dit mogelijk te maken is er echter behoefte aan een flexibele wijze van opslag. Dit vraagt om een centrale opslag van VM’s. Een mogelijke implementatie variant biedt VMware met een speciaal ontwikkeld opslag systeem. Hierbij hebben meerdere ESX servers tegelijkertijd toegang tot de opslag van VM’s. Dit systeem zorgt er dus voor dat de harddisk van een VM toegankelijk blijft, indien de VM wordt verplaatst.

2.6

Consequenties voor infrastructuur en beheer

De invoering van server virtualisatie heeft een grote impact op de IT-infrastructuur. Er worden nieuwe elementen geïntroduceerd die moeten worden geïmplementeerd en beheerst. De impact blijft echter niet beperkt tot de (database)server die wordt gevirtualiseerd, maar raakt ook direct de configuratie van elementen waar mogelijk niet direct aan wordt gedacht, zoals het netwerk en gegevensopslag. Ontwikkelingen binnen hedendaagse virtualisatie producten tonen aan dat functionaliteit voor netwerkvirtualisatie en opslagvirtualisatie steeds meer geïntegreerd wordt aangeboden als onderdeel van servervirtualisatie (Veldhuis & Turk, 2008) (HP, 2006). Deze onderwerpen zullen kort nader worden beschreven. Aanvullend zal in dit hoofdstuk kort de impact op de nieuwe IT-infrastructuur en user management inhoudelijk worden beschreven. Met de introductie van virtualisatiecomponenten ontstaan namelijk nieuwe toegangspaden die moeten worden beheerst. Hiermee wordt niet gesuggereerd dat de impact op andere beheerprocessen minder groot is, maar het is van belang een duidelijk beeld te hebben van de componenten die binnen een gevirtualiseerde omgeving zijn te onderkennen. Deze kennis is essentieel om de impact op andere beheersmaatregelen zoals wijzigingenbeheer te begrijpen.

--------------------------------------------------------------------------------------------------------------------------Pagina 15

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------2.6.1 Consequenties voor het netwerk Virtualisatie biedt nieuwe mogelijkheden op het gebied van netwerkconfiguratie. Er bestaan legio mogelijkheden om hier invulling aan te geven, variërend van server virtualisatie met een fysiek ingeregeld netwerk tot aan een volledig gevirtualiseerd platform waarbij merendeel van fysieke netwerk componenten zijn vervangen door virtuele oplossingen. Indien er gebruik wordt gemaakt van server virtualisatie zal er vrij snel behoefte ontstaan om bepaalde virtuele servers van elkaar te scheiden (Veldhuis & Turk, 2008). Belangrijkste reden hiervoor is dat verschillende VM’s over een ander classificatie niveau ten aanzien van onder andere de kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit beschikken. Hiermee wordt gedoeld op de afwijkende eisen die voor verschillende VM’s gelden. Zo zullen er andere eisen aan een ontwikkel VM ten opzichte van een productie VM worden gesteld bijvoorbeeld ten aanzien van beveiliging. Het virtueel scheiden van dergelijke servers (lees VM) middels vLAN’s (Virtueel LAN) is dan een veel gebruikte oplossing (NSA, 2008). Met virtuele netwerken kan een netwerk in meerdere logische geïsoleerde netwerken worden verdeeld, elk met hun eigen karakteristieken op het gebied van routing, switching, beleid, quality of services (QOS), brandbreedte, beveiliging e.d. Dergelijke logische partities kunnen ingericht worden voor de doelgroep die moet worden ondersteund, zoals de afdeling inkoop, verkoop, consultants e.d. Netwerk virtualisatie biedt daarmee mogelijkheden om hun resources af te schermen, aan eisen uit regelgeving te voldoen en de infrastructuur te consolideren. Het inrichten van vLAN’s en het koppelen met de fysieke switch vereist een duidelijke visie op de elementen die bij elkaar horen of juist gescheiden moeten blijven. Binnen een gevirtualiseerd netwerk zijn diverse typen netwerkverkeer te onderkennen, zoals een gescheiden beheer en productie netwerk. Deze verschillende vormen van netwerkverkeer dienen elk hun eigen doel en moeten afhankelijk van hun impact op andere componenten van elkaar worden gescheiden (NSA, 2008). Virtuele netwerken bieden een hoge mate van flexibiliteit, maar vereist ook een gestructureerde aanpak. Het ongecontroleerd gebruiken van vLAN’s kan ertoe leiden dat bijvoorbeeld een databaseserver VM aan dezelfde netwerk zone wordt gekoppeld als de DMZ, met mogelijk dataverlies tot gevolg. Hoewel het virtualiseren van een netwerk veel mogelijke voordelen biedt, bestaan er ook nadelen. Het virtualiseren van netwerken gebeurt softwarematig en daardoor ontstaat er enige vertraging. Deze software vertraging raakt voornamelijk de performance van het netwerk en opslag (DAS, IP SAN, FC SAN, NAS) (Chen & Bozman, 2009). Daarnaast verloopt binnen een gevirtualiseerde omgeving alle netwerkverkeer van meerdere VM’s over één fysieke netwerkverbinding. Indien een groot aantal VM’s op één fysieke server zijn geïnstalleerd kan netwerkcongestie ontstaan op de fysieke netwerkpoort van de fysieke server (opstopping). Hiervoor dienen maatregelen genomen te worden die dergelijke verstoringen voorkomen. Als voorbeeld wordt ‘trunking’ aangedragen, waarbij de capaciteit van meerdere fysieke netwerkkaarten wordt gebundeld tot één logische netwerk kaart. Juist databaseservers kenmerken zich door grote hoeveelheden data die over het netwerk worden verstuurd. Afhankelijk van de gekozen configuratie heeft dit impact op de beschikbare capaciteit en performance van het netwerk en daarmee op andere VM’s. 2.6.2 Consequenties voor de data opslag Een andere zeer breed toegepaste vorm van virtualisatie vinden we terug bij opslag (‘storage’). Deze vorm van virtualisatie richt zich in de praktijk op consolidatie (Morgan, 2006). Er komen de laatste jaren steeds meer intelligente systemen op de markt voor centrale opslag van gegevens. Deze zogenaamde storage systemen kunnen aangesloten worden op een snel netwerk. Ze staan bekend onder de termen SAN (Storage Area Network) en NAS (Network Area Storage). Deze systemen leggen de basis voor storage virtualisatie. De data wordt zodanig opgeslagen dat VM’s kunnen worden getransporteerd van de ene naar de andere server en gebruik kunnen blijven maken van de centraal opgeslagen data. Ofwel, er is behoefte aan een opslag configuratie, die de mogelijkheden van virtualisatie niet afremt. De keuze voor het gehanteerde opslag systeem wordt dan ook essentieel voor de betrouwbaarheid van het virtualisatie platform (Veldhuis & Turk, 2008). Door meerdere VM’s op één fysieke machine te draaien, waarbij één connectie naar de centrale opslag wordt gehanteerd ontstaan nieuwe risico’s wat betreft single point of failure. Indien de centrale gegevensopslag niet

--------------------------------------------------------------------------------------------------------------------------Pagina 16

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------meer bereikbaar is, wordt niet één maar een veelvoud aan virtuele servers geraakt. Er wordt dan ook aanbevolen om dergelijke connecties minimaal dubbel uit te voeren. Niet alleen uitval, maar ook de prestaties van een opslag systeem en daarmee samenhangende configuratie, kunnen grote consequenties hebben voor de beschikbaarheid van meerdere VM’s. Hierbij dient niet uitsluitend rekening gehouden te worden met de vereiste opslagcapaciteit, maar ook met het maximaal aantal I/O operaties dat per seconde kan worden uitgevoerd (Veldhuis & Turk, 2008). Er dient een uitvoerige analyse plaats te vinden van de eisen die aan het opslag systeem worden gesteld en de wijze waarop een zo optimaal mogelijk configuratie kan worden bewerkstelligd. 2.6.3 Consequenties voor infrastructuur en gebruikersbeheer Het mag duidelijk zijn, dat de introductie van virtualisatie effect heeft op de manier waarop ITinfrastructuur wordt ingericht en beheerd. Vooral het beheerproces voor toegangsbeveiliging wordt geraakt. Daarom zal voor de gewijzigde infrastructuur (lees: de gevirtualiseerde laag) een korte toegangsanalyse worden uitgevoerd. Toegang tot een ESX server kan op een viertal manieren worden verkregen. De verschillende toegangspaden verschillen op het gebied van functionaliteit en autorisatie (VMware,2006a)( InfoGard Laboratories, 2006). 1. De eerste mogelijkheid is via een remote console rechtstreeks een VM benaderen. Deze vorm is vergelijkbaar met het rechtstreeks aanroepen van een fysieke server. Middels een zogenaamde command line interface of SSH connectie kan op basis van het IP adres gebruikerstoegang worden verkregen tot een VM. Deze gebruikers worden voor de virtualisatie omgeving als nonprivileged (lage rechten) gebruikers gezien. Deze gebruikers werken namelijk binnen de grenzen van de VM en zijn niet in staat om rechten buiten deze VM te bemachtigen. Dit type gebruikers is wel in staat om een VM uit te schakelen of instellingen m.b.t. externe apparatuur te configureren. Het beheer van deze groep gebruikers verschilt bij virtualisatie niet het normale gebruikersbeheer. 2. De tweede mogelijkheid is door verbinding te maken met ESX server Service Console. Zoals eerder beschreven, vormt de Service Console het besturingsmechanisme van één ESX server. Toegang kan worden verkregen middels een command line interface of SSH connectie. Deze manier van toegang vraagt technische kennis van het onderliggende besturingssysteem van de ESX server, namelijk Linux. Uitsluitend beheerders van de ESX server of VM’s mogen over deze vorm van toegang beschikken. Het wordt afgeraden om beheer middels de Service Console uit te voeren. De service console biedt namelijk geen centrale beheerinterface en ondersteund niet alle functionaliteit. Hierdoor zijn er meerdere beheertoepassingen nodig, waardoor de kans op fouten toeneemt. 3. De derde mogelijkheid om virtuele resources te beheersen is middels een web browser. Binnen VMware wordt hiervoor een component VI Web Access gebruikt. Het voordeel van deze methode is dat er een GUI wordt aangeboden zonder lokaal een client te installeren. De VI Web Access interface biedt een overzicht van alle VM’s op een ESX server en de VirtualCenter Server. Deze interface is voornamelijk bedoeld voor het beheer van VM’s en biedt niet alle functionaliteit die door de hierna besproken VI-Client wordt geboden. De VI-web access kan tevens in combinatie met VirtualCenter worden gebruikt, waardoor niet één, maar meerdere ESX servers kunnen worden benaderd. Het moge duidelijk zijn dat toegang middels VIWeb Access dus uitsluitend is bedoeld voor beheerders van de desbetreffende VM’s. 4. De vierde mogelijkheid is middels een VI-Client. In tegenstelling tot VI-Web Access dient hiervoor wel een client lokaal te worden geïnstalleerd. De client biedt echter een uitgebreidere interface en volledige beheer functionaliteit op een ESX server. Ook de VI-Client kan in combinatie met VirtualCenter worden gebruikt, waardoor alle geautoriseerde ESX servers kunnen worden beheerd. Onderstaand figuur geeft de verschillende toegangspaden binnen een gevirtualiseerde architectuur grafische weer.

--------------------------------------------------------------------------------------------------------------------------Pagina 17


Figuur 3 VMware Infrastructure (VMware, 2006a)

Uit bovenstaande beschrijving van toegangspaden, kan geconcludeerd worden dat bij het virtualiseren van de infrastructuur een tweetal nieuwe lagen van toegangsbeveiliging worden geïntroduceerd (InfoGard Laboratories, 2006). • Virtualization Layer toegang (grote grijze blok): De eerste laag wordt gebruikt voor het verifiëren van toegang tot objecten onder de controle van de Virtualization Layer door processen handelend namens gebruikers die op de Virtualization Layer zijn ingelogd en namens gebruikers die verzoeken uitvoeren op de Virtualization Layer vanuit de VirtualCenter omgeving. • VirtualCenter toegang: de tweede laag van toegangsbeveiliging bestaat uit het verifiëren van toegang tot objecten binnen de VirtualCenter server, door processen handelend namens gebruikers die ingelogd zijn op de VirtualCenter omgeving. In dit hoofdstuk is het onderwerp ‘virtualisatie’ beschreven door aandacht te besteden aan de drijfveren en toekomstige ontwikkelingen. De keuze voor virtualisatie blijkt een grote impact te hebben op de gehele IT-infrastructuur en beheerprocessen. Om deze impact inzichtelijk te maken zijn de generieke componenten van een gevirtualiseerde infrastructuur belicht. Vanuit deze componenten zijn de gevolgen voor de infrastuctuur en beheerprocessen kort beschreven. Het hoofdstuk heeft een verkenning gegeven voor de impact op de IT-infrastructuur en enkele beheerprocessen. Deze scriptie richt zich tot het opleveren van een audit-raamwerk van nieuwe of gewijzigde beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving. In het volgende hoofdstuk zal een duidelijke scope afbakening plaatsvinden en aansluiting worden gezocht bij bestaande raamwerken.

--------------------------------------------------------------------------------------------------------------------------Pagina 18


3. IT Audit van een databaseserver omgeving In dit hoofdstuk zal aandacht worden besteed aan de auditaanpak van een databaseserver omgeving. Hierbij zal worden ingegaan op de kwaliteitsaspecten die als basis voor het te ontwikkelen raamwerk zullen worden gehanteerd. Op basis van bestaande raamwerken zullen processen worden geselecteerd die een impact hebben op de relevante kwaliteitsaspecten.

3.1

Audit aanpak

Bij een audit gaat het om de bepaling van de kwaliteit van een onderzoeksobject. Hierbij is niet altijd duidelijk wat met het begrip kwaliteit wordt bedoeld. ISO-9000 definieert kwaliteit als volgt (Van Praat & Suerink, 2004): “Kwaliteit is de mate waarin een geheel van eigenschappen en kenmerken voldoet aan eisen” Van Praat en Suerink (2004) geven aan dat de eisen die een IT-auditor hanteert voor de uitvoering van audits ook wel toetsingsnormen worden genoemd. Hierbij is het van belang dat vooraf duidelijkheid bestaat aan welke normen een onderzoekobject moet voldoen. Van Praat en Suerink (2004) wijzen erop dat binnen het vakgebied van de IT-auditor, normen niet altijd even duidelijk zijn. Het is daarom van belang een eenduidige definitie van de gehanteerde normen te gebruiken. In het Handboek EDP-Auditing (1999) gezamenlijk uitgegeven door het NIVRA en NOREA worden zeven kwaliteitsaspecten benoemd: 1. beschikbaarheid, 2. exclusiviteit, 3. integriteit, 4. controleerbaarheid, 5. doelmatigheid, 6. doeltreffendheid van informatie en 7. de bescherming van waarden (beveiliging). Eén van de standaarden voor het beoordelen van beheersmaatregelen is CobiT (Van der Beek, ea, 2009). In het CobiT-raamwerk worden ook zeven kwaliteitsaspecten onderkend. CobiT onderkent de volgende kwaliteitsaspecten 1. effectiveness, 2. efficiency, 3. confidentiality, 4. integrity, 5. availibility, 6. compliance en 7. reliability (ITGI, 2007). In het handboek EDP-Auditing en CobiT worden dus verschillende kwaliteitseisen benoemd welke overlap met elkaar vertonen. Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en “vertrouwelijkheid” (ook bekend als ‘BIV’ of in het Engels ‘CIA’) centraal. Deze drie kwaliteitsaspecten worden vaak als uitgangspunt gehanteerd voor een IT-Audit met als doel het toetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving (Huet & Staquet, 2006). De verschillende kwaliteitsaspecten kunnen elkaar aanvullen maar soms ook tegenwerken. Zoals Van Praat en Suerink (2004) illustreren met het voorbeeld dat een gebruikersvriendelijk informatiesysteem wellicht geen toegangsbeveiliging heeft aangezien wachtwoorden over het algemeen niet als gebruiksvriendelijk wordt ervaren. Dit staat echter haaks op onder andere het kwaliteitsaspect vertrouwelijkheid. In de volgende paragrafen zullen de drie ‘BIV’ kwaliteitsaspecten verder worden toegelicht: • Beschikbaarheid (Availibility); • Integriteit (Integrity); • Vertrouwelijkheid (Confidentiality). 3.1.1 Beschikbaarheid Beschikbaarheid van de informatievoorziening is voor de meeste organisaties van groot belang. Het handboek EDP-auditing (1999) definieert beschikbaarheid als volgt : “De mate waarin gegevens en IT-processen de organisatie ondersteunen op de momenten dat de organisatie dit eist.” De bedrijfsvoering komt vaak bijna helemaal stil te liggen wanneer de ICT systemen niet meer beschikbaar zijn (Snijders e.a.,1999). In CobiT (ITGI, 2007) wordt beschikbaarheid gedefinieerd als:

--------------------------------------------------------------------------------------------------------------------------Pagina 19

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------“Beschikbaarheid refereert aan informatie die beschikbaar is wanneer dit gevraagd wordt in het bedrijfsproces nu en in de toekomst. Het refereert ook aan de bescherming van de benodigde middelen en daaraan gerelateerde mogelijkheden.” De definitie van CobiT is duidelijk breder dan de definitie zoals gehanteerd door het handboek EDPauditing. Binnen CobiT wordt ook op de continuïteit van beschikbaarheid gedoeld en raakt daarmee processen als continuïteitsmanagement. Binnen dit onderzoek zal de definitie van CobiT worden gehanteerd. 3.1.2 Integriteit In het handboek EDP-auditing (1999) wordt het kenmerk integriteit beschreven als de zekerheid of betrouwbaarheid van de informatievoorziening in organisaties. De integriteit van de informatievoorziening bestaat uit drie onderdelen. De data (stamgegevens), transacties en parameters in de databases en de formules en rekenregels in de programmatuur. Integriteit wordt door CobiT (ITGI, 2007) als volgt beschreven; “Integriteit refereert aan de nauwkeurigheid en volledigheid van informatie en tevens aan de geldigheid van de informatie in relatie met bedrijfswaarden en verwachtingen.” 3.1.3 Vertrouwelijkheid Met vertrouwelijkheid van de informatievoorziening wordt de beperking van bevoegdheden en de mogelijkheden van het raadplegen, wijzigen, afdrukken of kopiëren van gegevens tot een geautoriseerde groep van gebruikers. Hiermee wordt niet alleen de gegevens in de databases bedoeld maar ook toegang tot systeemsoftware, applicatiesoftware, etc. (Handboek EDP-auditing, 1999). CobiT (ITGI,2007) beschrijft vertrouwelijkheid als volgt: “Vertrouwelijkheid gaat over de bescherming van gevoelige informatie tegen ongeautoriseerde openbaarmaking.” In de definitie van CobiT komt weliswaar niet een expliciete verwijzing voor van de objecten waar vertrouwelijkheid betrekking op heeft, maar binnen het CobiT-raamwerk wordt vertrouwelijkheid geprojecteerd tegen de objecten: infrastructuur, applicaties, informatie en personen. Een database valt hierbij onder het object ‘applicatie’.

3.2

IT beheersmaatregelraamwerken

Voor het uitvoeren van een audit op een IT-omgeving bestaan verschillende beheersmaatregel raamwerken die zijn op gesteld door verschillende organisaties. Enkele algemeen erkende standaarden zijn ontwikkeld door ISO(International Organization for Standardization), NIST (National Institute of Standards and Technology), ISF(Information Security Forum) en ISACA (Information Systems Audit and Control Association)(Van der Beek e.a., 2009). Daarnaast hebben de meeste (accountant) organisaties een eigen raamwerk voor het toetsen van de algemene IT-beheersmaatregelen. Vaak zijn deze raamwerken een afgeleide van één of meerdere door o.a. bovengenoemde organisaties gepubliceerde raamwerken. Hewlett-Packard Development Company (HP) heeft onderzoek gedaan naar de ITbeheersmaatregelen die in binnen een standaard (niet gevirtualiseerd) datacenter audit worden getoetst en de impact van virtualisatie hierop. Door HP worden de volgende drie gebieden onderkend (Baldwin e.a., 2008): • Data Centre Operations, dit gebied omvat de beveiliging van het datacentrum, operations management, incident en service beheer en continuïteit; • Data Centre Services, dit gebied omvat het beheer van de Active Directory, gebruikersbeheer, beveiliging, back-up en configuratiemanagement; • Servers, dit gebied omvat antivirus maatregelen, patchbeheer, wachtwoordinstellingen, wijzigingsbeheer en capaciteitsbeheer.

--------------------------------------------------------------------------------------------------------------------------Pagina 20

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Ook binnen Deloitte Enterprise Risk Services (ERS) wordt een gestandaardiseerd beheersmaatregelraamwerk gehanteerd voor het toetsen van de algemene IT-beheersmaatregelen bij organisaties. Dit raamwerk is opgedeeld in drie subprocessen; • Datacentrum en netwerk activiteiten, dit gebied omvat het beheer en monitoren van interfaces, batchjobs en de IT-omgeving, continuïteitsmaatregelen en fysieke toegangsbeveiliging; • Informatiebeveiliging, dit gebied omvat het gebruikersbeheer, beveiligingsinstellingen zoals wachtwoorden en logging, patchbeheer en antivirus maatregelen; • Wijzigingsbeheer, dit gebied omvat de maatregelen en processen die wijzigingen ten aanzien van applicaties, databases, besturingssystemen en netwerkcomponenten te maken hebben. Het IT-beheersmaatregelenraamwerk van Deloitte is gebaseerd op de beheerprocessen zoals gedefinieerd door ITIL, beheersmaatregelen zoals gedefinieerd door CobiT en haar eigen kennis en ervaring met betrekking tot ‘best practice’ standaarden. De raamwerken van Deloitte en HP vertonen veel overeenkomsten ten aanzien van de beheersmaatregelen. De verschillen zitten voornamelijk in de indeling van de verschillende gebieden. Qua diepgang behandelen beide raamwerken dezelfde risico’s. In een onderzoek van Van der Beek ea. (2009) worden vier standaarden (ISO 27002, NIST SP 80053, ISF Standaard of Good Practice en CobiT 4.1) met elkaar vergeleken op verschillende criteria. De vergelijking die in het onderzoek wordt gemaakt is opgenomen in bijlage 5. Zoals in de tabel in bijlage 5 wordt weergeven richt CobiT zich qua breedte op de beheersing van de IT-omgeving in het algemeen. Het model richt zich hierbij op het strategische en tactische niveau. De operationele processen worden niet uitgewerkt. De andere door Van der Beek e.a. (2009) onderzochte modellen, zoals NIST en ISO, richten zich juist meer op het tactisch en operationele niveau. Een ander algemeen erkend raamwerk voor het inrichten en beoordelen van de IT-beheerprocessen is ITIL (IT Infrastructure Libary). Een onderzoek van Stevens e.a.(2006) toont aan dat CobiT en ITIL elkaar op verschillende vlakken aanvullen en elkaar niet uitsluiten. Volgens het onderzoek is CobiT een raamwerk dat alle IT-processen bevat en best-practices uit de verschillende (IT)vakgebieden combineert. Hierbij wordt aangegeven dat CobiT sterk is in de generiekheid en volledigheid van alle IT-processen. ITIL richt zich volgens het onderzoek meer op de operationele activiteiten van (IT) service management. Het onderzoek vat dit samen door te stellen dat CobiT volledig en juist definieert wat moet gebeuren en minder op welke wijze dit moet plaatsvinden. Uit de verschillende onderzoeken blijkt dat de behandelde modellen enige overlap met elkaar vertonen, waarbij CobiT de grootste reikwijdte lijkt te hebben (breedte). De ander modellen gaan vaak dieper in op het (deel) gebied van hun onderwerp (operationeel). Grafisch wordt dit voor een aantal modellen in Figuur 4 gevisualiseerd. Derksen en Noordam (2008) merken hierbij op dat CobiT inderdaad als zijnde breed gekwalificeerd kan worden ten opzichte van andere hierin opgenomen kwaliteitsmodellen. Echter dit geldt dan voor het vakgebied IT vanuit een audit perspectief. De breedte en diepgang van CobiT sluit aan op de doelstelling van deze scriptie, namelijk het opstellen van een IT-beheersmaatregelraamwerk. Hierbij ligt de nadruk op het afdekken van risico’s in plaats van een gedetailleerde uitwerking van het operationele proces. Het CobiT-raamwerk is derhalve breed geaccepteerd binnen het vakgebied van IT-auditors (Van der Beek e.a., 2009). Verder zijn de CobiTprocessen gekoppeld aan verschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoek centraal staan.

--------------------------------------------------------------------------------------------------------------------------Pagina 21


Figuur 4 IT-governance en managementmodellen in breedt en diepte (Derksen & Noordam, 2008)

Op basis van de uitgevoerde analyse van beschikbare referentie modellen is besloten dat voor dit onderzoek CobiT als kapstok zal dienen waaraan de geïdentificeerde risico’s en beheersmaatregelen worden opgehangen. Wanneer het voor dit onderzoek nodig is zal voor de diepte en uitwerking van de verschillende processen aanvullende raamwerken waaronder ITIL worden geraadpleegd. Het CobiT (Control Objectives for Information and related Technology) raamwerk is ontwikkeld door ISACA en ITGI (IT Governance Institute). In de laatste editie, versie 4.1(CobiT 4.1, ITGI), worden 171 beheersmaatregelen beschreven verdeeld over 34 processen welke zijn opgenomen in een van de vier onderkende domeinen, te weten; • Plan and Organize; • Acquire and implement; • Deliver and support; • Monitor and Evaluate. In het CobiT-raamwerk wordt voor elk proces aangegeven of deze wel of geen primaire dan wel secundaire impact heeft op een of meerdere van de volgende kwaliteitsaspecten: • Effectiveness; • Efficiency; • Confidentiality; • Integrity; • Availibility; • Compliance; • Reliability. Een overzicht van de 4 domeinen met de 34 processen is opgenomen in bijlage 2. Hierin is tevens aangegeven op welke kwaliteitsaspecten het proces een primaire (P) of secundaire (S) impact heeft. In de voorgaande paragraaf is aangegeven dat deze scriptie zich richt op de kwaliteitsaspecten beschikbaarheid (Availibility), integriteit (Integrity) en vertrouwelijkheid(Confidentiality). Op basis van CobiT versie 4.1 is vastgesteld dat de volgende processen direct (Primair) worden beïnvloed door de geselecteerde kwaliteitsaspecten (ITGI, 2007): • Define the information architecture(PO02); --------------------------------------------------------------------------------------------------------------------------Pagina 22

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------• • • • • •

Assess and manage IT risks(PO09); Manage changes(AI06); Ensure continuous service(DS04); Ensure systems security(DS05); Manage data(DS11); Manage the physical environment(DS12).

Om de volledigheid van de geselecteerde processen te verifiëren zijn de geselecteerde processen vergeleken met de raamwerken van Deloitte en HP. Het blijkt dat deze raamwerken ook aandacht besteden aan capaciteit- en configuratiebeheer (Baldwin, 2008). Bij de beschrijving van de virtualisatie architectuur (hoofdstuk 2), is gewezen op het feit dat virtualisatie vaak leidt tot een consolidatie van meerdere logische VM’s op één fysieke machine (apparatuur). De fysiek beschikbare resources moeten worden verdeeld over de hierop draaiende VM’s. Er vindt dus een verdeling van resources plaats na gelang van de beschikbare capaciteit en dit beïnvloed de performance van de afzonderlijke VM’s. Juist de impact hiervan voor een databaseserver is beschreven aangezien dit type applicatie zich vaak kenmerkt vanwege hoge performance eisen. Het beheersen van prestaties en capaciteit verdient dus extra aandacht in een gevritualiseerde infrastructuur. Een ander virtualisatie kenmerk dat reeds in hoofdstuk 2 is beschreven is de flexibiliteit van de infrastructuur. Een voorheen fysieke machine, netwerk en opslag worden gevirtualiseerd. Natuurlijk blijft er nog een fysiek component over, namelijk de onderliggende resource, maar het beheer zal voornamelijk betrekking hebben op virtuele componenten. Een voordeel van deze virtuele componenten is de flexibiliteit, zoals bijvoorbeeld het verplaatsen van het ene naar de andere virtualisatie platform. Dit heeft grote gevolgen voor IT-beheer wat betreft het bijhouden van de actuele configuratie van de IT-infrastructuur, beter bekend als configuratiemanagement. Het is namelijk van belang om continu in beeld te hebben op welke wijze de omgeving is ingericht en ingesteld (Hietala, 2009). Deze twee constateringen zijn besproken met verschillende virtualisatie professionals (zie bijlage 4). Ook vanuit deze gesprekken komt naar voren dat deze twee beheerprocessen essentieel zijn voor de kwaliteitsaspecten ‘BIV’. Er is daarom besloten om twee additionele processen toe te voegen aan de lijst van relevante IT-beheerprocessen. Het gaat hierbij om de volgende CobiT-processen, deze processen raken volgens CobiT het kwaliteitsaspect beschikbaarheid indirect (Secundair): • Manage performance and capacity(DS03); • Manage the configuration(DS09). De totale lijst met processen die zullen worden meegenomen in ons onderzoek bestaat uit de volgende CobiT-processen: • Define the information architecture(PO02); • Assess and manage IT risks(PO09); • Manage changes(AI06); • Manage performance and capacity(DS03); • Ensure continuous service(DS04); • Ensure systems security(DS05); • Manage the configuration(DS09); • Manage data(DS11); • Manage the physical environment(DS12). Voor deze negen processen zullen in het volgende hoofdstuk specifieke risico’s worden geïdentificeerd en de noodzakelijke beheersmaatregelen worden gedefinieerd.

--------------------------------------------------------------------------------------------------------------------------Pagina 23


--------------------------------------------------------------------------------------------------------------------------Pagina 24


4. Delta identificatie voor ITbeheerprocessen bij virtualisatie In dit hoofdstuk zullen de wijzigingen op IT-beheersmaatregelen voor de geselecteerde CobiTprocessen worden geïdentificeerd en besproken. Het totaal van geïdentificeerde wijzigingen wordt de “Delta”genoemd. Elk CobiT-proces zal in een afzonderlijke sectie worden uitgelicht. Hierbij zal eerst het proces kort worden besproken en de beheersdoelstelling van het proces worden beschreven, waarna de standaard CobiT-beheersmaatregelen worden weergegeven. Een volledige beschrijving van beheersmaatregelen voor de geselecteerde processen is opgenomen in bijlage 3. Deze scriptie gaat in op de zogenaamde ‘delta’ tussen het bestaande CobiT-raamwerk en de specifieke risico’s die het virtualiseren van databaseserver omgevingen met zich meebrengt. Aan het eind van elke (sub) paragraaf zullen de gewijzigde beheersmaatregelen worden samengevat in een tabel. Hierin wordt voor nieuwe of gewijzigde beheersmaatregelen (delta) aangegeven op welke CobiTbeheersmaatregelen de wijziging betrekking heeft.

4.1

Define the information architecture (PO02)

De informatie-architectuur wordt binnen het CobiT-raamwerk behandeld in het proces “PO2 Define the information architecture”. Dit proces is erop gericht om de informatie systemen conform de bedrijfsstrategie in te richten en ervoor te zorgen dat de gegevens consistent en conform het beveiligingsbeleid (afgeleid van de ‘business risk appetite’, oftewel het risico dat de organisatie accepteert) worden opgeslagen en beschikbaar gesteld. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007): “Er bestaat een beheerst proces voor het vaststellen van de informatie-architectuur. Hiermee kan adequaat worden ingespeeld op de gestelde eisen, kan betrouwbare en consistente informatie worden geleverd en kunnen applicaties worden geïntegreerd in de bedrijfsprocessen.” Vanuit CobiT worden een viertal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd. Een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven; • PO2.1 Enterprise Information Architecture Model; • PO2.2 Enterprise Data Dictionary and Data Syntax Rules; • PO2.3 Data Classification Scheme; • PO2.4 Integrity Management. Voorafgaande aan het verder analyseren van de specifieke risico’s voor de beheersmaatregelen binnen dit proces, zal er een definitie voor de informatie-architectuur worden gegeven. “De informatie-architectuur schetst de informationele contouren om een organisatie te voorzien van informatie die zij nodigt heeft. Informatie-architectuur heeft betrekking op twee architectuurdomeinen: (i) de informatie die belangrijk is voor het functioneren van een organisatie en (ii) de applicaties die ervoor zorgen dat de informatie gedistribueerd wordt binnen de organisatie”(Wagter e.a. 2005).” Zoals uit definitie blijkt heeft het proces “PO2 Define the information architecture” invloed op de informatie(voorziening) en applicaties van een organisatie. In CobiT 4.1 (ITGI, 2007) worden de aspecten aangegeven waarop een proces betrekking heeft,bestaande uit “people”, “applications”, “technology”, “facilities” en “data”.Voor het proces “PO2 Define the information architecture” wordt aangegeven dat er geen relatie bestaat ten opzichte van de technologie. Tijdens het het onderzoek is er voor virtualisatie dan ook geen delta geïdentificeerd ten aanzien van dit proces.

--------------------------------------------------------------------------------------------------------------------------Pagina 25


4.2

Assess and manage IT risks (PO09)

IT-risicomanagement wordt binnen het CobiT-raamwerk behandeld in het proces “PO9 Assess and Manage IT Risks”. Dit proces is erop gericht dat een organisatie een duidelijk proces heeft geïmplementeerd voor risicobeheersing. Dit betekent dat (IT)risico’s worden geïdentificeerd, geanalyseerd, beoordeeld en overwogen maatregelen worden geïmplementeerd. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007); “Er bestaat een beheerst proces voor IT-risico identificatie, beoordeling en beheersing. Alle ITrisico’s en mogelijke impact op de processen en doelen van een organisatie worden onderzocht en binnen de organisatie gedeeld.” Binnen CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven. • PO9.1 IT Risk Management Framework; • PO9.2 Establishment of Risk Context; • PO9.3 Event Identification; • PO9.4 Risk Assessment; • PO9.5 Risk Response; • PO9.6 Maintenance and Monitoring of a Risk Action Plan. Virtualisatie van (database) servers heeft een kleine impact op de vereiste beheersmaatregelen van ITrisicomanagement. De impact van virtualisatie komt voort uit de additionele complexiteit die virtualisatie met zich mee brengt. Hiermee worden nieuwe risico’s geïntroduceerd ten aanzien van de (IT) organisatie, de automatiseringsomgeving en de (IT) beheerprocessen. Het is belangrijk dat de geïntroduceerde virtualisatielaag ook wordt meegenomen in de beheersmaatregelen met betrekking tot IT-risico’s (Dutton, 2007)(Behnia & Wrobel, 2009). Hierbij is het belangrijk om de risico’s van virtualisatie op bedrijfsproces niveau te beoordelen en te mitigeren tot een geaccepteerd niveau voor deze bedrijfsprocessen (niet IT gedreven)(Ranada, 2009). Experts geven aan dat wanneer de risico’s van virtuele (database)servers niet worden beheerst, de voordelen van de virtuele omgeving zullen worden overtroffen (Melançon, 2008). Hierbij is het tevens van belang om bij het uitvoeren van de risicoanalyse experts op het gebied van (database)servervirtualisatie te betrekken zodat de bedreigingen, risico’s, maatregelen en inschattingen (impact en waarschijnlijkheid gerelateerd aan het voordoen van het risico) in de juiste context worden geanalyseerd. De experts dienen kennis te hebben van het gebruikte virtualisatieproces en de impact op de verschillende (virtuele) onderdelen adequaat in te kunnen schatten. Hierbij dient de impact voor de volgende onderdelen van een virtuele omgeving worden bepaald: • Virtual Machine (VM); • Service Console; • VirtualCenter; • Virtualization Layer; • Virtual network; • Virtual Storage;

--------------------------------------------------------------------------------------------------------------------------Pagina 26

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel. Referentie

Referentie CobiTbeheersmaatregel

Geïdentificeerde beheersmaatregel t.b.v. virtualisatie

RM-01

PO9.1 IT Risk Management Framework

RM-02

PO9.2 Establishment of Risk Context

RM-03

PO9.3 Event Identification

In het IT-risicomanagement raamwerk wordt aandacht besteed aan de risico’s voor virtualisatie van (database) servers en de impact hiervan op de bedrijfsprocessen, (virtuele) infrastructuur en (IT) beheerprocessen. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage Bij het vaststellen van de risico context voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur dient expertise op het gebied van (database)server virtualisatie aanwezig te zijn. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage Er bestaat een periodiek proces voor het identificeren van de bedreigingen voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur. Hierbij moeten de specifieke bedreigingen van een virtuele omgeving worden meegenomen en is expertise op het gebied van (database)server virtualisatie betrokken. De volgende onderdelen van een virtuele omgeving moeten hierin in iedergeval worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage

--------------------------------------------------------------------------------------------------------------------------Pagina 27

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Referentie



RM-04

PO9.4 Risk Assessment

RM-05

PO9.5 Risk Response

Bij het uitvoeren van de risicoanalyse voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur dient expertise op het gebied van (database)server virtualisatie te worden betrokken. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage De maatregelen om de risico’s voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur worden met inhoudelijke experts en verantwoordelijken in de organisatie besproken. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage Er bestaat een geïntegreerde aanpak waarbij tevens deskundigen op het gebied van virtualisatie zijn betrokken.

4.3

Manage changes (AI06)

Het wijzigingsbeheer wordt binnen het CobiT-raamwerk behandeld in het proces “AI06 Manage changes”. Dit proces is erop gericht om wijzigingen op de hardware, besturingssystemen, storage, netwerken en applicaties op een beheerste wijze uit te voeren. Het doel hiervan is om een, eventuele, negatieve impact op de productieomgeving tot een minimum te beperken. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007); “Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.” Vanuit CobiT worden een vijftal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven; • AI6.1 Change Standards and Procedures; • AI6.2 Impact Assessment, Prioritization and Authorization; • AI6.3 Emergency Changes; • AI6.4 Change Status Tracking and Reporting; • AI6.5 Change Closure and Documentation. Wanneer organisaties gebruik maken van databaseserver virtualisatie wordt het veel eenvoudiger om snel een nieuwe databaseserver aan te maken. De actie blijft immers beperkt tot het activeren van een --------------------------------------------------------------------------------------------------------------------------Pagina 28

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------VM image, veelal uitgewerkt in templates. In een niet gevirtualiseerde omgeving dient namelijk eerst nieuwe hardware te worden aangeschaft en ingericht wat vaak enige tijd in beslag neemt. Hierdoor kan het aanmaken van een virtuele (database)server voor de organisatie aanvoelen als een “gratis en eindeloze resource”. Echter wanneer een groot aantal virtuele (database)servers worden aangemaakt kan de capaciteit van de fysieke (host) server snel worden bereikt of gaat dit ten koste van de beschikbare capaciteit van andere VM’s. Om dit te voorkomen is het belangrijk om een wijzigingsprocedure op te stellen voor het aanmaken van nieuwe (database) servers die onder andere rekening houdt met de maximale capaciteit en prestaties van het host systeem. Deze procedure moet toezien op het aanmaken van nieuwe (database) servers zodat de rest van de omgeving geen hinder ondervindt van de nieuwe server. (Clavister, 2009)(Hau & Araujo, 2007)(Haight & Colville, 2010). Hiermee raakt het wijzigingsproces het CobiT-proces “Manage performance and capacity (DS03)”. Verschillende onderzoekers (Haigth, 2008)(Olsen, 2009)(Hietala, 2009) geven aan dat de wijzigingsprocedure voor virtuele omgeving in ieder geval de volgende activiteiten moet afdekken; • Aanpassen van de parameters van het platform waarop de virtuele (database) servers werken; • Toevoegen van een nieuwe (database)server aan de omgeving; • Wijzigen in de templates voor de Virtuele Machine’s; • In en uitschakelen van de virtuele (database) servers; • Het migreren van een virtuele (database)server tussen fysieke servers. Virtualisatie brengt de mogelijkheid met zich mee om (database) servers over verschillende fysieke servers te verplaatsen. Hiermee kunnen de verschillende VM’s worden verdeeld over de capaciteit van de verschillende fysieke servers. Dit proces kan volledig worden geautomatiseerd. Hiervoor dienen parameters te worden ingesteld, wanneer een VM moet worden verplaatst en waar deze naar toe mag worden verplaatst, conform de BIV classificatie. Het instellen en wijzigen van deze parameters dient onderdeel te zijn van de wijzigingsprocedure (Lowe, 2008). Op basis van interviews met professionals komt naar voren dat de wijze waarop wijzigingen op virtuele servers worden doorgevoerd verschillen van een niet gevirtualiseerde omgeving. In een niet gevirtualiseerde omgeving wordt een wijziging op een acceptatie omgeving geïnstalleerd en wanneer deze is getest en goed bevonden in de productieomgeving geïnstalleerd. Wijzigingen in virtuele omgevingen worden niet altijd op deze wijze in de productieomgeving geplaatst. Servervirtualisatie brengt een nieuwe mogelijkheid voor het doorvoeren van wijzigingen met zich mee. Uit interviews komt naar voren dat in plaats van het overzetten van geteste wijzigingen er bij virtualisatie de gehele logische server (lees: VM) kan worden overgezet tussen OTAP omgeving. Als organisaties hiervoor kiezen is het van belang dat de classificatie, autorisaties en (beveiligings)instellingen van de server die wordt verplaatst correct zijn aangepast, voordat deze in de andere omgeving wordt geplaatst. Aan een server in een acceptatie omgeving kunnen andere eisen worden gesteld ten aanzien van de kwaliteitsaspecten, dan een server in de productieomgeving. Daarnaast verschillen de toegangsrechten tot een productieomgeving waarschijnlijk van de rechten op een acceptatieomgeving en kunnen de (beveiligings)instellingen ook verschillen. Het verplaatsen van een gehele server (VM) kan alleen beheerst verlopen wanneer het verschil tussen de virtuele server in de acceptatie- en productieomgeving gelijk is aan de geteste wijziging, of wanneer het een geheel nieuwe server betreft. Deze verificatie dient voordat de server in de productieomgeving wordt geplaatst te worden beoordeeld voor zowel de applicatie, besturingssysteem als VM laag. Uit interviews komt naar voren dat hiervoor momenteel nog weinig ondersteundende tooling voor beschikbaar is. Aangezien het hierbij om veel instellingen gaat, kan het erg lastig zijn om alle wijzigingen inzichtelijk te krijgen. Zolang dergelijke tooling ontbreekt en wijzigingen inzichtelijk kunnen worden gemaakt is het niet --------------------------------------------------------------------------------------------------------------------------Pagina 29

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------wenselijk dat VM’s van een acceptatie naar een productie omgeving worden gemigreerd. Wanneer een organisatie ervoor kiest om dit wel te doen dienen additionele maatregelen te worden genomen om de risico’s die dit proces met zich meebrengt te mitigeren. Een nieuw fenomeen dat virtualisatie met zich meebrengt zijn appliances. Dit zijn voorgeconfigureerde VM’s waarop een bepaalde applicatie reeds is geïnstalleerd. Deze kunnen bijvoorbeeld via internet worden aangeschaft door een organisatie. De implementatie van een appliance dient uiteraard het wijzigingsproces te volgen waarbij de appliance eerst in een acceptatieomgeving wordt getest. Hierbij dient de organisatie tevens te beoordelen of de appliance geen malware of andere gevaarlijke elementen bevat. Daarnaast dient de organisatie de applicance op een dusdanige wijze aan te passen, zodat deze voldoet aan de BIV eisen die de organisatie aan een dergelijke VM stelt (McAfee, 2007) (Aboulnaga e.a., 2009). Gerelateerd aan het overzetten van een VM van de ene omgeving naar een andere of het restoren van een VM uit een back-up is een fenomeen wat in de theorie “localization” wordt genoemd. Wanneer een (database)server wordt aangemaakt, teruggezet van een back-up of vanuit een acceptatieomgeving in een productieomgeving wordt geplaatst, moet de VM een eigen identiteit krijgen. Een identiteit bestaat uit een MAC adres, een IP adres, en een host naam. Sommige database systemen vereisen dat elke instantie een unieke naam heeft, waarbij deze soms is gebaseerd op het IP adres of de naam van de host. De meeste virtualisatiesoftware biedt vaak wel ondersteuning voor het aanpassen van de gegevens van de VM, maar niet voor het aanpassen van de database instantie. Dit betekent dat de wijzigingsprocedure hierin dient te voorzien, zodat de database instantie wordt aangepast aan de instellingen van de VM (Aboulnaga e.a., 2009). Het scheiden van omgevingen krijgt bij virtualisatie een andere invulling. Een fysieke host zou namelijk zowel ontwikkel als productie VM’s kunnen bevatten. Een onderzoek van Klaver (2008) toont aan dat de OTAP (ontwikkel, test, acceptatie en productie) omgevingen voor database- en applicatieservers als de OTAP omgevingen ten aanzien van de virtuele tussenlaag (virtualization layer) gescheiden dienen te zijn. Wanneer een organisatie zelf geen wijzigingen ontwikkeld voor de virtuele laag kan de organisatie volstaan met minimaal 2 fysiek gescheiden omgevingen. Dit wordt onderschreven in een whitepaper van Hau en Araujo (2007), waarin wordt aangegeven dat wijzigingen aan de virtualisation layer, hoe klein deze ook lijken, altijd in een gescheiden omgeving moeten worden getest aangezien de impact van een dergelijke wijziging erg groot kan zijn. Daarnaast dienen de OTA omgevingen van de VM’s op een fysieke test/acceptatie server te staan en de productie VM’s op de fysieke productie server. Op deze manier wordt voorkomen dat problemen in de OTA omgevingen een negatieve impact hebben op de productie VM’s. Wanneer wijzigingen aan de VM’s of applicaties in de acceptatie omgeving worden getest dient de virtuele tussenlaag over hetzelfde patchniveau te beschikken als de virtuele tussenlaag in de productieomgeving. Alleen dan kan er over een representatieve test worden gesproken. Leveranciers voor software en besturingssystemen brengen over het algemeen met enige regelmaat patches uit om nieuwe functionaliteit te introduceren en ontdekte beveiligingslekken en problemen te verhelpen. Dit is voor de virtualisatiesoftware niet anders. Patchmanagement voor virtualisatiesoftware kent voor en nadelen. Een nadeel van het updaten van de virtualisatiesoftware is de grote impact die de wijziging kan hebben. De wijziging heeft een impact op de verschillende virtuele servers die hierop functioneren vooral wanneer een herstart nodig is. Aan de andere kant biedt virtualisatie mogelijkheden om de organisatie niet te hinderen wanneer de virtualisatiesoftware wordt geüpdate en een eventuele herstart nodig is. De virtuele servers kunnen namelijk (tijdelijk) worden verplaatst naar een andere host zodat deze gewoon kunnen blijven functioneren. Desondanks dienen --------------------------------------------------------------------------------------------------------------------------Pagina 30

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------patches het normale wijzigingsproces te volgen. Tevens dienen servers die vanuit een back-up worden terug geplaatst te worden voorzien van de laatste patches, hierop wordt dieper ingegaan in paragraaf 4.8 Manage data (DS11) (Hietala, 2009). Wijzigingen in het netwerk, opslag of de locatie van een virtuele server kunnen tot gevolg hebben dat de server geen contact met andere onderdelen van de automatiseringsomgeving kan maken of dat de server niet meer kan worden bereikt. Bij het verplaatsen van virtuele servers, virtuele netwerkcomponenten of andere onderdelen van de virtuele-infrastructuur moet rekening worden gehouden dat de data verzoeken juist worden gerouteerd (Aboulnaga e.a., 2009). In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor change management van een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiTbeheersmaatregel. Referentie



CM-01

AI6.1 Change Standards and Procedures

De wijzigingsprocedure dient invulling te geven aan de volgende activiteiten; • Wijzigen van de parameters van het platform waarop de virtuele (database) servers werken; • Toevoegen van een nieuwe (database)server aan de omgeving; • Wijzigen in de templates voor de Virtuele Machine’s; • In en uitschakelen van de virtuele (database) servers; • Het migreren van een virtuele (database)server tussen fysieke servers; • •

CM-02


CM-03


CM-04


Het updaten (patchen) van de virtuele software; Wijzigingen aan de instellingen voor het geautomatiseerd verplaatsen van VM’s. Alle wijzigingen en patches voor de tussenlaag (virtualization layer) moeten worden getest in een fysiek gescheiden omgeving. De ontwikkel, test en acceptatie VM’s worden gehost op een server die fysiek gescheiden is van de omgeving waar de productie VM’s op worden gehost. De wijzigingsprocedure voorziet erin dat virtuele servers (VM’s) niet van de acceptatie naar de productie omgeving(of tussen andere omgevingen) mogen worden verplaatst. Wanneer een organisatie ervoor kiest om dit wel te doen dient de organisatie additionele beheersmaatregelen te treffen; • Voordat virtuele servers van de acceptatieomgeving in de productieomgeving worden geplaatst moeten alle relevante (beveiligings)instellingen, autorisaties en classificaties worden aangepast aan de eisen die worden gesteld ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid. • De organisatie dient vast te stellen dat de VM’s alleen verschillen ten aanzien van de geautoriseerde (applicatie of database) wijziging en dat er geen andere verschillen aanwezig zijn.

--------------------------------------------------------------------------------------------------------------------------Pagina 31




CM-05


CM-06


CM-07

AI6.2 Impact Assessment, Prioritization and Authorization AI6.2 Impact Assessment, Prioritization and Authorization AI6.2 Impact Assessment, Prioritization and Authorization AI6.2 Impact Assessment, Prioritization and Authorization

De wijzigingsprocedure moet erop gericht zijn dat bij het aanmaken, restoren of verplaatsen van virtuele databaseservers de database instantie wordt aangepast aan de identiteit van de virtuele server. De wijzigingsprocedure moet erin voorzien dat wanneer de organisatie een appliance van de acceptatie naar de productieomgeving gaat verplaatsen deze aan alle eisen die worden gesteld ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid voldoet. Voordat een VM naar een fysieke andere host wordt verplaatst moet worden vastgesteld dat de configuratie en patchniveau van de virtuele lagen op de verschillende fysieke hosts gelijk is.

CM-08

CM-09

CM-10

4.4

De wijzigingsprocedure moet erin voorzien dat de impact van de wijziging op de totale capaciteit en prestaties van de fysieke host wordt bepaald en beoordeeld. De wijzigingsprocedure dient erin te voorzien dat bij het verplaatsen van een (database)server of ander IT-component de dataverzoeken ook juist gerouteerd worden. Voordat een appliance van de acceptatie naar de productieomgeving wordt verplaatst dient de organisatie vast te stellen dat de appliance geen malware of andere gevaarlijke elementen bevat.

Manage performance and capacity (DS03)

Prestatie en capaciteit management wordt binnen het CobiT-raamwerk behandeld in het proces “DS3 Manage Performance and Capacity”. Het proces bestaat uit een review component om inzicht te verkrijgen in de huidige status van geleverde prestaties en capaciteit verbruik. Daarnaast wordt er door CobiT gesproken over een voorspellend proces. De ontwikkeling van de geleverde performance en capaciteitsverbruik dienen inzichtelijk te zijn. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007); “Er bestaat een beheerst proces voor het monitoren van de prestaties en capaciteit van de automatiseringomgeving. Hierbij worden de prestaties en capaciteit van de automatiseringomgeving geoptimaliseerd voor de eisen van de organisatie.” CobiT onderkent hiervoor een vijftal beheersmaatregelen welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven: • DS3.1 Performance and Capacity Planning; • DS3.2 Current Performance and Capacity; • DS3.3 Future Performance and Capacity; • DS3.4 IT Resources Availability; • DS3.5 Monitoring and Reporting. Voorafgaande aan de introductie van virtualisatie werd IT vaak bekeken als een verzameling van onafhankelijke fysieke servers, in plaats van een samenhangende infrastructuur. Op elke server stond een applicatie die in de lucht werd gehouden en waarbij weinig afhankelijkheid bestond met de rest van de infrastructuur. Met de introductie van virtualisatie is deze beperkte blik niet meer toereikend. --------------------------------------------------------------------------------------------------------------------------Pagina 32

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Zonder prestatie- en capaciteitsplanning zullen de geschetste voordelen van virtualisatie zoals beschreven in hoofdstuk 2 (o.a. flexibiliteit en verhoogde beschikbaarheid) niet kunnen worden gehaald. Bij virtualisatie zal een virtuele server diverse typen resources moeten delen met legio andere servers, waardoor er een geïntegreerde aanpak wordt vereist. Vaak blijft deze geïntegreerde aanpak in de praktijk beperkt tot een initiële voorspelling van het aantal VM’s dat op een fysieke machine kan draaien, maar meestal blijft het daarbij. Het is echter van belang te realiseren dat een virtuele-infrastructuur uit een geïntegreerde verzameling van componenten bestaat. Al deze losse componenten moeten naar behoren samenwerken om een optimale performance te bewerkstelligen. Binnen een virtuele-infrastructuur zijn vier kritieke componenten te onderscheiden namelijk: CPU, geheugen, opslag en netwerk (Scalzo, 2009). Zoals eerder beschreven dient hierbij niet het type applicatie (bijvoorbeeld een databaseserver) bepalend te zijn om wel of niet te virtualiseren. Er moet worden gekeken naar de prestatie en capaciteitsindicatoren van een VM proces, voor de componenten CPU, geheugen, opslag en netwerk (AMD, 2008). Binnen een gevirtualiseerde omgeving zal meestal een veelvoud aan VM draaien. Het is dus juist van belang ook de prestatie- en capaciteitsindicatoren van een verzameling VM processen te monitoren (AMD, 2008) (Wininger, 2009). De noodzaak van prestatie- en capaciteitsmanagement wordt alleen maar groter, realiserende dat bedrijven juist een hogere gebruiksgraad willen bereiken (meer VM’s op één fysieke host). Dit betekent dat de noodzaak tot sturing en beheersing van prestaties en capaciteit alleen maar zal toenemen binnen een virtuele-infrastructuur. Er zullen daarom onder en bovengrenzen moeten worden ingesteld voor de beschikbare resources. Keuzes beïnvloeden niet meer één VM, maar ook andere VM’s, de fysieke server en niet te vergeten andere fysieke servers binnen het cluster (Wininger, 2009). Om bovenstaande uitdagingen het hoofd te bieden, zal een zogenaamd referentiekader moeten worden opgebouwd wat inzicht verschaft in de geleverde prestatie en gebruikte capaciteit voor momenten dat er een hoge als lage belasting bestaat. Dit referentiekader moet een beheerder inzicht geven over het gedrag van afzonderlijke componenten, maar tevens een geïntegreerd beeld over de geleverde prestaties en gebruikte capaciteit van het gehele systeem. Pas als men over dergelijke historische referentiekaders beschikt is men in staat te reageren op de veranderende situatie (vertoond een VM afwijkend gedrag, is het structureel of tijdelijk van aard, vormt het een bedreiging voor de beschikbare capaciteit). Door het verkrijgen van dergelijk geïntegreerd inzicht kunnen beheerders steeds beter proactief reageren op afwijkend gedrag en passende maatregelen nemen (Wininger, 2009)(AMD, 2008). Wininger (2009) onderkent vier essentiële niveaus waarvoor periodieke monitoring moet worden toegepast: • Virtual Machines: Zorgvuldig moet de optimale verdeling van resources worden bepaald voor de VM’s draaiende op een fysieke machine. Hierbij wordt rekening gehouden met de specifieke kenmerken van een VM zoals bijvoorbeeld een hoge I/O wat kenmerkend is voor databaseservers. • Virtualization Layer: De prestaties en capaciteit van de Virtualization Layer hebben direct impact op de prestaties van de individuele VM’s. • Clusters: Performance en capaciteit management op cluster niveau, is eigenlijk een geaggregeerde variant van ESX host management waarbij de prestaties en capaciteit over meerdere servers wordt beheerst. • Resource Pools: Betreft een verzameling resources bijvoorbeeld VM’s waarvoor bepaalde limieten (minimum als maximum) voor geheugen en CPU kunnen worden geconfigureerd. Dit kan zeer handig zijn voor core applicaties. Het monitoren van de virtuele-infrastructuur is natuurlijk een vereiste om te kunnen anticiperen op de capaciteit en prestatieproblemen. Vanwege het geïntegreerde geheel van resources, moeten eventuele afwijkingen worden gereflecteerd op de huidige configuratie van de afzonderlijke componenten en als geheel (Haight & Colville, 2010). Voor meer informatie over dit proces wordt verwezen naar Manage the configuration (DS09)

--------------------------------------------------------------------------------------------------------------------------Pagina 33

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel. Referentie



PC-01

DS3.1 Performance and Capacity Planning

PC-02

DS3.2 Current Performance and Capacity

Er bestaat een duidelijk beschreven performance en capaciteitsplan. Het plan besteed aandacht aan de componenten CPU, geheugen, storage en het netwerk. Voor het beheersen van deze componenten bestaat een duidelijke aanpak en afspraken over de te leveren QOS (quality of service) voor de volgende virtualisatie lagen: virtual machine, Virtualization Layer, clusters en resource pools. Er bestaat inzicht in de huidige onder en bovengrens van geleverde performance en gebruikte capaciteit voor momenten met een hoge als lage belasting.

PC-03

DS3.3 Future Performance and Capacity

PC-04

DS3.4 IT Resources Availability

PC-05

DS3.5 Monitoring and Reporting

Er bestaan inzichtelijke referentiekader voor CPU, geheugen, opslag en netwerk gebruik. Deze componenten worden gemonitored voor de volgende virtualisatie lagen: VM, Virtualization Layer, clusters en resource pools. De referentiekaders zijn actueel en worden gebruikt om te reageren op overbelasting volgens het geformuleerde performance en capaciteitsplan. Actuele referentiekaders worden gebruikt om de toekomstige prestatie indicatoren en het capaciteitsverbruik te voorspellen. Analyses worden gebruikt om de impact op de gevirtualiseerde infrastructuur (CPU, geheugen, opslag en netwerk) te bepalen. Voor eventuele performance en capaciteitsproblemen worden acties gedefinieerd, gecommuniceerd en gemonitored. De ontwikkelingen op het gebied van prestatie en capaciteit management worden periodiek verwerkt in een resource plan ten opzichte van beschikbare resources. Er wordt rekening gehouden met de geldende QOS (quality of service) afspraken van de specifieke gevirtualiseerde omgeving. Ook bestaat er aandacht voor gemaakte beleid keuzes (bijvoorbeeld of het mogelijk is dat het geformuleerde continuïteitsplan kan blijven worden uitgevoerd). De actuele informatie van geleverde prestaties en verbruikte capaciteit voor de volgende virtualisatie lagen: VM, Virtualization Layer, clusters en resource pools worden gebruikt om de actuele dienstverlening verder te optimaliseren en om over de geleverde QOS te rapporteren richting de gebruikersorganisatie. Afwijkingen worden geanalyseerd en gereflecteerd ten opzichte van de huidige configuratie van de (virtuele) infrastructuur.

--------------------------------------------------------------------------------------------------------------------------Pagina 34


4.5

Ensure continuous service (DS04)

Continuïteitsbeheer is binnen CobiT bekend onder de naam “DS4 Ensure Continuous Service”. Het proces is ingericht om in het geval van een calamiteit de impact op de organisatie en de bedrijfsprocessen tot een minimum te beperken. Het proces voorziet in het ontwikkelen, onderhouden en testen van (IT) continuïteitsplannen, het gebruik van (offsite) back-up mogelijkheden en periodieke continuïteitstrainingen. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007): “Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt.” CobiT onderkent voor dit proces een tiental beheersmaatregelen welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven: • DS4.1 IT Continuity Framework; • DS4.2 IT Continuity Plans; • DS4.3 Critical IT Resources; • DS4.4 Maintenance of the IT Continuity Plan; • DS4.5 Testing of the IT Continuity Plan; • DS4.6 IT Continuity Plan Training; • DS4.7 Distribution of the IT Continuity Plan; • DS4.8 IT Services Recovery and Resumption; • DS4.9 Offsite Backup Storage; • DS4.10 Post-resumption Review. Binnen het domein van continuïteitsmanagement, bestaan twee essentiële criteria die in hoge mate de manier waarop virtualisatie wordt geïmplementeerd bepalen (VMware, 2006c): • recovery point objective (RPO): Beschrijft de ouderdom van de nog te herstellen (gesynchroniseerde) data. • recovery time objective (RTO): Beschrijft de benodigde tijd om de gesynchroniseerde data terug te zetten. Afhankelijk van de gekozen RPO en RTO waarde zal een bedrijf een bepaalde implementatie keuze maken over de manier waarop de continuïteit wordt gewaarborgd. Dergelijke implementaties kunnen op de volgende wijze verschillen (VMware, 2006c): • Continuous availability: Processen zijn volledig gesynchroniseerde over minimaal twee locaties. • On-line and near-line hot sites: Er bestaat een uitwijklocatie met benodigde apparatuur. Data moet worden overgehaald. • Backup to tape: data wordt opgeslagen op tapes en moet per tape worden hersteld. Traditioneel is continuïteitsmanagement een uitdagende exercitie om te implementeren en het blijkt in praktijk erg lastig te testen. Daarnaast is continuïteitsmanagement erg kostbaar indien bijvoorbeeld gekozen wordt voor bijvoorbeeld een implementatie van “continuous availability” Een dergelijke implementatie verlangt een volledig ingerichte tweede locatie (ofwel redundantie van de hardware). Virtualisatie biedt diverse nieuwe mogelijkheden op het gebied van continuïteitsmanagement, waardoor continuïteitsmanagement ook voor kleinere bedrijven toegankelijker wordt. Het is geen onderdeel van deze scriptie om alle continuïteitsmanagement implementaties voor virtualisatie te bespreken. Er bestaan immers legio mogelijkheden. Er wordt derhalve volstaan om een enkele specifieke mogelijkheden te beschrijven zoals momenteel beschikbaar binnen de virtualisatieplatformen. Dit betekent overigens niet dat de oude implementaties van

--------------------------------------------------------------------------------------------------------------------------Pagina 35

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------continuïteitsmanagement zijn achterhaald.Vervolgens zullen specifieke risico’s en noodzakelijke beheersmaatregelen worden geidentificeerd. Specifieke virtualisatiefunctionaliteit met betrekking tot continuïteitsmanagement bestaat o.a. uit (VMware, 2006a)(VMware, 2006d)(Bowker, 2008): • Overzetten van VM’s tussen fysieke servers: Binnen een gevirtualiseerde omgeving bestaan vaak meerdere fysieke servers waarop één of meerdere logische VM’s draaien. Met een verplaatsingsfunctionaliteit, binnen VMware Vmotion genaamd, kan een VM van de ene fysieke machine overgezet worden naar een andere fysieke machine. Op deze manier kan bijvoorbeeld ruimte op een fysieke server worden gecreëerd voor andere VM’s. • Automatisch overzetten: Deze functionaliteit kan binnen virtualisatieplatformen nog verder worden uitgebreid door het overzetten van een VM volledig automatisch te laten plaatsvinden. Op basis van vooraf ingestelde configuratie-instellingen kan worden afgedwongen dat bij bepaalde prestatie en capaciteitslimieten een VM wordt overgezet naar een minder intensief belaste fysieke server. Binnen VMware wordt deze functionaliteit DRS genoemd. • Cluster: Een andere functionaliteit op het gebied van continuïteit is bekend onder de naam resource-clustering. Binnen een niet gevirtualiseerde omgeving is dit vergelijkbaar met het clusteren van databases met bijvoorbeeld Microsoft Cluster Service (MSCS). Binnen een dergelijke configuratie moeten resources dubbel worden uitgevoerd en bestaat er een mechanisme dat in geval van een storing de ene instantie (secondaire) het overneemt van de andere instantie (primaire). Binnen VMware is een dergelijke functionaliteit geïmplementeerd onder de naam HA (high availability). HA maakt gebruik van resource clusters. Dit betekent dat de resources die binnen het cluster zijn opgenomen, virtueel worden samengevoegd. Er wordt hierbij een service geïnstalleerd op elke server binnen de resource pool en er wordt doorlopend gecontroleerd of alle servers nog actief reageren op signalen. Indien een server niet reageert , worden alle virtuele servers van deze fysieke host verplaatst naar een andere fysieke host binnen het cluster. • Back-ups: Binnen een gevirtualiseerde infrastructuur wordt vaak nog steeds gebruik gemaakt van tapes. Ongeacht de nieuwe mogelijkheden die virtualisatie ons biedt, zal dit ook niet direct veranderen. Al is het vanwege bewaartermijnen van data e.d. Virtualisatie biedt echter ook op dit vlak nieuwe mogelijkheden in de vorm van snapshots. Een snapshot maakt niet meer een traditionele back-up van data of een applicatie maar neemt een foto (snapshots) van de gehele VM. • Portabiliteit: Als een rode draad door deze scriptie wordt erop gewezen dat virtualisatie hardware loskoppeld van de logische (besturingssyteem) laag. Op het gebied van continuïteit betekent dit in het geval van een redundant uitgevoerde infrastructuur, de hardware configuratie niet meer identiek hoeft te zijn. In een niet gevirtualiseerde infrastructuur moet voor een applicatie de hardware van twee server instanties volledig identiek zijn om bijvoorbeeld een image (copy van een configuratie) terug te kunnen zetten. Deze beperking bestaat binnen de virtueel uitgevoerde infrastructuur niet meer, wat tot grote besparingen kan leiden, aangezien de hardware niet altijd evenredig hoeft te worden ge-update. Het belangrijkste risico voor continuïteitsmanagement bij virtualisatie is dat er meerdere virtuele servers op één fysieke machine draaien, waardoor de impact van uitval van deze fysieke server veel groter wordt. Er ontstaat een ‘single point of failure’, voor meerdere VM’s. De impact voor de organisatie neemt nog eens toe indien gekeken wordt naar ketens (Hau & Araujo, 2007). Als bijvoorbeeld een gevirtualiseerde applicatieserver op een fysieke server gebruik maakt van een onderdeel (bijvoorbeeld een databaseserver) dat op de falende fysieke server draait, dan zal ook deze applicatie hiervan hinder ondervinden. Bij een continuous service implementatie, waarbij beide omgevingen volledig zijn gevirtualiseerd kan er alsnog een risico optreden. VM’s zijn namelijk flexibel en kunnen eenvoudig over de verschillende servers worden gemigreerd (zelfs volledig automatisch). Dit kan ertoe leiden dat twee virtueel uitgevoerde servers op dezelfde fysieke server worden uitgevoerd. Het falen van de fysieke server zal --------------------------------------------------------------------------------------------------------------------------Pagina 36

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------in een dergelijk geval tot het falen van beide VM’s leiden. Bij het redundant uitvoeren van VM’s, dient derhalve een fysieke scheiding van servers te worden gehaneerd. Door introductie van de virtuele laag, moet er ook een back-up worden gemaakt van de virtueleinfrastructuur en er moet worden gewaarborgd dat deze infrastructuur kan worden hersteld. Van alle relevante VM’s moet een back-up worden gemaakt en hierbij dient rekening te worden gehouden met eventueel niet actieve VM’s (Baldwin e.a.2008). Het snel starten en stoppen van VM’s biedt nieuwe mogelijkheden voor beheerders om een VM tijdelijk uit te zetten. Dit betekent dat een dergelijke applicatie mogelijk ten onrechte niet wordt meegenomen in de creatie van back-ups. De hedendaagse virtualisatieproducenten bieden legio nieuwe mogelijkheden op het vlak van continuïteitsmanagement. Toch verdient de database hierbij vaak een “status aparte”. Hierbij spelen een tweetal aspecten. Ten eerste maakt een database zijn besluiten op basis van de onderliggende hardwareconfiguratie. Deze configuratie wordt bij virtualisatie onzichtbaar (Aboulnaga, 2008). De fysieke hardware is vervangen door een logische configuratie. Ten tweede reageren de door virtualisatieproducenten aangeboden oplossingen zoals Vmotion, DRS en HA op basis van informatie over de VM. De vraag is bijvoorbeeld bij resource-clustering of eventuele problemen op de database laag tijdig worden opgemerkt door de virtualisatiefunctionaliteit om de database te verplaatsen waarbij de integriteit blijft gewaarborgd. Aboulnaga e.a. (2009) wijzen erop dat juist op het vlak van communicatie tussen het databasesysteem en de virtualisatielaag er een verdergaande ontwikkeling is gewenst. Ook de snapshot functionaliteit om back-ups te maken op een databaseserver kan het voorkomen dat een database niet in consistente toestand verkeerd (als bijvoorbeeld nog niet alle transacties volledig zijn verwerkt). Bij de implementatie van continuiteitsmanagement is het derhalve van belang dat de oplossing geschikt is voor de applicatie en dat de implementatie door de leverancier wordt ondersteund. Een belangrijk onderdeel van het continuïteitsplan betreft de Disaster Recovery. Dit onderdeel is erop gericht op het tijdig en volledig herstellen van (onderdelen van) de automatiseringsomgeving mogelijk op een alternatieve locatie. Hierbij is het van belang dat de restore locatie en ingerichte infrastructuur aan dezelfde BIV classificatie eisen voldoen als de primaire locatie en infrastructuur (Butler & Vandenbrink, 2009). Een disaster recovery kan eruit bestaan dat VM’s weer opnieuw worden opgestart. VM’s zijn immers logische bestanden en middels een druk op de knop opnieuw op te starten. Hierdoor wordt het veel eenvoudiger om een disaster recovery in praktijk te toetsen (Bowker, 2008). Hoewel virtualisatie dus nieuwe risico’s introduceert, gaat dit hand in hand met nieuwe mogelijkheden. De voordelen die virtualisatie kan bieden, stellen echter ook eisen aan de infrastructuur. Vaak is functionaliteit als Vmotion, DRS en HA pas mogelijk indien er gebruik gemaakt wordt van een gezamenlijke data-opslag zoals een SAN. De nieuwe functionaliteit als snapshots lijkt misschien bruikbaar, maar bij het opzetten van een continuïteitsplan moet men zich goed realiseren dat hierbij een ontzettend grote hoeveelheid data over het netwerk moet worden verplaatst. Er zal een afweging gemaakt moeten worden waarbij de voor en nadelen van de gekozen implementatie, de impact op de infrastructuur en RTO / RPO eisen vanuit de organisatie worden geëvalueerd. In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel. Referentie



BM-01

DS4.1 IT Continuity Framework

Er zijn organisatorische keuzes gemaakt over de manier waarop invulling wordt gegeven aan continuïteitsmanagement. Hierbij zijn de mogelijkheden van virtualisatie geëvalueerd en is rekening gehouden met de voor en nadelen van virtualisatie, impact op infrastructuur en RTO / RPO eisen vanuit de organisatie.

--------------------------------------------------------------------------------------------------------------------------Pagina 37




BM-02

DS4.2 IT Continuity Plans

BM-03

DS4.3 Critical IT Resources

Er bestaat een uitgewerkt continuïteitsbeleid en vertaling naar een concreet plan. Er heeft een inventarisatie van kritieke resources plaatsgevonden. Binnen het plan bestaat aandacht voor de Beschikbaarheid, Integriteit en Vertrouwelijkheid classificatie van de virtueleinfrastructuur en kritieke proces ketens van VM’s binnen en over meerdere fysieke server heen. De richtlijnen, rollen, verantwoordelijkheden, procedures, communicatie processen en test aanpak zijn duidelijk beschreven voor de virtuele-infrastructuur. Er wordt rekening gehouden met niet actieve VM’s. Er is zekerheid verkregen over de mate waarin de gekozen implementatie van virtualisatiefunctionaliteit geschikt is voor de desbetreffende applicatie en wordt ondersteund door leveranciers. Voor de kritieke resources is een concreet plan uitgewerkt waarbij rekening wordt gehouden met de RTO en RPO eisen. De eisen zijn vertaald naar concrete implementaties binnen de virtueleinfrastructuur.

BM-04

Voor redundant uitgevoerde VM’s bestaan maatregelen die ervoor waken dat de VM’s op fysiek gescheiden servers worden uitgevoerd. DS4.4 Maintenance of the Voor wijzigingen in het continuïteitsplan wordt de impact op de IT Continuity Plan virtuele-infrastructuur verwerkt. Wijzigingen op de virtuele-infrastructuur worden verwerkt in bestaande procedures.

BM-05

DS4.5 Testing of the IT Continuity Plan

Het continuïteitsplan / disaster recovery wordt periodiek getoetst. Hierbij wordt gelet op geschiktheid van de geïmplementeerde procedures voor de virtuele-infrastructuur.

BM-06

DS4.6 IT Continuity Plan Training

Er bestaat voldoende kennis en kunde van de virtueleinfrastructuur zodat het continuïteitsplan kan worden uitgevoerd.

BM-07

DS4.7 Distribution of the IT Continuity Plan

Het continuïteitsplan wordt verstrekt aan beheerders van de virtuele-infrastructuur. Wijzigingen in het continuïteitsplan op het niveau van de virtuele-infrastructuur worden verstrekt aan alle betrokkenen.

BM-08

DS4.8 IT Services Er bestaan procedures om alle betrokkenen te informeren over de Recovery and Resumption impact voor de organisatie van continuïteitsmaatregelen op de virtuele-infrastructuur.

BM-09

DS4.9 Offsite Backup Storage

De uitwijklocatie en virtuele-infrastructuur voldoen aan dezelfde eisen als de primaire productielocatie en virtuele-infrastructuur. Back-ups van de Virtuele-infrastructuur en VM's die extern worden opgeslagen zijn geclassificeerd op basis van Beschikbaarheid, integriteit en volledigheid. De offsite opslaglocatie voldoet aan de BIV classificatie

BM-10

DS4.10 Post-resumption Review

De resultaten van een succesvolle uitvoering van het continuïteitsplan worden geëvalueerd. Hierbij worden de procedures voor de virtuele-infrastructuur beoordeeld op mogelijke verbeteringen.

--------------------------------------------------------------------------------------------------------------------------Pagina 38


4.6

Ensure systems security (DS05)

Binnen het CobiT-raamwerk wordt ‘Security’ voor een groot gedeelte behandeld door het proces “DS5 Ensure Systems Security”. Security raakt echter de complete IT-architectuur en komt daarom ook in andere beheersdoelstelling terug zoals ‘PO2 Define the Information Architecture’ en ‘PO9 Assess and Manage IT Risks’. Volgens CobiT is systeembeveiliging vereist om de integriteit van informatie te handhaven en de IT bezittingen te beschermen (ITGI, 2007). Er dient aandacht te worden besteed aan het bepalen van en het handhaven van de veiligheidsrollen en verantwoordelijkheden, beleid, standaarden en procedures. Daarnaast omvat systeembeveiliging ook het uitvoeren van monitoring het periodiek testen en het uitvoeren correctieve acties voor geïdentificeerde beveiligingszwakheden of incidenten. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007); “Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en IT-infrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.” Vanuit CobiT worden hiertoe een aantal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven. • DS5.1 Management of IT Security; • DS5.2 IT Security Plan; • DS5.3 Identity Management; • DS5.4 User Account Management; • DS5.5 Security Testing, Surveillance and Monitoring; • DS5.6 Security Incident Definition; • DS5.7 Protection of Security Technology; • DS5.8 Cryptographic Key Management; • DS5.9 Malicious Software Prevention, Detection and Correction; • DS5.10 Network Security; • DS5.11 Exchange of Sensitive Data. De architectuur die verschillende fabrikanten hebben ontwikkeld onder de term virtualisatie is reeds in hoofdstuk 2 besproken. Om op de cruciale beveiligingsaspecten in te zoemen zal er aansluiting worden gezocht op de verschillende componenten van een gevirtualiseerde infrastructuur. Hierbij zal de terminologie die door VMware wordt gehanteerd worden overgenomen. De beschreven aspecten zijn echter generiek en worden door de verschillende fabrikanten toegepast, hetzij met een andere terminologie. De volgende onderverdeling zal binnen deze sectie worden gehanteerd: • Algemeen; • Virtual Machine (VM); • Service Console; • VirtualCenter; • Virtualization Layer; • Virtual network; • Virtual Storage; 4.6.1 Algemeen Voordat ingezoomd zal worden op de verschillende componenten binnen de gevirtualiseerde infrastructuur, zullen een aantal generieke beheersmaatregelen worden besproken die voor de gehele virtuele-infrastructuur van toepassing zijn.

--------------------------------------------------------------------------------------------------------------------------Pagina 39

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------IT‐beveiligingsplan Er dient voor alle componenten binnen de virtuele-infrastructuur aandacht te bestaan voor beveiliging. Beveiliging is immers niet iets wat op één plek wordt toegepast, maar wat als een rode draad door de gehele organisatie dient te lopen. Specifiek kijkend naar het onderdeel virtualisatie, betekent dit dat binnen het IT-beveiligingsplan aandacht moet worden besteed aan de rollen, verantwoordelijkheden, beleid, standaarden en procedures voor de componenten van een virtuele-infrastructuur. Daarnaast moet het geformuleerde proces worden getest en dient er periodiek een verificatie van de configuratie van het virtualisatie platform plaats te vinden. De configuratie is uitgewerkt in een gedefinieerde standaard (baseline). Deze beheersmaatregelen wijken in essentie niet af van een niet gevirtualiseerde IT-omgeving, hetzij de diepgang waarop invulling gegeven dient te worden aan de beheersmaatregelen. De beheersmaatregelen zullen nu namelijk ook moeten worden toegepast op de virtualisatielaag. Referentie



SE-01

DS5.1 Management of IT Security

De consequenties van virtualisatie op de IT beveiliging is afgestemd met het (strategisch) management van de organisatie

SE-02

DS5.2 IT Security Plan

SE-03

DS5.5 Security Testing, Surveillance and Monitoring

Het IT beveiligingsplan besteedt aandacht aan de rollen, verantwoordelijkheden, beleid, standaarden en procedures met betrekking tot de gevirtualiseerde infrastructuur laag. Er bestaat een periodiek proces voor het monitoren van beveiligingsinstellingen ten opzichte van een gedefinieerde standaard voor de gevirtualiseerde infrastructuur laag.

Naast deze algemene beheersmaatregel bestaan er meer specifieke beheersmaatregelen voor de verschillende virtualisatiecomponenten. Deze meer specifieke beheersmaatregelen zullen in de navolgende secties worden besproken. 4.6.2 Virtual machine (VM) Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een VM beschreven. Voor meer informatie over een VM, zie paragraaf 4.6.2 Risico’s van de Virtual Machine De VM vormt de schil waarbinnen een besturingssysteem draait. De sleutel binnen IT beveiliging van een gevirtualiseerde omgeving is het bewustzijn dat een VM, het equivalent is van een fysieke server (VMware, 2008). De VM wordt aan dezelfde beveiligingsrisico’s blootgesteld als een fysieke server. Elke VM dient derhalve aan dezelfde beveiligingsmaatregelen te voldoen als een fysieke server implementatie. Hierbij moet gedacht worden aan de implementatie van antivirus, spyware filters, intrusion detection systemen en patch management. Speciale aandacht gaat hierbij uit naar zogenaamde slapende (niet actief draaiende) VM’s. De ingerichte procedures moeten erop ingericht zijn dat ook eventueel niet actief draaiende VM’s worden voorzien van de gestelde beveiligingsmaatregelen. Referentie



SE-04

DS5.9 Malicious Software Prevention, Detection and Correction

Elke VM is voorzien van antivirus, antispyware, intrusion detection, security hardening en patch management. De ingerichte procedures zorgen ervoor dat deze maatregelen ook worden afgedwongen voor eventueel slapende virtual machines.

--------------------------------------------------------------------------------------------------------------------------Pagina 40

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Virtual Machine beveiligingsaanvallen Met de VM beveiligingsaanvallen wordt gedoeld op aanvallen op het niveau van de VM, bestaande uit het benaderen van of het gebruik binnen de VM. Specifiek voor het VM niveau worden door Jolliffe (2007) een tweetal mogelijke beveiligingsrisico’s genoemd, die kort zullen worden beschreven. “Denial of service attack via resource starvation”: Met dit type aanval wordt door de aanvaller geprobeerd zoveel mogelijk resources aan te spreken zodat de VM het aantal verzoeken niet meer kan verwerken. Dit type aanval bestaat ook binnen een niet gevirtualiseerde omgeving, echter het gevaar binnen een virtuele omgeving is dat andere VM’s beïnvloed kunnen worden door een aanval op een willekeurige VM op hetzelfde platform. Binnen de ESX server is de impact van een dergelijke aanval op andere VM’s eenvoudig te voorkomen door gebruik te maken van limieten. Voor meer informatie op dit vlak is beschreven in paragraaf 4.4 “Manage performance and capacity (DS03)”. “Attack via VI console”: Door gebruik te maken van VI Console toegang, waarmee connectie kan worden gemaakt met de console van een VM, beschikt een gebruiker over enkele specifieke functies zoals het uitschakelen van de VM of het configureren van externe apparatuur. Dergelijke functies vormen een risico voor de beschikbaarheid (uitschakelen van de VM) als de integriteit en vertrouwelijkheid (er kan allerlei software worden aangeroepen of worden gekopieerd van of naar de externe apparatuur). Het wordt daarom sterk aanbevolen om het aantal gebruikers die middels een remote connectie toegang kunnen krijgen tot een VM te beperken. Referentie



SE-05

DS5.4 User Account Management

Beperk het aantal gebruikers die een remote connectie toegang kunnen krijgen tot een VM tot het strikt noodzakelijke. Deze gebruikers beschikken over functionaliteit om de VM uit te schakelen of externe apparatuur te configureren.

Virtual Machine Templates Het wordt binnen een gevirtualiseerde infrastructuur eenvoudiger om een VM uit te rollen. Naast het beheersen van het aantal VM’s (zie 4.3 Manage changes (AI06)), is het van belang dat er geen wildgroei ontstaat in de manier waarop VM’s zijn geconfigureerd (VMware, 2008). Om dit te bewerkstelligen bestaat enerzijds een detectieve beheersmaatregel met betrekking tot het monitoren van beveiligingsinstellingen. Anderzijds wordt het sterk aanbevolen, zoveel mogelijk gebruik te maken van templates. Door middel van een VM template kan de actuele VM baseline worden gedefinieerd. Bij het uitrollen van een VM dient vervolgens gebruik te worden gemaakt van een voorgedefinieerde template. Het beheersen van de VM’s wordt daarmee een stuk eenvoudiger en vormt een eerste stap om consistentie ten aanzien van de gedefinieerde baseline af te dwingen. De baselines dienen overeenkomstig te zijn met de geldende BIV kwaliteitsaspecten. Referentie



SE-06


Er bestaan geaccordeerde Virtual Machine templates in overeenstemming met de gedefinieerde kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid.

--------------------------------------------------------------------------------------------------------------------------Pagina 41

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Copy‐paste In sommige situaties is het mogelijk om data te kopiëren en te plakken middels het plakbord (clipboard) tussen de remote console en het VM besturingssysteem (VMware, 2008)(NSA, 2008). Hierdoor kan (onbedoeld) gevoelige data voor de VM beschikbaar komen. Het wordt aanbevolen deze functionaliteit te blokkeren. Het blokkeren van deze functionaliteit moet voor elke VM afzonderlijke gebeuren en kan daarom het beste binnen een template worden geconfigureerd. Referentie



SE-07

DS5.11 Exchange of Sensitive Data

Blokkeer het gebruik van copy-paste functionaliteit tussen de remote console en het VM besturingssysteem. Blokkeer deze functionaliteit op elke VM en bij voorkeur binnen de voorgedefinieerde templates.

Non persistent disks Bij een non persistent disk wordt data niet fysiek weggeschreven op de harddisk. Alle wijzigingen worden in een tijdelijk bestand opgeslagen en bij het herstarten van een VM zijn alle zogenaamd weggeschreven wijzigingen verloren. Het gevaar bij het gebruik van non persistent disks is dat een mogelijk aanvaller toegang heeft kunnen verkrijgen tot een bepaalde VM en na het uitvoeren van zijn ongeoorloofde acties de VM opnieuw laat opstarten. Alle wijzigingen die de aanvaller heeft uitgevoerd, zijn niet meer te achterhalen, terwijl de VM wel nog steeds kwetsbaar is voor de uitgevoerde aanval. Non persistent disks kunnen er derhalve voor zorgen, dat aanvallen niet worden opgemerkt. Een andere mogelijkheid om dergelijke aanvallen inzichtelijk te krijgen is de implementatie van een centrale log server, zie sectie 4.6.3 Service Console (Audit logging en review). Referentie



SE-08


Maak geen gebruik van non persistent disks voor productie servers. Indien non persistent disks worden toegepast dienen er additionele maatregelen te zijn geïmplementeerd om logfiles veilig te stellen, bijvoorbeeld een centrale log server.

Ongeautoriseerde apparatuur Fysieke servers worden vaak vanuit beveiligingsoogpunt standaard niet uitgerust met externe apparatuur. Op deze manier wordt zoveel mogelijk voorkomen dat ongeautoriseerde bestanden beschikbaar komen of dat (vertrouwelijke) data kan worden meegenomen. Ook een VM draait veelal in een datacenter omgeving en er bestaat daarom meestal geen reden om het gebruik van externe apparatuur toe te staan. Externe apparatuur zoals CD/DVD worden veelal uitsluitend bij installatie gebruikt en dienen zoveel mogelijk te worden geblokkeerd. Tijdens gesprekken met virtualisatie experts wordt aangedragen dat dit in sommige gevallen tot problemen kan leiden. Er bestaat immers software waarvoor vanwege licentie overwegingen gebruikt wordt gemaakt van een externe dongle. Virtualisatie biedt echter mogelijkheden om hier een aparte VM voor in te richten die uitsluitend actief wordt gemaakt indien vereist.

--------------------------------------------------------------------------------------------------------------------------Pagina 42

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Referentie



SE-09


Blokkeer het mogelijke gebruik van externe apparatuur voor alle VM’s, tenzij strikt noodzakelijk. Er bestaat een duidelijk beleid en procedures voor het gebruik van eventuele externe apparatuur.

SE-10


Blokkeer het automatisch detecteren van USB devices voor VM’s.

Wijzigen van Virtuele schijfruimte Binnen een VM bestaat de mogelijkheid om de virtuele schijfruimte aan te passen. Dit wordt disk shrinking (kleiner maken) of DiskWiper (groter maken) genoemd. De gebruikte ruimte van de virtual disk op de fysieke disk kan hiermee worden aangepast. Bij enkele virtualisatie platformen kan deze optie door normale gebruikers (zonder beheerrechten) en processen worden uitgevoerd (VMware, 2008)(Bats, 2009). De functie kan worden misbruikt in de vorm van een denial of service aanval. Door het herhaaldelijk achter elkaar de virtuele schijfruimte aan te passen kan de virtuele schijf onbeschikbaar worden. Het wordt aanbevolen geen gebruik te maken van disk shrinking. Referentie



SE-11


Blokkeer de functionaliteit van disk shrinking of disk wiper indien hier geen noodzaak toe bestaat. VMWare ESX specifiek: disk shrinking en disk wiper zijn methoden om de schijfruimte groter / kleiner te maken. Frequent gebruik kan leiden tot het niet meer beschikbaar zijn van virtuele schijf.

Toegangsrechten op Virtual Machine bestanden Binnen een niet gevirtualiseerde omgeving is het niet eenvoudig de beschikking te krijgen over een server. Dit betekent namelijk dat de server meegenomen moet worden vanuit zijn beveiligde omgeving. Virtualisatie maakt gebruik van zogenaamde virtuele harde schijven (opslag). Deze virtuele opslag bestaat uit een aantal logische bestanden die op een fysieke locatie worden opgeslagen. Het is uitermate belangrijk dat deze systeembestanden worden beveiligd, die vaak in de vorm van platte tekst worden opgeslagen (Hau & Araujo, 2007). Hierdoor bestaat bij virtualisatie het risico dat iemand ongeoorloofd toegang of de beschikking krijgt over een (logische) server (VM). Het is daarom van wezenlijk belang dat er een adequaat toegangsbeheer tot logische systeembestanden bestaat. Referentie



SE-12

DS5.3 Identity Management

Toegang tot logische systeembestanden (Virtual Machine) zijn afgeschemd voor ongeoorloofde toegang. VMware ESX specifiek: Toegangsrechten tot het configuratiebestand (.vmx) moet ingesteld zijn als read, write, execute (rwx) voor eigenaar en read en execute (r-x) voor Group (755). Toegangsrechten voor de virtual disk van de virtual machine (.vmdk) moet ingesteld zijn als read en write(rw-) voor de owner (600). Voor al deze bestanden moet de user en Group ingesteld zijn als root.

--------------------------------------------------------------------------------------------------------------------------Pagina 43

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------4.6.3 Service Console Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een Service Console beschreven. Voor meer informatie over een Service Console, zie paragraaf 2.5.3 Service Console configuratie De Service Console van VMware is gebaseerd op een Red hat Linux distributie. Het besturingssysteem is speciaal aangepast voor communicatie met en beheer van de Virtualization Layer. Ook andere leveranciers hebben hun zogenaamde Service Console vaak dermate aangepast dat van een nieuw besturingssysteem kan worden gesproken. De Service Console, ongeacht van welke fabrikant, moet derhalve niet als een generiek besturingssysteem worden beschouwd, welk meeloopt in de algemene patching en beveiligingsprocedures. Voor de Service Console dient een speciaal proces te worden ingericht. Uitsluitend patches van de desbetreffende leverancier mogen worden gehanteerd (NSA, 2008)(VMware, 2008). Ook het monitoren van beveiligingsinstellingen is voor de Service Console afwijkend ten opzichte van besturingssystemen draaiende binnen en VM. Door de aanpassingen die in een Service Consoles zijn aangebracht, worden beveiligingsafwijkingen vaak ten onrechte door beveiligingssoftware gerapporteerd. Voor de beveiligingsrichtlijnen van de Service Console wordt een nauwe afstemming met de best practices van de desbetreffende leverancier aanbevolen. Referentie


SE-13

DS5.9 Malicious Software Controleer periodiek op nieuwe patches en updates. Installeer Prevention, Detection and uitsluitend patches geaccordeerd door leverancier van de Service Correction Console. Patches doorlopen het algemene change en configuratie management proces. DS5.5 Security Testing, Gebruik een beveiligingstool waarvoor is vastgesteld dat deze Surveillance and geschikt is voor het controleren van beveiligingsinstellingen van Monitoring de Service Console. Behandel de Service Console niet als een standaard besturingssysteem.

SE-14


Service Console firewall Indien een aanvaller toegang verkrijgt tot de Service Console, is men in staat op een groot aantal attributen van de virtualisatieserver aan te passen. De gehele virtual switch configuratie of autorisatie methoden kunnen worden aangepast. De Service Console is het controle mechanisme voor de virtualisatieserver en bescherming is daarom cruciaal (VMware, 2008). De verschillende leveranciers bieden een firewall configuratie tussen de Service Console en het netwerk. Het is belangrijk deze connectie zeer goed te beschermen. De Service Console dient een specifiek doel, namelijk het beheersen van de gevirtualiseerde omgeving. De Service Console dient ook uitsluitend hiervoor te worden gebruikt. Vermijd de installatie van third party software binnen de Service Console (NSA, 2008)(VMware, 2008). Met de introductie van virtualisatie worden er een aantal nieuwe vormen van netwerk verkeer geïntroduceerd. Voorbeelden hiervan zijn het klonen van complete machines of het migreren van virtuele machines van de ene naar de andere fysieke server. Het is belangrijk dat er inzicht bestaat over de protocollen die door dergelijke functionaliteit worden gebruikt en eventuele beveiligingrisico’s hiermee samenhangende. Door meer software en services te gebruiken, zullen er meer poorten binnen de Service Console firewall moeten worden opengesteld. Het wordt dan ook ten strengste aanbevolen om software van derden en het aantal services te beperken tot het strikt noodzakelijke. Hierdoor blijft het aantal poorten dat in de firewall moet worden opengesteld eveneens beperkt. Blokkeer alle inkomend als uitgaand verkeer indien hier niet een actieve applicatie of services aan gerelateerd is. Services of software binnen de service console die worden toegestaan, --------------------------------------------------------------------------------------------------------------------------Pagina 44

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------moeten vanuit beheersbaarheid altijd worden gedocumenteerd (Jolliffe, 2007). Eventuele noodzakelijke services waarvoor toegang wordt verschaft zijn veelal management, opslag, authentificatie, NTP en backup tools (CIS, 2007). Referentie



SE-15

DS5.10 Network Security

Blokkeer alle inkomende en uitgaande verkeer van de Service Console firewall indien hier geen actieve service aan is gekoppeld. Sta uitsluitend connecties naar interne beveiligde netwerken toe en blokkeer connecties naar het internet.

SE-16


Sta uitsluitend als veilig bestempelde protocollen toe voor Service Console connecties. Blokkeer clear text protocollen als FTP, Telnet e.d.

SE-17


SE-18


Beperk het gebruik van (third party) software en services binnen de Service Console tot het strikt noodzakelijke. De Service console dient uitsluitend voor beheer doeleinden. Applicaties en services hebben betrekking tot beheerfunctionaliteit zoals opslag, authentificatie, NTP of back-up tools. Documenteer voor de Service Console alle additionele poorten of geïnstalleerde services die zijn opengezet of geïnstalleerd met een toelichting.

Encryptie tussen cliënts en de Service Console De communicatie tussen cliënts en de Service Console dient altijd middels encryptie te zijn beveiligd. Een client wordt hierbij beschouwd als de verschillende toegangspaden waarmee connectie met het gevirtualiseerde platform kan worden opgebouwd. Deze toegangspaden bestaande uit een remote connectie, VI client, VI web access en het Service Center zijn in hoofdstuk 2 beschreven. Service Console toegang over onveilige netwerken kan misbruikt worden middels een man-in-the-middle aanval, waarbij ongeautoriseerde toegang kan worden verkregen (Jolliffe, 2007). Standaard wordt binnen virtualisatie platformen vaak gewerkt met eigen certificaten. Het wordt aanbevolen om een SSL certificaat van een erkende derde partij te gebruiken. Het beheer van dergelijke certificaten wijkt niet af van een niet gevirtualiseerde omgeving (Hau & Araujo, 2007) Referentie



SE-19

DS5.8 Cryptographic Key Management

Connecties tussen clients en de Service Console is middels encryptie (bijv. SSL) beveiligd. Maak hierbij gebruik van erkende ‘third party’ certificaten.

Toegang Service Console middels web service De beschikbare virtualisatie platformen bieden elk beheertoegang middels webservices. Toegang tot de Service Console via het internet en de hierbij aangeboden functionaliteit moet worden beperkt tot het strikt noodzakelijke. Binnen VMware wordt dit risico zoveel mogelijk gemitigeerd door een speciaal ontwikkelde Tomcat webservice als onderdeel van de Virtualization Layer. Het risico tot misbruik van deze web service moet worden afgedekt door goed patch management, zie hiervoor het proces AI6 Manage changes.

--------------------------------------------------------------------------------------------------------------------------Pagina 45




SE-20


Service Console toegang middels web services is beperkt in functionaliteit en beveiligd tegen aanvallen door goed patch management.

Identificatie en authenticatie Zoals beschreven in hoofdstuk 2, is directe toegang tot de virtualization layer mogelijk middels de Service Console. Toegang tot de service Console is uitsluitend vereist voor beheertaken (high privileged accounts ) van de virtuele-infrastructuur. Het is van belang dat er duidelijke rollen en gebruikersaccounts zijn ingericht voor het beheer van deze uiterst kritieke virtuele-infrastructuurlaag. Evenals het beheer van de besturingssystemenlaag dient het aantal accounts tot een minimum te worden beperkt. Gebruik standaard geen generieke beheer account op de Service Console en blokkeer standaard high privileged accounts. Zorg dat generieke accounts uitsluitend door persoonlijke gebruikers zijn te bemachtigen, bijvoorbeeld door een enveloppen procedure. In de situatie van VMware ESX bijvoorbeeld door uitsluitend een beperkte groep gebruikers de rechten tot Sudo / SU te verstrekken (VMware, 2008). Wachtwoordinstellingen (sterke authenticatie) zijn ingeregeld voor de (locale) user accounts binnen de Service Console. Hiervoor gelden dezelfde uitgangspunten als voor een normaal besturingssysteem, ten aanzien van bijvoorbeeld ouderdom en complexiteit (Jolliffe, 2007). Het uitvoeren van beheeractiviteiten middels de Service Console wordt als ongewenst beschouwd (NSA, 2008)(VMware, 2008). Maak zoveel mogelijk gebruik van de als veilig bestempelde en ondersteunde beheerapplicatie en vermijd het directe gebruik van de Service Console. Binnen VMware kan dit bijvoorbeeld middels de applicaties VI client of VirtualCenter. De Service Console biedt een command prompt waarvoor vaak inhoudelijke kennis van specifieke commando’s is vereist. Een beheerapplicatie maakt gebruik van een speciaal ontwikkelde interface met de Service Console. Hierdoor wordt er geen direct gebruik gemaakt van commando’s en verloopt het beheer middels speciaal hiervoor ontwikkelde API’s (Jolliffe, 2007). Referentie



SE-21


Zorg voor sterke authenticatie maatregelen voor toegang tot de service console. Stel minimaal eisen ten aanzien van de ouderdom en complexiteit van wachtwoorden.

SE-22


Beperk het aantal beheerders met toegang tot de Service Console tot het strikt noodzakelijke. Maak gebruik van persoonlijke accounts en zorg dat generieke accounts niet worden gebruikt voor algemene beheertaken. VMware specifiek: Geef uitsluitend een beperkte Groep gebruikers rechten voor Sudo/SU

SE-23


Beperk directe beheer via de Service Console tot het strikt noodzakelijke. Maak zoveel mogelijk gebruik van een als veilig geclassificeerde en ondersteunde beheerapplicatie. VMware specifiek: Gebruik voor algemeen beheer zoveel mogelijk de beschikbare beheerapplicaties als VI-client en VirtualCenter.

--------------------------------------------------------------------------------------------------------------------------Pagina 46

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Audit logging en review Binnen een niet gevirtualiseerde omgeving is audit logging vereist voor de server en applicatie. Met de introductie van virtualisatie worden op dit vlak er een tweetal extra lagen toegevoegd. De audit functie is zowel vanuit de virtualisatieserver als het VirtualCenter mogelijk. Audit data die door de virtualisatieserver wordt verzameld wordt opgeslagen in een tekstbestand. Deze wijze verschilt niet van de logging data, zoals deze algemeen wordt toegepast. VirtualCenter slaat daarnaast alle audit data als events op in de VirtualCenter database. De logging functionaliteit kan mogelijk worden misbruikt. Er kan bijvoorbeeld een ontzettend grote hoeveelheid data worden gegenereerd zodat er een denial of service aanval ontstaat. Om dit te voorkomen wordt het aangeraden een limiet voor de audit logging functionaliteit in te richten. Elke organisatie zal zelf het detail van logging moeten bepalen, maar het wordt aangeraden om minimaal de volgende zaken te loggen (InfoGard Laboratories, 2006): • Het starten en stoppen van audit functies: Dit voorkomt dat tijdelijk de log faciliteit kan worden uitgezet, zodat zaken onopgemerkt blijven; • Het opstarten en afsluiten van virtual machines: Elke actie met betrekking tot het starten en stoppen van een VM dient via het change proces te verlopen. De logfiles vormt de volledigheidscontrole dat er geen VM buiten het change proces vallen; • Het aanmaken en verwijderen van virtual machines: Het aanmaken en verwijderen van een VM kan tot een wildgroei of het verloren gaan van data leiden. Dergelijke aanvragen verlopen via het change proces en de logfiels vormen de volledigheidscontroles dat er geen wijzigingen buiten het change proces worden uitgevoerd; • Configureren van alarm of taken: Taken en alarmen zijn ingeregeld met een doel en goedgekeurd middels een change. Wijzigingen in de configuratie moet via een change gebeuren omdat het een impact kan hebben op de beschikbaarheid, integriteit en volledigheid van gegevens; • Alle identificatie en authenticatie acties: Eventuele aanvallen of misbruik van resources moet altijd kunnen herleid. Op de virtualisatielaag, bestaande uit de virtualisatieserver en de centrale beheertool (bijvoorbeeld VirtualCenter) worden beheeracties uitgevoerd die een grote impact op de integriteit van gegevens kunnen hebben. Het is daarom van belang dat er een gestructureerd monitoring proces bestaat om alle acties op deze laag te controleren. De logfiles zijn vaak handig voor beheerders vanuit hun dagelijkse activiteiten. Dit is ook niet erg, maar logfiles dienen altijd te zijn veiliggesteld tegen manipulatie. Dit kan door een kopie op een afgeschermde lokatie te plaatsen die uitsluitend door de daartoe geautoriseerde personen is te benaderen (bijvoorbeeld een security officer). De configuratie van de Service Console en virtualization layer zijn opgeslagen in een aantal bestanden op de server. Deze bestanden bepalen in grote lijnen de manier hoe de virtualisatieserver reageert. Er dient een mechanisme te bestaan om de integriteit van deze bestanden te waarborgen. Daarnaast moet worden toegezien dat de toegangsrechten tot deze configuratiebestanden niet zijn gewijzigd. Hiervoor bestaan diverse beveiligingsapplicaties of kan gebruik worden gemaakt van een checksum applicatie (hiermee kan worden gecontroleerd of een bestand is gewijzigd).

--------------------------------------------------------------------------------------------------------------------------Pagina 47




SE-24


Logfiles registeren minimaal de volgende acties: - het starten en stoppen van audit functies - het opstarten en afsluiten van virtual machines - het aanmaken en verwijderen van virtual machines - configureren van alarm of taken - alle identificatie en authenticatie acties. Logfiles worden op een afgeschermde locatie opgeslagen en zijn uitsluitend door een beperkte groep gebruikers te raadplegen.

SE25-


Log files worden voor een bepaalde periode bewaard en er zijn maxima geformuleerd voor de retentie van log bestanden.

SE-26


De registreerde events van de virtualisatielaag worden periodiek door een security functionaris met virtualisatie kennis gereviewed. Over opvallende / afwijkende events wordt melding gemaakt en de vereiste opvolging uitgevoerd.

SE-27


Er bestaat een bestand integriteit controle voor belangrijke configuratie bestanden met behulp van een beveiligings- of checksumapplicatie. Toegang tot deze configuratiebestanden is afgeschermd. VMware specifiek: Voor VMware ESX dient integriteit voor de volgende bestanden te worden vastgesteld: /etc/profile /etc/ssh/sshd_config /etc/pam.d/system_auth /etc/ntp /etc/ntp.conf /etc/passwd /etc/group /etc/sudoers/ /etc/shadow /etc/VMware

Tijdsynchronisatie De tijd in een virtuele machine (VM) kan gaan achterlopen, doordat de CPU-cycles worden verdeeld over de VM’s die op een ESX server draaien. De klok tussen de virtualisatieservers, VM’s en bijvoorbeeld een directory server dient te worden gesynchroniseerd. Tijdsynchronisatie is nodig voor bijvoorbeeld synchronisatie met een directory server, maar ook voor specifieke virtualisatiefunctionaliteit, zoals Vmotion (Woollard, 2009). Daarnaast is tijdsynchronisatie belangrijk voor de beveiling. Bij de registratie van bepaalde events in logbestanden wordt het tijdstip dat een bepaalde actie of handeling heeft plaatsgevonden vastgelegd. Een uniforme tijd registratie is vereist om een goede analyse van bijvoorbeeld een beveiligingsaanval uit te kunnen komen. Daarnaast bestaan in een virtuele omgeving vaak ingeroosterde taken, alarmen en toegekende tijdsperioden (time frames). Indien de tijd tussen bijvoorbeeld VM’s niet gelijk loopt kan dit tot conflicten leiden. Dergelijke synchronisatie kan het meest efficiënt middels NTP worden ingericht (CIS, 2007). Het Network Time Protocol (NTP) is een protocol waarmee computers die onderling met elkaar in verbinding staan, hun interne klok kunnen synchroniseren met andere computers.

--------------------------------------------------------------------------------------------------------------------------Pagina 48




SE-28


Zorg ervoor dat de klokken tussen virtualisatieservers, VM en andere componenten binnen het netwerk (o.a. een domain controller) zijn gesynchroniseerd. VMware specifiek: Tijdsynchronisatie kan worden toegepast bijvoorbeeld door middel van NTP.

Systeem en werkdirectories Binnen virtualisatieplatformen wordt vaak gebruik gemaakt van standaard systeem en werkdirectories. Dergelijk directories dienen zoveel mogelijk te worden gesplitst in aparte partities. Partities kunnen als gevolg van een denial of service aanval op een werkdirectories vollopen. Door een splitsing aan te brengen is de kans een stuk kleiner dat VM;s hier hinder van ondervinden (Jolliffe, 2007)(VMware, 2008). Binnen VMware draaiende op Linux betekent dit dat de directories /home, /tmp en /var/log (/var) elk op een aparte partitie moeten worden geïnstalleerd. Voor het juist inregelen van dergelijke limieten wordt verwezen naar paragraaf 4.4 Manage performance and capacity (DS03). Referentie



SE-29


Voor elke virtualisatieserver bestaat een aparte directory voor file system bestanden en temp/werkdirectories. VMware specifiek: installeer de volgende direcories elk op een aparte partitie: /home, /tmp en /var/log (/var)

Disable automatic mounting of external devices Aansluitend op gedefinieerde beheersmaatregelen voor VM’s, dient ook voor de Service Console het automatisch mounten van devices te worden geblokkeerd (Jolliffe, 2007)(VMware, 2008). Door externe apparatuur zoals een USB disk aan de fysieke server te verbinden kan gevaarlijke code worden uitgevoerd of bestanden (complete VM’s) worden meegenomen. Referentie



SE-30


Er bestaat een duidelijk beleid en procedures voor het gebruik van eventuele externe apparatuur. Blokkeer het automatisch detecteren van USB devices voor de Service Console. Het mogelijke gebruik van externe apparatuur door de Service Console is geblokkeerd tenzij strikt noodzakelijk.

4.6.4 VirtualCenter Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een centrale beheertool (binnen VMware ESX, VirtualCenter genaamd). Voor meer informatie over VirtualCenter, zie paragraaf 2.5.4. Bij het onderdeel Service Console is opgemerkt dat het beheer vanwege complexiteit en impact op de virtuele-infrastructuur bij voorkeur niet direct via de Service Console wordt uitgevoerd. Als alternatief zijn binnen VMware o.a. de beheerapplicaties VI-client en VirtualCenter genoemd. In deze sectie zal worden ingezoomd op VirtualCenter. VirtualCenter vormt een centrale beheerapplicatie, waarmee de complete virtuele-infrastructuur kan worden beheerd en is dus niet beperkt tot één fysieke host. Ook --------------------------------------------------------------------------------------------------------------------------Pagina 49

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------andere virtualisatie platformen beschikken over een dergelijke centrale beheerapplicatie, zoals System Center van Microsoft. Een centrale beheertool als VirtualCenter biedt meer beheermogelijkheden en functionaliteit. Het biedt een totaal overzicht van alle (toegekende) fysieke (virtualisatie) servers. Binnen VMware kan bijvoorbeeld uitsluitend gebruik worden gemaakt van virtualisatiefunctionaliteit als Vmotion, HA en DRS, indien de centrale beheertool VirtualCenter is geïnstalleerd. De belangrijkste reden hierbij is dat dergelijke functionaliteit een geïntegreerd beheer over meerdere fysieke servers vereist. Deze eis is daarnaast kenmerkend voor virtualisatie, waarbij de infrastructuur flexibeler wordt en VM’s niet meer aan één fysieke server zijn gebonden. De Service Console daarentegen kan uitsluitend voor het beheer van één fysieke server worden gebruikt. Dergelijke beheertools als VirtualCenter zijn specifiek vanuit een centraal beheeroogpunt ontwikkeld en bieden uitgebreide toegangsniveaus. Het beheer is vaak grafisch en daarom zijn ook algemene beheeractiviteiten vaak eenvoudig uit te voeren. Met het gebruik van een centrale beheertool kan hierdoor vaak efficiënter en effectiever beheer op de virtueleinfrastructuur worden uitgevoerd. Identificatie en authenticatie Het is belangrijk dat er duidelijke richtlijnen en procedures bestaan over de inrichting en inhoudelijke werking van de beheertool. In het geval van de VMware ESX server verloopt alle communicatie tussen VirtualCenter en de Service Console bijvoorbeeld middels een standaard user account (vpxuser). De rechten of wachtwoord van dit account mogen niet worden aangepast. Bij het niet gebruiken van een centrale beheerapplicatie moeten accounts voor elke fysieke server (Service Console) afzonderlijk worden ingericht. Dit betekent dat voor elke server lokale gebruikersaccount aangemaakt moeten worden voor één globaal gebruikersaccount. Er kan derhalve voor wachtwoord en gebruikerbeheer afhankelijk van de ondersteuning veel beter gebruik worden gemaakt van een overkoepelende centrale directory service zoals LDAP of windows active directory (NSA, 2008) (VMware, 2008). In de meest ideale situatie wordt er een aparte directory service voor de virtuele-infrastructuur gebruikt (NSA, 2008). Het koppelen van een bestaande directory service aan het beheernetwerk van de virtuele-infrastructuur introduceert de kans op een mogelijk misbruik. Hanteer in het geval van een centrale beheerapplicatie een gescheiden gebruikersadministratie voor het beheer van de virtualisatielaag en besturingssystemen (NSA, 2008). Het beheer van de virtualisatielaag vereist specifieke kennis en ervaring en is bij voorkeur belegd bij een aparte groep beheerders. Daarnaast is het beheer van de virtuele-infrastructuur veel omvangrijker en heeft het een grotere impact op de beschikbaarheid van meerdere VM’s. Binnen de virtuele-infrastructuur moeten VM’s, het virtuele netwerk, opslag management, prestatie- / capaciteitsmanagement en specifieke virtualisatiefunctionaliteit zoals Vmotion worden ingericht en beheerd. “There Is a Potential Loss of Separation of Duties for Network and Security Controls” (Gartner, 2010). De beheertaken zoals beveiliging en netwerkbeheer vragen om specifieke kennis en kunde. Het wordt daarom aanbevolen ook hiervoor specifieke groepen voor te hanteren.

--------------------------------------------------------------------------------------------------------------------------Pagina 50




SE-31


Indien er gebruik wordt gemaakt van een centale beheerapplicatie, dan bestaan er duidelijke richtlijnen en procedures over de inrichting en werking van deze applicatie. VMware specifiek: Wijzig niet de configuratie van het standaard account “vpxuser”. Alle connecties vanuit VirtualCenter

worden uitgevoerd met dit generieke account. SE-32


SE-33


Onderscheid het beheer van de virtuele-infrastructuur ten opzichte van het beheer van besturingssystemen. Er bestaat een duidelijke scheiding tussen de taken en verantwoordelijkheden voor beide typen beheergroepen. Gebruik verschillende groepen beheerders binnen de virtueleinfrastructuur. Groepen zijn opgezet op basis van least privilege. Er bestaat een duidelijke beschrijving van taken en verantwoordelijkheden voor de gedefinieerde beheergroepen.

4.6.5 Virtualization Layer Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor de Virtualization Layer beschreven. Voor meer informatie over de Virtualization Layer, zie paragraaf 2.5.1 De Virtualization Layer dient één doel en is volledig gericht op het aanbieden van een veilige omgeving voor VM’s. De interface tussen de Virtualization Layer en VM’s is uitsluitend mogelijk middels hiertoe ontwikkelde API’s. Er bestaan conceptuele discusssies over de veiligheid van virtualisatie en specifieke aanvallen die op de virtualisatielaag kunnen worden uitgevoerd (Hoff, 2008). Vaak hebben dergelijke discussies betrekking op zogenaamde exploits (beveiligingslekken) die misbruikt kunnen om toegang tot een VM of de virtualization layer te bemachtigen. Dat dergelijke aanvallen niet puur theoretisch zijn, maar daadwerkelijke risico’s vormen blijkt bijvoorbeeld uit een Black Hat (conferentie op het gebied van IT beveiliging) demonstratie van Kostya Kortchinsky waarin verschillende geheugenlekken worden misbruikt (Kortchinsky, 2009). Enkele door Klaver (2009) en Jolliffe (2007) geïdentificeerde aanvallen zijn: • Memory Exploitation: Een VM kan buiten zijn toegekende resources treden en geheugen van een andere VM benaderen. • hyperthreading exploits. Hierbij wordt misbruik gemaakt van het feit dat twee processen op één CPU kunnen worden uitgevoerd. • Buffer overflows: door het aanbieden van een grote hoeveelheid data kan er een fout optreden, met mogelijk een crash tot gevolg. De kans op misbruik door middel van dergelijke aanvallen kan middels beheerst patch management zoveel mogelijk worden beperkt. Indien dergelijke kwetsbaarheden zich voordoen, mag van de desbetreffende leverancier worden verwacht dat hier snel een noodfix voor wordt gepubliceerd. Dit toont aan dit patch management een wezenlijke controle vormt om tegen dergelijke risico’s te zijn beschermd, zie beheerproces Manage changes (AI06) 4.6.6 Virtual Network Layer Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor een Virtual Network Layer beschreven. Voor meer informatie over een Virtual Network Layer, zie paragraaf 2.5.5 Netwerk segmentatie Door gebruik te maken van netwerk virtualisatie kunnen er een drietal netwerken worden onderscheiden (NSA, 2008)(Hoff, 2008)(Chandrasekaran e.a, 2006)(VMware, 2008): --------------------------------------------------------------------------------------------------------------------------Pagina 51

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------•

•

•

Het netwerk van de Virtualization Layer (infrastructurele netwerk): Het infrastructurele netwerk bevat de functionaliteit en services die het virtualisatie platform aanbiedt. Voorbeelden hiervan zijn iSCSI (netwerkprotocol om met een SAN te communiceren) of voor VMware ESX de Vmotion functionaliteit. Het beheernetwerk: Het beheernetwerk bestaat uit de connectie tussen een Service Console met een overkoepelende beheer applicatie (bijvoorbeeld VirtualCenter) en de directe toegang tot een Service Console. Het gebruikersnetwerk: De gebruikersnetwerken bieden een interface om VM’s met elkaar te verbinden.

De drie beschreven netwerken zijn allen virtuele netwerken. De VM’s, Service Console en Virtualization Layer zijn allen middels een zogenaamde virtuele netwerk adapter met een virtueel netwerk verbonden (virtual switch). Virtuele netwerken kunnen vervolgens weer met een fysieke netwerk adapter worden verbonden. Op deze manier wordt het virtuele netwerk verbonden met het fysieke netwerk. De drie verschillende typen netwerken kunnen toegekend zijn aan een gemeenschappelijke virtuele switch en fysieke adapter of gescheiden worden uitgevoerd. Dit brengt een grote flexibiliteit met zich mee, maar verhoogt de complexiteit en kans op het foutief configureren van netwerken. Gezien de grote diversiteit aan netwerk verkeer die binnen een virtualisatie platform bestaat, is isolatie tussen deze verschillende type netwerk gewenst. Scheiding van het infrastructurele netwerk en het beheernetwerk Het infrastructuur en beheernetwerk dienen op basis van beveiliging en performance redenen fysiek te worden gescheiden. Beide netwerken dienen een specifiek doel en er bestaat geen operationele reden om toegang tussen beide netwerken te implementeren (NSA, 2008). Het infrastructurele netwerk genereert mogelijk grote hoeveelheden data als gevolg van complete VM’s die over het netwerk worden gekopieerd. De data die over dergelijke netwerken wordt verplaatst is mogelijk niet beveiligd. Binnen VMware ESX geldt dit bijvoorbeeld voor VMotion en iSCSI. Op de fysieke laag bestaat er een maximum aan het aantal te gebruiken netwerk adapters of het beschikbaar aantal fysieke switches. In dergelijke gevallen wordt het aanbevolen altijd gebruik te maken van virtuele scheiding middels vLAN’s (NSA, 2008)(DELL, 2006). Scheiding van gebruikersnetwerken ten opzicht van het infrastructurele- en beheernetwerk Alle gebruikersnetwerken dienen gebruik te maken van aparte fysieke adapters ten opzichte van het infrastructurele- en beheer-netwerk (NSA, 2008)(DELL, 2006). Door het fysiek scheiden van deze drie netwerken wordt een betere isolatie afgedwongen ten opzichte van een configuratie op basis van logische scheiding. Bij het toepassen van een logische scheiding kan netwerkverkeer mogelijk verkeert worden doorgestuurd als gevolg van onjuiste configuratie of misbruikte kwetsbaarheden in externe netwerk hardware (bijvoorbeeld hardware switch). Scheiding tussen operationele gebruikersnetwerken en het beheernetwerk Indien er een weloverwegen reden bestaat om toegang tot het beheernetwerk te verlenen vanuit een operationeel gebruikersnetwerk, dient deze verbinding altijd via een firewall te verlopen. Beperk de mogelijke communicatie tot het strikt noodzakelijke en biedt geen rechtstreekse console toegang (NSA, 2008). Laat eventuele console toegang altijd via VirtualCenter verlopen. De redenen zijn reeds uitgebreid besproken als onderdeel van sectie VirtualCenter

--------------------------------------------------------------------------------------------------------------------------Pagina 52




SE-34

DS5.10 Network Security Het infrastructurele en beheernetwerk dienen bij voorkeur fysiek maar minimaal logisch van elkaar te zijn gescheiden VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering

SE-35

DS5.10 Network Security De gebruikersnetwerken dienen fysiek van het infrastructurele en beheernetwerk te zijn gescheiden. VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering

SE-36

DS5.10 Network Security Beperk de connectie tussen operationele gebruikersnetwerken en het beheernetwerk tot het strikt noodzakelijke en maak altijd gebruik van een externe firewall. VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering

Segmentering Het wordt het aanbevolen om isolatie tussen VM’s aan te brengen middels vLAN’s. Het is over het algemeen voldoende om zogenaamde gebruikersnetwerken van elkaar te scheiden middels vLAN’s (NSA, 2008). Hierbij wordt wel de aanname gemaakt dat het infrastructurele en beheernetwerk gescheiden zijn van de gebruikersnetwerken, zoals ook uit eerder geformuleerde beheersmaatregelen blijkt. In het geval van gevoelige informatie (hoge BIV classificatie) kan besloten worden om fysieke scheiding toe te passen (Jolliffe, 2007). De manier waarop segmentering van bedrijfsgevoelige netwerken wordt bewerkstelligd dient overwogen plaats te vinden, conform het gestelde beleid. Referentie



SE-37


Er bestaat een duidelijk beleid over het gebruik van vLAN’s en vereiste segmentatie tussen netwerken.

SE-38

DS5.10 Network Security Netwerken zijn gesegmenteerd in fysieke en logische netwerken conform het gestelde beleid en BIV classificaties.

--------------------------------------------------------------------------------------------------------------------------Pagina 53

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Koppeling van beveiliging en vLAN De flexibiliteit van virtualisatie stelt eisen aan de manier waarop netwerken zijn ingericht. Voorheen was een netwerk namelijk redelijk statisch, een server werd niet vaak naar een ander netwerksegment verplaatst. Met virtualisatie worden VM’s echter flexibeler. VM’s kunnen verplaatst worden tussen fysieke servers. Dit betekent dat er beheersmaatregelen moeten worden ingericht om ingeregelde netwerksegmenten te blijven onderhouden. Dit vergt een arbeidsintensieve beheeractiviteit, omdat virtualisatie steeds meer naar een dynamische architectuur toe beweegt. Een architectuur waarbij niet meer de plek van een VM bepalend is, maar de gedefinieerde criteria en beperkingen. “Enterprises are advised to evaluate the need for point solutions that are able to associate security policy to virtual machines' identities and that prevent the mixing of workloads from different trust levels on the same server” (Gartner, 2010). Zoals besproken in de sectie “Segmentering” kan op basis van het NSA onderzoek worden geconcludeerd dat logische scheiding tussen VM’s met verschillende BIV classificatie toereikend is. Gartner maakt wel een terechte aanvulling dat segmentatie in een zeer dynamische omgeving in stand moet worden gehouden. Verschillende (virtualisatie)software leveranciers en leveranciers van netwerkcomponenten bieden nieuwe netwerkfunctionaliteit aan die de mogelijkheden van virtualisatie verder ondersteunen. Voorbeeld hiervan zijn virtuele switches waarbij een VM kan worden verplaatst en de gedefinieerde configuratie meeverhuisd. Dit betekent dat een VM bereikbaar blijft en beveiligingsinstellingen blijvend worden afgedwongen. Een voorbeeld van een dergelijke functionaliteit is de Citco Nexus 1000V virtual switch (Miller, 2008). Referentie



SE-39


Er bestaan duidelijke procedures voor het in stand houden van de gedefinieerde netwerksegmentatie en beveiligingsinstellingen (policies) bij het migreren van VM’s over fysieke servers. VMware specifiek: VMware ondersteund software matige oplossingen die een VM en ingestelde policies aan elkaar koppelt. Een voorbeeld van een ondersteunend beheercomponent is de Citco Nexus 1000V virtual switch

Monitoren van virtuele netwerk beveiliging Gezien de ontwikkeling om steeds flexibeler te opereren, zal communicatie tussen VM’s zal steeds meer gevirtualiseerd plaatsvinden. De directe communicatie tussen VM’s, dus zonder tussenkomst van fysieke netwerk componenten, leidt ertoe dat deze communicatie voor bestaande beveiligingsfunctionaliteit zoals een intrusion prevention systeem niet meer inzichtelijk is (Gartner, 2010). Er zal daarom ook voor de virtuele laag beveiligingsfunctionaliteit moeten worden geïmplementeerd, zodat een organisatie beheersing over het virtuele netwerk en het fysieke netwerk als geheel kan garanderen. Referentie



SE-40


Een organisatie heeft beveiligingsfunctionaliteit geïnstalleerd voor de beheersing van de virtuele netwerk laag in relatie met het fusieke netwerk.

Misbruik van vLAN functionaliteit Uit bovenstaande beheersmaatregelen blijkt een sterke voorkeur te bestaan om bij virtualisatie gebruik te maken van vLAN functionaliteit. Indien dit niet gebeurt, zijn een groot aantal voordelen van --------------------------------------------------------------------------------------------------------------------------Pagina 54

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------virtualisatie niet mogelijk als gevolg van een statische infrastructuur. Het gebruik van vLAN’s introduceert echter nieuwe risico’s die veelal technisch van aard zijn. Jolliffe (2007) omschrijft een tweetal bedreigingen waarbij de integriteit en het gedrag van een virtual switch wordt beïnvloed. Voor deze bedreigingen zijn binnen de ESX server waarborgende maatregelen ingebouwd. NSA (2009) concludeert dat vLAN’s toereikende beveiliging bieden. Hierbij gelden de eerder aangedragen aanbevelingen. Natuurlijk is het mogelijk deze maatregelen te omzeilen bijvoorbeeld door middel speciale software. Door Jolliffe (2007) wordt geconcludeerd dat de kans op dergelijke risico’s onwaarschijnlijk is. De door Jolliffe beschreven risico’s zijn: • “attack via virtual switch integrity”: misbruik maken van een vSwitch om toegang tot een een ander netwerksegment te verkrijgen; • “VM or other network nodes influencing Virtual Switch behavior”: Door middel van data de stuurtabel van een vSwitch beïnvloeden. Om de de twee bovenstaande bedreigingen en andere bedreigingen te voorkomen is een goed patch management van belang, zie hiervoor sectie Manage changes (AI06) MAC‐adres spoofing Elke virtuele netwerk adapter beschikt over een eigen MAC-adres zodra de adapter wordt gecreëerd. Dit adres wordt het initiële adres genoemd. Naast het initiële adres bestaat er een zogenaamd effectief MAC-adres. Tijdens creatie zijn beide adressen gelijk, maar het effectieve MAC-adres kan worden gewijzigd. Indien er een wijziging van dit adres plaatsvindt zal de netwerk adapter het verkeer van dit nieuwe (lees effectieve) MAC-adres ontvangen. Kwaadwillende kunnen deze functionaliteit misbruiken door het nabootsen van een netwerk adapter’s MAC-adres. Het wijzigen van MAC-adres instelling dient voorkomen te worden. Binnen ESX omgeving worden hiervoor een tweetal instellingen gehanteerd, namelijk “MAC address changes” en “forged transmissions”. Met deze instellingen wordt afgedwongen dat de geconfigureerde MAC-adressen niet zijn te wijzigen en een VM niet is te misbruiken voor MAC-address spoofing (VMware, 2008)(Jolliffe, 2007). Referentie



SE-41


Zorg dat MAC-adres instellingen niet voor aanvallen zijn te misbruiken en zorg voor een configuratie waarbij de geconfigureerde instellingen niet zijn te wijzigen. VMware specifiek:Bij MAC-address spoofing probeert een aanvaller zich te presenteren als een betrouwbare VM door het unieke MAC-adres te imiteren. Stel onderstaande parameters als volgt in: MAC address changes: REJECT Forged transmission: REJECT

Promiscuous mode van netwerk interfaces Met “promiscuous mode” van netwerk interfaces wordt een configuratie bedoeld waarbij een interface (bijvoorbeeld een virtuele switch) alle data doorstuurt in plaats van enkel de noodzakelijke frames. Indien een dergelijke configuratie wordt gehanteerd, dan kunnen de objecten die aan een dergelijk switch zijn gekoppeld alle pakketjes die over het netwerk worden verzonden onderscheppen en lezen. Indien in het geval van een virtual switch deze switch is gekoppeld aan fysieke netwerk adapter, dan is alle data verkeer van zowel VM’s als fysieke apparatuur te lezen. Het wordt aanbevolen geen gebruik te maken van promiscuous mode. --------------------------------------------------------------------------------------------------------------------------Pagina 55




SE-42


Maak geen gebruik van “promiscuous mode” voor alledaagse bedrijfsvoering. Deze maatregel geldt voor alle switches en poort groepen afzonderlijk. Promicuous mode stuurt alle data door in plaats van uitsluitend de noodzakelijke frames.

4.6.7 Virtual Storage Binnen deze sectie worden specifieke risico’s en noodzakelijke beheersmaatregelen voor Virtual Storage beschreven. Voor meer informatie over een Virtual Storage, zie paragraaf 2.5.6. De virtualisatie biedt een abstractielaag tussen de technisch complexe opslag architectuur en de opslag elementen die zichtbaar zijn voor de gebruiker binnen de virtuele omgeving. De virtuele opslag elementen die voor een VM beschikbaar zijn, zijn virtuele presentaties van fysieke opslag mediums. Een belangrijke keuze in geval van VMware is daarbij om een VMFS-gebaseerde, of juist een NFSgebaseerde oplossing te kiezen. Belangrijk is dat beide oplossingen ondersteuning bieden voor gedeelde en gecoördineerde toegang vanaf meerdere servers. Bij VMFS wordt die functionaliteit in de servers afgehandeld, bij NFS primair in de storagelaag zelf. Het gaat te ver en is buiten de scope van deze scriptie om beide opslag methodieken te beschrijven en specifieke risico’s te identificeren. Een VM wordt opgeslagen als een set van bestanden in een eigen directory in de datastore. Ook een virtual disk wordt als een file in deze datastore gepresenteerd. Een datastore is fysiek een VMFS file system volume of een directory op een NAS. Zoals ook in onderstaand voorbeeld duidelijk wordt, kan een datastore meerdere fysieke storage systemen aanspreken. Veldhuis en Turk (2008) geven voor een database-applicatie het voorbeeld dat er meerdere disks zodanig worden gecombineerd dat er klasses van disks met unieke eigenschappen ontstaan. Voor een database-applicatie kan een klasse bijvoorbeeld bestaan uit een grote hoeveelheid zeer snelle disks. Van de geboden capaciteit kan vervolgens een kleiner stukje aan de databaseserver worden toegewezen. Dit heet een Logical Unit of LUN. Ook specifieke virtualisatiefunctionaliteit vraagt om specifieke architectuur keuzes. Bij het gebruik van Vmotion is het bijvoorbeeld noodzakelijk dat zowel de bron als doel ESX server rechten hebben tot de datastore waarop de te migreren VM is opgeslagen.

--------------------------------------------------------------------------------------------------------------------------Pagina 56


Figuur 5 opslag architectuur (VMware, 2006a)

Het risico van zeer uitgebreide data architecturen is dat data zichtbaar wordt voor ongeautoriseerde gebruikers. Ofwel wordt er voldoende rekening gehouden met de consequenties van virtualisatie op de opslagarchitectuur autorisaties? Bij het centraliseren van data opslag, wat zeker bij virtualisatie voordelen biedt op het vlak van high availability, disaster recovery en dergelijke dienen maatregelen te zijn geïmplementeerd die ervoor waken dat data on a need to have basis toegankelijk is. Referentie


SE-43

DS5.10 Network Security Indien gebruik wordt gemaakt van geavanceerde virtualisatiefunctionaliteit zoals Vmotion, dient de opslag infrastructuur hierop te zijn ingericht. Keuzes voor een bepaalde technologie zijn in overeenstemming met de strategische bedrijfsdoelstellingen. DS5.2 IT Security Plan Er bestaan duidelijke procedures en richtlijnen voor de manier

SE-44


waarop binnen de virtuele opslag infrastructuur beschikbare resources worden ingezet voor verschillende informatievraagstukken. Er bestaan duidelijke richtlijnen hoe opslag resources worden gesegmenteerd d.m.v. zoning of LUN masking

4.7

Manage the configuration (DS09)

Het configuratie wordt binnen het CobiT-raamwerk behandeld in het proces “DS09 Manage the configuration”. Dit proces is erop gericht om de configuratie van de verschillende IT-componenten vast te leggen en bij te houden in een configuratiedatabase. Door een adequaat configuratiebeheer wordt een grotere beschikbaarheid gefaciliteerd worden problemen in de productieomgeving geminimaliseerd en kunnen eventuele problemen sneller worden opgelost. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd; “Er bestaat een beheerst proces voor het beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd.”

--------------------------------------------------------------------------------------------------------------------------Pagina 57

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Vanuit CobiT worden een drietal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven. • DS9.1 Configuration Repository and Baseline; • DS9.2 Identification and Maintenance of Configuration Items; • DS9.3 Configuration Integrity Review. In traditionele, niet virtuele omgevingen, is het vaak duidelijk over welke servers een organisatie beschikt. In de serverruimte kunnen de fysieke servers worden onderscheiden. In een virtuele omgeving zijn deze niet zichtbaar. Zoals Gartner naar aanleiding van een in 2007 uitgevoerde enquête heeft aangegeven is een van de grootste uitdagingen in virtuele omgevingen het beheren van de wildgroei van virtuele (database) servers (Haight, 2008). Deze wildgroei brengt een uitdaging met zich mee op het gebied van configuratiebeheer. Een enkele fysieke server herbergt vaak meerdere virtuele (database) servers. Daarom is het belangrijk om vast te leggen welke virtuele (database) servers in gebruik zijn en dit periodiek te controleren of deze virtuele (database) servers nog beschikbaar zijn en of de registratie nog volledig is. Daarnaast zijn per virtuele (database)server verschillende instellingen mogelijk ook deze instellingen dienen adequaat en volledig te worden geregistreerd. Hiervoor dienen goede procedures worden opgesteld zodat het inzichtelijk is en blijft op welke wijze de virtuele (database) servers zijn geconfigureerd (Baldwin e.a., 2008)(Montero, 2009). Het is van belang dat de configuratie van alle (database) servers en andere IT-componenten adequaat en volledig plaatsvindt. Wanneer dit niet gebeurt kan het oplossen van storingen langer duren dan gewenst of nodig is. Tevens is dit voor het monitoren van belang om inzichtelijk te hebben welke virtuele databaseservers op welke host draaien. Verder is het van belang dat niet alleen de huidige instellingen te zien zijn maar dat ook inzichtelijk kan worden gemaakt welke wijzigingen zijn doorgevoerd ten aanzien van een IT-component (Behnia & Wrobel, 2009)(Clavister, 2009)(Olsen, 2009). Voor het beoordelen van de juistheid van de configuratiedatabase is het van belang dat de parameterwijzigingen aan en het in en uitschakelen van de virtuele (database) servers automatisch wordt gelogd en periodiek wordt beoordeeld. Hiermee kan worden vastgesteld of de configuratie van de omgeving conform de eisen van de organisatie is en is geweest binnen een bepaalde periode. (Melançon, 2008) Alle IT-componenten dienen te zijn geclassificeerd ten aanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Op basis van deze classificatie zullen verschillende maatregelen moeten worden genomen, onder andere op het gebied van beveiliging en continuïteit. Virtualisatie brengt de mogelijkheid met zich mee om onder andere (database) servers en ander ITcomponenten die zijn gevirtualiseerd snel en zonder veel moeite over verschillende fysieke hosts te verplaatsen. Het is hierbij van belang om de classificatie van de virtuele servers, fysieke hosts en overige (virtuele)IT-componenten vast te hebben liggen in het CMDB en te controleren. Vanuit onder andere het beveiligings- en continuïteitsoogpunt is het van belang dat de servers alleen op hosts mogen draaien met dezelfde classificatie. Hierop dient controle te worden uitgeoefend (Baldwin ea, 2008)(Klaver, 2008). Traditioneel werden licenties voor besturingssystemen uitgegeven per server en was de licentie gebonden aan het aantal processoren van de server. Uit interviews met experts komt ook naar voren dat het beheren van licenties in virtuele omgevingen erg lastig is omdat het vaak niet duidelijk is --------------------------------------------------------------------------------------------------------------------------Pagina 58

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------welke regels de softwareleveranciers hanteren. In een onderzoek van Buchanan (2009) ten aanzien van het licentiebeleid van de verschillende edities van Microsoft Server 2008 komt het volgende naar voren; • Windows Server 2008 standaard editie, voor elke virtuele server is een separate licentie nodig; • Windows Server 2008 enterprise editie, deze licentie mag op vier virtuele servers, op dezelfde host, worden gebruikt; • Windows Server 2008 datacentrum editie, deze licentie mag voor een ongelimiteerd aantal servers, op dezelfde host, worden gebruikt. Om problemen met licenties te voorkomen is het belangrijk om goed te registeren en te controleren op welke (virtuele) server wat voor soort licentie wordt gebruik. Dit dient vervolgens periodiek te worden beoordeeld. Uit deze beoordeling kan vervolgens worden vastgesteld of de organisatie over te veel, te weinig of voldoende licenties beschikt. Op basis hiervan kunnen vervolgens maatregelen worden getroffen. In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel. Referentie



CO-01

DS9.1 Configuration Repository and Baseline

CO-02


CO-03


CO-04

DS9.2 Identification and Maintenance of Configuration Items

CO-05

DS9.3 Configuration Integrity Review

CO-06


Voor elke virtuele (database)server is vastgelegd waarvoor de server dient (welke bedrijfsprocessen ermee worden ondersteund), welke applicaties, databases en besturingssystemen hiervoor worden gebruikt, op welke fysieke host de server draait en welke parameters zijn ingesteld. Periodiek wordt beoordeeld of de organisatie over voldoende en juiste licenties beschikt voor de virtuele (database) servers. De componenten van de geïmplementeerde virtuele architectuur zijn opgenomen in de CMDB van de organisatie en zijn geclassificeerd ten aanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Wijzigingen in instellingen van virtuele (database) servers en netwerkcomponenten worden juist, tijdig en volledig vastgelegd. Voor elke virtuele (database)server en netwerkcomponenten worden de historische gegevens/instellingen bewaard. Geautomatiseerd of periodiek wordt beoordeeld of geen conflicten ten aanzien van de (BIV) classificaties van de verschillende virtuele en hardwarematige IT-componenten aanwezig zijn of zijn geweest. Periodiek wordt beoordeeld of alle aanwezige (virtuele) (database) servers en IT-componenten tijdig, juist en volledig in het CMDB zijn opgenomen.

--------------------------------------------------------------------------------------------------------------------------Pagina 59


4.8

Manage data (DS11)

Data management, het beheren van gegevens, wordt binnen het CobiT-raamwerk behandeld in het proces “DS11 Manage Data”. Dit proces is erop gericht om de eisen die aan de gegevens worden gesteld vast te leggen. Het proces voorziet in het beheren van de gegevensbibliotheken, de back-up en restore van gegevens en het verwijderen van gegevens en media. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd; “Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van de gegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.” Vanuit CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven. • DS11.1 Business Requirements for Data Management; • DS11.2 Storage and Retention Arrangements; • DS11.3 Media Library Management System; • DS11.4 Disposal; • DS11.5 Backup and Restoration; • DS11.6 Security Requirements for Data Management. Data management is binnen een virtuele wereld niet wezenlijk anders ten opzichte van een fysieke server infrastructuur. Echter virtualisatie biedt nieuwe mogelijkheden op het gebied van back-up en recovery. Zie hiervoor tevens de paragraaf 4.4 Manage performance and capacity (DS03). De fysieke server is een logisch bestand geworden. Wat betreft data management blijft data management niet meer beperkt tot een gegevensverzameling of applicatie, maar wordt een back-up van de complete VM gemaakt. Dit betekent dat VM’s eenvoudiger zijn te restoren aangezien er geen conflicten meer optreden tussen de gearchiveerde data en de software versie toentertijd. Echter het introduceert tevens het risico dat de VM back-up gebaseerd is op een oude (beveiligings)instellingen en niet is voorzien van de laatste patches, waardoor er bij het restoren een beveiligingsrisico ontstaat. In de procedures voor back-up en restore moet voldoende rekening worden gehouden met de risico’s van de nieuwe virtualisatiefunctionaliteit op dit vlak. In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserver omgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel. Referentie Referentie CobiTGeïdentificeerde beheersmaatregel t.b.v. virtualisatie beheersmaatregel DM-01

DS11.2 Storage and Retention Arrangements

DM-02

DS11.6 Security Requirements for Data Management

DM-03

DS11.5 Backup and Restoration

Er bestaat een duidelijk beleid over de manier waarop er een back-up wordt gemaakt van VM, service console en virtualization layer, de locatie waar back-up bestanden worden opgeslagen en het bewaartermijn. In de back-up en restore procedure van virtual machines wordt rekening gehouden met het verschil in (beveiligings)instellingen en patchniveaus tussen het moment dat de back-up is gemaakt en de restore wordt uitgevoerd op basis van de configuratie DB. Het bewaren en verwijderen van back-up bestanden van VM,Service Console en virtualization layer is in overeenstemming met het continuïteitsbeleid.

--------------------------------------------------------------------------------------------------------------------------Pagina 60


4.9

Manage the physical environment (DS12)

Fysieke beveiliging wordt binnen het CobiT-raamwerk behandeld in het proces “DS12 Manage the physical enviroment”. Dit proces is erop gericht om de fysieke beveiliging van de IT-componenten adequaat in te richten en te beheren. Het doel hiervan is om de hardware te beschermen tegen kwaadwillenden en omgevingsfactoren als bijvoorbeeld water of vuur. De beheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd; “Er bestaat een beheerst proces voor het beheren van de fysieke IT-omgeving. Hierbij worden de ITcomponenten en gegevens beschermd en wordt het risico van verstoringen geminimaliseerd.” Vanuit CobiT worden een vijftal beheersmaatregelen gedefinieerd welke hieronder kort worden opgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen die voor dit proces zijn geïdentificeerd worden beschreven. • DS12.1 Site Selection and Layout; • DS12.2 Physical Security Measures; • DS12.3 Physical Access; • DS12.4 Protection Against Environmental Factors; • DS12.5 Physical Facilities Management. Virtualisatie brengt geen wijzigingen met zich mee aan de fysieke beveiliging van de ITcomponenten. Wel wordt de beveiliging van de componenten belangrijker wanneer de IT-omgeving wordt gevirtualiseerd. Wanneer (database) servers worden gevirtualiseerd worden deze vaak, zoals reeds in een eerder hoofdstuk is besproken, geconsolideerd op 1 fysieke server. Hierdoor draaien vaak meerdere (database) servers op 1 fysieke machine, wanneer deze machine uitvalt heeft dit dus een grotere impact dan wanneer in een traditionele, niet gevirtualiseerde omgeving, 1 machine uitvalt. (Behnia en Wrobel, 2009) Dit resulteert echter niet in een nieuwe of aangepaste beheersmaatregel. In dit hoofdstuk zijn de wijzigingen in de beheersmaatregelen voor de geselecteerde CobiT-processen geïdentificeerd en besproken. De geïdentificeerde ‘delta’ tussen het bestaande CobiT-raamwerk en de specifieke risico’s die het virtualiseren van databaseserver omgevingen met zich meebrengt is opgenomen in bijlage 1. In het volgende hoofdstuk zullen de resultaten van de praktijktoetsing worden besproken.

--------------------------------------------------------------------------------------------------------------------------Pagina 61


--------------------------------------------------------------------------------------------------------------------------Pagina 62


5.

Toetsing, analyse en evaluatie

Binnen dit hoofdstuk worden de belangrijkste uitkomsten van de praktijktoetsing vermeld. Daarnaast wordt aangegeven hoe de uitkomsten zijn verwerkt in de uiteindelijke set van geformuleerde beheersmaatregelen. Tenslotte zal binnen dit hoofdstuk worden teruggekeken op de gemaakte keuzes binnen het onderzoek en mogelijke verbeteringen en vervolgwerkzaamheden.

5.1

Toetsing van het geformuleerde ITbeheersmaatregelenraamwerk

Na een inhoudelijke afstemming met diverse professionals is er een conceptversie van het beheersmaatregelenraamwerk geformuleerd. Het raamwerk is getoetst bij “Deloitte Websolutions”. Deze afdeling verzorgt het beheer voor Deloitte en haar klanten. Hierbij wordt gebruik gemaakt van een gevirtualiseerde IT-infrastructuur (VMware) die extern bij Schuberg Philis wordt gehost. De diensten die Deloitte door Schuberg Philis laat hosten ondersteunen Deloitte en haar globale klanten in hun risicomanagement en compliance-activiteiten. De keuze voor Schuber Philis en een gevirtualiseerd platform zijn gebaseerd op flexibiliteit, schaalbaarheid, kwaliteit en beschikbaarheid van diensten. De toetsing van het geformuleerde beheersmaatregelenraamwerk is gebaseerd op diverse gesprekken met personen die direct betrokken en verantwoordelijk zijn voor de gevirtualiseerde IT-infrastructuur binnen Deloitte Websolutions. Voor meer informatie omtrent deze partij en betrokkenen, wordt verwezen naar “Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen”. Aangezien de verantwoordelijkheid en eisen door Deloitte zijn bepaald en de geïnterviewden voldoende kennis hebben van de gehanteerde configuratie hebben er geen afzonderlijke gesprekken met Schuberg Philis plaatsgevonden. Voor de geselecteerde processen zijn de geïdentificeerde risico’s en de geformuleerde beheersmaatregelen besproken. Hierbij is gelet op de relevantie van de beheersmaatregel (is deze beheersmaatregel terecht opgenomen, de juistheid (klopt de beschrijving), de volledigheid (zijn er nog andere risico’s en noodzakelijke beheersmaatregelen) en toepasbaarheid (is de beheersmaatregel te begrijpen en bruikbaar voor een derde). •

Define the information architecture(PO02) In het conceptraamwerk waren voor dit proces een aantal beheersmaatregelen geïdentificeerd en gedefinieerd. Tijdens de praktijktoetsing bleek dat de geformuleerde beheersmaatregelen geen onderdeel zijn van het proces “define the information architecture”. Dit CobiT-proces gaat de inrichting van de informatie-architectuur op het niveau van applicaties en gegevens. De beheersmaatregelen die waren gedefinieerd gingen in op de impact en inrichting van de infrastructuur. Deze beheersmaatregelen zijn onderdeel van het CobiT-proces “PO03 Determine technological direction” wat geen onderdeel is van de scope van dit onderzoek. o

•

Op basis van de praktijktoets is geconcludeerd dat virtualisatie geen impact heeft op dit proces. Virtualisatie is slechts faciliterend en heeft geen directe invloed op de informatiearchitectuur. Daarnaast is vastgesteld dat virtualisatie tevens een impact heeft op CobiTprocessen die niet onderdeel zijn van de scope van dit onderzoek. Dit onderzoek heeft specifiek gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid.

Assess and manage IT risks(PO09); In het conceptraamwerk werd voor dit proces geen melding gemaakt van de (virtualisatie) componenten die als onderdeel van de toetsing moeten worden behandeld. Er werd onderkend dat de geformuleerde beheersmaatregelen belangrijk zijn om te waarborgen dat de keuze voor virtualisatie aansluit op de organisatiestrategie en dat de risico’s bij virtualisatie worden onderkend en doorvertaald naar de organisatorische doelen en processen. Qua relevantie en volledigheid bestonden er geen opmerkingen. Op het vlak van juistheid en toepasbaarheid van de

--------------------------------------------------------------------------------------------------------------------------Pagina 63

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------voogestestelde beheersmaatregelen werd aangegeven dat niet duidelijk was wat precies werd gevraagd en tot op welk niveau aangetoond moest kunnen worden dat risicomanagement was geïmplementeerd. o

•

Manage changes(AI06) Op het gebied van wijzigingsbeheer werd tijdens de toetsing van ons raamwerk geopperd dat er een nieuwe manier van wijzigingenbeheer kan bestaan, namelijk een vorm waarbij niet de software maar de VM migreert over de OTAP omgevingen. Er werd gewezen op een mogelijk gevolg van het snel kunnen deployen van een VM, namelijk mogelijke wildgroei van VM’s (“Server sprawl”). Om deze wildgroei te voorkomen dient er een beheerst wijzigingsbeheerproces te bestaan. Verder bestaan in de literatuur verschillende meningen over de manier waarop scheiding van omgevingen moet worden geïmplementeerd. Op basis van de praktijktoetsing is geconcludeerd dat er minimaal een fysieke scheiding tussen de test en productieomgeving van de virtualization layer (tussenlaag) dient te bestaan. Op basis van de gedefinieerde beheersmaatregelen en de besproken door te voeren verbeteringen is geconcludeerd dat de beheersmaatregelen juist, volledig, relevant en toepasbaar zijn. o

o

•

Tijdens het interview zijn de specifieke risico’s die bij wijzigingenbeheer op basis van VM migratie worden onderkend nader geanalyseerd Er is een specifieke beheersmaatregel geformuleerd, waarbij rekening wordt gehouden met het classificatie niveau en de (beveiligings)instellingen van een VM die naar de productieomgeving wordt gemigreerd. Op basis van de praktijktoetsing is geconcludeerd dat minimaal fysieke scheiding dient te bestaan tussen de test en productie-omgeving van de virtualization layer. Het betreft hier gescheiden omgevingen van de virtuele-infrastructuur. Bovenop deze infrastructurele scheiding van omgevingen bestaat de scheiding van serveromgevingen (OTAP) van VM’s. Hiervoor zijn aparte beheersmaatregelen gedefinieerd.

Manage the configuration(DS09); Tijdens de praktijktoetsing kwam naar voren dat de gedefinieerde beheersmaatregelen relevant, juist en toepasbaar waren. Daarnaast heeft discussie plaatsgevonden over de volledigheid van de beheersmaatregelen. Tijdens de toetsing werd geopperd voor de opname van beheersmaatregelen voor licentiebeheer. Dit werd in eerste instantie niet beschouwd als een component met impact op de drie kwaliteitsaspecten. Tijdens de toetsing is echter een scenario geschetst van een organisatie die over te weinig licenties beschikte. In een dergelijk geval zouden er mogelijk juridische gevolgen bestaan voor het gebruik van een te groot aantal VM’s. Indirect kan dit een impact op de beschikbaarheid voor deze VM’s tot gevolg hebben. o

•

Op basis van de uitkomsten van dit gesprek, zijn de beheersmaatregelen specifieker toegeschreven naar de virtualisatiecomponenten waar de delta specifiek betrekking op heeft.

Een beheersmaatregel is opgenomen om zorg te dragen voor een beheerst licentiebeheer proces. Hiermee is de volledigheid van de maatregelen voor dit proces geborgd.

Manage performance and capacity(DS03); Prestatie en capaciteitsmanagement krijgt veel aandacht binnen de beschikbare literatuur. Vooral op het vlak van (database)server virtualisatie. Tijdens de praktijktoetsing bleek dat de in het conceptraamwerk opgenomen beheersmaatregelen relevant en volledig zijn. Door het formuleren van duidelijke “Quality of Service” settings en het monitoren van resources kan het proces worden beheerst. Wel verandert de impact en de complexiteit van prestatie en capaciteitsmanagement. De impact wijzigt vanwege de onderlinge relatie tussen VM’s. Eventuele prestatie en capaciteitsproblemen brengt niet de beschikbaarheid van één VM, maar een verzameling VM’s in gevaar. De complexiteit wijzigt omdat voorheen prestatie en capaciteitmanagement per fysieke server werd uitgevoerd. Bij virtualisatie bestaan resources uit

--------------------------------------------------------------------------------------------------------------------------Pagina 64

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------het totaal van en samenwerking tussen servers, netwerk en opslag. De beschikbare capaciteit moet worden verdeeld tussen meerdere VM’s. Voorheen werd het proces dus voor een groot deel per server uitgevoerd, terwijl bij virtualisatie ook een geïntegreerd beeld noodzakelijk is en waarbij ook meer focus is gewenst voor de componenten opslag en netwerk. Wat betreft de juistheid en toepasbaarheid wordt tijdens de praktijktoetsing aanbevolen nog explicieter de componenten en niveaus op te nemen waarop prestatie en capaciteitsmanagement moet worden toegepast. o

o

•

Ensure continuous service(DS04) Voor de in het conceptraamwerk opgenomen beheersmaatregelen wordt de relevantie, juistheid en toepasbaarheid onderkend. Voor de volledigheid is voor continuïteitsmanagement gewezen op de nieuwe functionaliteit die virtualisatie biedt en de mogelijke risico’s die hiermee samenhangen. Bijvoorbeeld het maken van inconsistente snapshots van een databaseserver en mogelijke integriteitproblemen bij de implementatie van een database cluster middels Vmotion, HA en DRS. o

•

Op advies van de geïnterviewden is besloten om voor de meer technische beheersmaatregelen een meer algemene definitie te formuleren. Daar waar noodzakelijk aangevuld met een specifiekere invulling van de beheersmaatregel. Op deze manier is de beheersmaatregel generiek bruikbaar voor verschillende virtualisatieproducten en bestaat er een concrete invulling van de beheersmaatregel voor meer achtergrond informatie.

Manage data(DS11); Op het vlak van datamanagement wordt aanbevolen een expliciete relatie naar continuïteitsmanagement op te nemen. De fysieke server wordt vervangen door logische bestanden die onderdeel gaan worden van het back-up proces. Een organisatie moet beleid en procedures opstelen over de manier waarop met deze (server) data wordt omgegaan o

•

Een extra beheersmaatregel is opgenomen om te waarborgen dat er per type resource een evaluatie moet worden gemaakt over de toepasbaarheid en geschiktheid van de beschikbare (virtualisatie) methoden.

Ensure systems security(DS05); In het conceptraamwerk zijn een groot aantal nieuwe beheersmaatregelen geformuleerd als gevolg van de introductie van de virtualisatielaag. Tijdens de praktijktoetsing bleek de toepasbaarheid ontoereikend. Een aantal beheersmaatregelen moest namelijk worden toegelicht omdat niet direct duidelijk was, wat ermee werd bedoeld en welke risico’s dergelijke beheersmaatregelen afdekten. De risico’s zijn inhoudelijk besproken en daaruit bleek dat de beheersmaatregelen als relevant worden onderkend. Het werd aanbevolen de maatregelen minder technisch te formuleren en daar waar nodig te voorzien van een specifieke toelichting of uitwerking. Op deze manier is de maatregel in algemene zin duidelijk (wat moet er gebeuren). Daar waar niet duidelijk is hoe dit kan worden bewerkstelligd, is een specifieke toelichting gegeven (hoe kan de maatregel worden uitgevoerd). De besproken set van maatregelen werd verder als juist, relevant en volledig ervaren. o

•

Aangezien prestatie en capaciteitsmanagement bij virtualisatie in grote mate wordt bepaald door de resultante van een geïntegreerd geheel, bestaande uit servers, netwerk en opslag, is het van belang dat dit expliciet in beheersmaatregelen wordt opgenomen. Tijdens de praktijktoetsing is bevestyigd dat er geen specifieke beheersmaatregelen zijn vereist voor een gevirtualiseerde databaseserver ten opzichte van andere typen servers. Wel gelden er vaak specifieke eisen die aan een dergelijk type server worden gesteld.

Binnen de beheersmaatregelen voor het datamanagementproces is een referentie naar continuïteitsmanagement opgenomen.

Manage the physical environment(DS12); Geen verschillen geïdentificeerd.

--------------------------------------------------------------------------------------------------------------------------Pagina 65

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------o

5.2

Tijdens de verificatie van de in CobiT aanwezige beheersmaatregelen, als onderdeel van het proces fysieke beveiliging, zijn geen ontbrekende of gewijzigde maatregelen geïdentificeerd.

Analyse van bevindingen

Wanneer wordt gekeken naar de uiteindelijk geïdentificeerde beheersmaatregelen, blijkt dat virtualisatie een grote impact zal hebben op de bestaande infrastructuur en IT-beheerprocessen. De impact uit zich per CobiT-proces op een andere manier, maar er zijn op hoofdlijnen enkele overeenkomsten geïdentificeerd. Deze eigenschappen zijn gecategoriseerd in: - nieuwe beheersmaatregelen; - gewijzigde beheersmaatregelen; - niet gewijzigde beheersmaatregelen. Nieuwe beheersmaatregelen Ten eerste zijn er beheersmaatregelen geïdentificeerd die volledig nieuw zijn. Binnen de volgende processen zijn nieuwe beheersmaatregelen gedefinieerd: • Manage changes(AI06); • Ensure continuous service(DS04); • Ensure systems security(DS05); • Manage data(DS11). Dit is verklaarbaar door het feit dat een nieuwe infrastructuur laag wordt geïntroduceerd die nieuwe (beheer) mogelijkheden biedt. Voor deze nieuwe laag en (beheer)mogelijkheden bestaan ook nieuwe risico’s. Deze risico’s worden afgedekt met beheersmaatregelen die niet bestaan binnen een niet gevirtualiseerde IT-infrastructuur. Gewijzigde beheersmaatregelen De meest omvangrijke groep bestaat uit processen waarvoor een bestaande beheersmaatregel blijft bestaan, maar een specifieke toevoeging voor virtualisatie moet worden opgenomen. Het gaat hierbij om de volgende processen; • Assess and manage IT risks(PO09); • Manage changes(AI06); • Manage performance and capacity(DS03); • Ensure continuous service(DS04); • Ensure systems security(DS05); • Manage the configuration(DS09); • Manage data(DS11). Virtualisatie introduceert een nieuwe laag binnen de infrastructuur die moet worden beheerst. De bestaande beheersmaatregelen zijn vaak globaal gedefinieerd omdat duidelijk was over welke laag werd gesproken. Met de introductie van een extra laag (gevirtualiseerde infrastructuur) dienen deze beheersmaatregelen expliciet deze extra laag te benoemen. Voor deze beheersmaatregelen geldt niet zozeer een ander proces, de diepgang van de beheersmaatregelen wordt groter aangezien ook de virtuele laag onderdeel zal moeten zijn van de gedefinieerde beheersmaatregelen. Geen wijzigingen in de bestaande beheersmaatregelen De laatste categorie zijn de beheersmaatregelen waarbij geen wijzigingen zijn geïdentificeerd als gevolg van virtualisatie. Deze categorie omvat de beheersmaatregelen zoals deze in de niet gevirtualiseerde omgeving reeds bestaan en in een gevirtualiseerde omgeving blijven bestaan. Enkele beheersmaatregelen binnen de geselecteerd processen zullen niet wijzigen wanneer een organisatie gebruik gaat maken van virtualisatie. Deze beheersmaatregelen zijn dan ook niet opgenomen in het opgestelde raamwerk, aangezien dit raamwerk de delta tussen virtuele en niet virtuele omgevingen beschrijft. Op basis van dit onderzoek en praktijktoetsing is vastgesteld dat de beheersmaatregelen voor de volgende twee processen niet wijzigen; --------------------------------------------------------------------------------------------------------------------------Pagina 66

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------• •

Define the information architecture(PO02); Manage the physical environment(DS12).

Hedendaagse audits richten zich vaak uitsluitend op de virtuele-infrastructuur indien hierom specifiek wordt gevraagd. In de praktijk blijkt dat indien een bepaalde applicatie onderdeel is van een audit (bijvoorbeeld een audit in het kader van de jaarrekeningcontrole) er niet altijd wordt vastgesteld of de omgeving die wordt getoetst, wel of niet gevirtualiseerd is uitgevoerd. Vaak wordt niet verder gekeken dan de server waarop de applicatie wordt gehost. Op basis van de specifiek geïdentificeerde risico’s en de impact op de IT-beheerprocessen, kan worden geconcludeerd dat in het geval van virtualisatie ook de virtualisatielaag onderdeel moet worden van de audit. In onderstaande tabel wordt voor elk proces nogmaals aangegeven welke impact virtualisatie heeft op de geselecteerde CobiT-processen. CobiT-proces

Nieuwe beheersmaatregelen

Gewijzigde beheersmaatregelen

Geen wijzigingen in beheersmaatregelen

Define the information architecture(PO02) Assess and manage IT risks(PO09) Manage changes(AI06) Manage performance and capacity(DS03) Ensure continuous service(DS04) Ensure systems security(DS05) Manage the configuration(DS09) Manage data(DS11) Manage the physical environment(DS12) Tabel 1Impact van virtualisatie op de geselecteerde CobiT-processen

5.3

Evaluatie onderzoek

In dit onderzoek is CobiT gebruikt als raamwerk voor het identificeren van de delta tussen een traditionele, niet virtuele en een gevirtualiseerde (database)server omgeving. Bestaande raamwerken zijn geëvalueerd om als startpunt te dienen bij het ontwikkelen van een beheersmaatregelenraamwerk. Op basis van een analyse is gekozen voor CobiT als referentie raamwerk. CobiT is ontwikkeld door ISACA, een Amerikaanse beroepsvereniging voor IT-auditors en professionals op het gebied van informatiebeveiliging. Het raamwerk is overzichtelijk ingedeeld in 4 domeinen die overeenkomen met de 4 fasen in de cyclus van informatiesystemen. Binnen de domeinen onderkent CobiT verschillende (beheer)processen. Verder heeft CobiT als voordeel dat voor elk proces wordt aangegeven welke kwaliteitsaspecten direct (primair) of indirect (secundair) door het proces worden afgedekt. Hierdoor was het mogelijk om op basis van CobiT, de voor dit onderzoek relevante processen te selecteren. CobiT is in het Engels gepubliceerd terwijl deze scriptie in het Nederlands in geschreven. Wanneer sommige Engelse definities één op één naar het Nederlands worden vertaald dekken deze niet meer de juiste lading. Een goed voorbeeld hiervan zijn de CobiT “Control Ojectives” die bij elke proces worden gedefinieerd. Vrij vertaald zijn dit beheersdoelstellingen. Wanneer echter wordt bekeken wat CobiT control objectives noemt, zijn dit in het Nederlands beheersmaatregelen. Dit heeft gevolgen voor de manier waarop in deze scriptie en binnen CobiT de begrippen beheersdoelstellingen en beheersmaatregelen door elkaar lopen. De hoofddoelstelling van het CobiT-proces (binnen CobiT “key objective genaamd) wordt binnen deze scriptie als de beheersdoelstelling beschouwd. De door CobiT gedefinieerde beheersdoelstellingen (binnen CobiT Control Objectives genaamd) worden binnen deze scriptie als beheersmaatregelen geïnterpreteerd. Binnen de opzet van het CobiT--------------------------------------------------------------------------------------------------------------------------Pagina 67

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------raamwerk wordt aangegeven: “Within each IT process, control objectives are provided as generic action statements”. Hieruit blijkt duidelijk dat deze definitie meer aansluit op de definitie van een beheersmaatregel, zoals in dit onderzoek is gehanteerd. De beheersmaatregelen binnen dit onderzoek zijn zo generiek mogelijk gedefinieerd voor de audit van een gevirtualiseerde databaseserver omgeving ongeacht welk virtualisatieproduct hierbij wordt gehanteerd. Er is specifiek gekozen voor een databaseserver omgeving omdat het virtualiseren van een databaseserver soms ter discussie wordt gesteld (AMD, 2008). Daarnaast is de databaseserver altijd een belangrijk object van onderzoek voor (financiële) audits. Tijdens de praktijktoetsing bleek echter dat er op het gebied van beheersing nauwelijks verschillen bestaan tussen het virtualiseren van een applicatieserver en databaseserver. Wel zijn enkele attentiepunten te benoemen die voor een gevirtualiseerde databaseserver speciale aandacht vragen, zoals “Manage performance and capacity (DS03)”. Het generiek formuleren van beheersmaatregelen heeft als voordeel dat het raamwerk voor meerdere virtualisatieproducten is te gebruiken. Het mogelijke nadeel is dat er soms nog een concretisering van het raamwerk moet plaatsvinden. Binnen deze scriptie is de infrastructuur van VMware als voornaamste referentiepunt gebruikt. Enerzijds omdat “Deloitte Websolutions” gebruikt maakt van VMware en anderzijds omdat VMware momenteel de marktleider is op het gebied van virtualisatie. Voor enkele meer technische beheersmaatregelen is er een specifieke toevoeging voor VMware opgenomen. Deze toevoeging geeft een auditor soms meer achtergrondinformatie om de beheersmaatregel goed te kunnen toetsen. Voor het inventariseren en verifiëren van de voorgestelde beheersmaatregelen (delta) is advies ingewonnen bij een virtualisatie architect van ContinuityCenter, een expert op het gebied van Business Technology (ontwikkelingen op het gebied van virtualisatie en Cloud Computing) van IBM en diverse deskundigen binnen Deloitte ERS. Een volledig overzicht is opgenomen in “Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen” Toetsing van het raamwerk heeft plaats gevonden bij “Deloitte Websolutions”. Een voordeel van ‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is een volledig externe organisatie huiverig dergelijke informatie met anderen te delen, echter de auteurs van dit onderzoek hadden toegang tot deze informatie omdat ze ook bij Deloitte werkzaam zijn. De door ‘Deloitte Websolutions’ aangedragen vertrouwelijke informatie heeft bijgedragen aan het formuleren van mogelijke beheersmaatregelen maar wordt niet expliciet kenbaar gemaakt in dit rapport. Op basis van de praktijktoetsing is de relevantie (is deze beheersmaatregel terecht opgenomen?), de juistheid (klopt de beschrijving?), de volledigheid (zijn er nog andere risico’s en noodzakelijke beheersmaatregelen?) en toepasbaarheid (is de beheersmaatregel te begrijpen en bruikbaar voor een derde?) van de geformuleerde beheersmaatregelen vastgesteld. Tenslotte zijn de doorgevoerde wijzigingen en conclusies als gevolg van de praktijktoetsing met “Deloitte Websolutions” besproken.

5.4

Aanvullend onderzoek

Virtualisatie is een relatief nieuwe ontwikkeling en zal zich in de toekomst verder ontwikkelen. Deze ontwikkeling zal wellicht risico’s die in dit onderzoek zijn geïdentificeerd mitigeren. Daarnaast is het aannemelijk dat de verdergaande ontwikkeling ook nieuwe of gewijzigde risico’s en noodzakelijke beheersmaatregelen met zich meebrengt. In de toekomst zullen de resultaten van dit onderzoek dan ook moeten worden geactualiseerd. De eindresultante van het onderzoek bestaat uit een generiek toepasbaar raamwerk voor een gevirtualiseerde (database)server omgeving. Hierbij is de terminologie en architectuur van VMware als leidraad gehanteerd. Toekomstige onderzoeken zouden zich kunnen richten op het verder concretiseren van de geformuleerde beheersmaatregelen voor één of meerdere specifieke virtualisatieplatformen.

--------------------------------------------------------------------------------------------------------------------------Pagina 68

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Het geformuleerde raamwerk is getoetst binnen Deloitte Websolutions. Toekomstig onderzoek zou het raamwerk ook bij andere organisaties kunnen verifiëren. Mogelijk dat hierbij verschillende typen organisaties kunnen worden onderscheiden. Hierdoor zou de toepasbaarheid van het raamwerk ook voor andere typen organisaties inzichtelijk kunnen worden gemaakt. Verder heeft deze scriptie de impact van virtualisatie op negen CobiT beheerprocessen bepaald. CobiT bestaat in totaal uit 34 beheerprocessen. De verwachting is dat virtualisatie ook een impact heeft op (een deel van) de 25 beheerprocessen die niet in dit onderzoek zijn meegenomen. Vanuit de geraadpleegde literatuur en de interviews gehouden met verschillende domeinexperts blijkt dat het belangrijk is dat de geïmplementeerde techniek de bedrijfsdoelstellingen op een juiste wijze ondersteund. Virtualiseren van servers is geen doel op zich. De eis of wens om servers te virtualiseren moet meerwaarde bieden voor de organisatie en voortvloeien dan wel aansluiten op de bedrijfsdoelstellingen (Montero, 2009). Hieruit blijkt dat virtualisatie bijvoorbeeld al een impact heeft op het proces “Determine Technological Direction (PO03)” Tot slot zou aanvullend onderzocht kunnen worden of virtualisatie ook voldoet aan de verwachtingen die worden geschept. Aan de ene kant wordt gepretendeerd dat het beheer van een gevirtualiseerde omgeving makkelijker is ten aanzien van bijvoorbeeld continuïteitsbeheer. Het restoren van een backup van een virtuele machine is makkelijker dan de back-up van een fysieke machine. Maar aan de andere kant brengt virtualisatie ook een additionele software-laag met zich mee die ook beheerd moet worden en die, zoals dit onderzoek in kaart heeft gebracht, ook de nodige risico’s met zich meebrengt. Het verdient aanbeveling om te onderzoeken of er een verschil is in “beheerlast voor de IT organisatie wanneer een omgeving wel of niet is gevirtualiseerd. Om de lijn van dit onderzoek door te trekken zou hiervoor specifiek gekeken kunnen worden naar de kwaliteitsaspecten “effectiviteit” en “efficiëntie”. Hiervoor zou tevens CobiT kunnen worden gehanteerd, aangezien voor alle CobiTprocessen is aangegeven of er een primaire of secundaire impact op beide kwaliteitsaspecten bestaat. Hetzelfde type onderzoek zou kunnen worden verricht voor de audit van een gevirtualisseerde infrastructuur. Is met de introductie van virtualisatie de “audit beheerslast” gewijzigd?

--------------------------------------------------------------------------------------------------------------------------Pagina 69


--------------------------------------------------------------------------------------------------------------------------Pagina 70


6.

Conclusie

Het virtualiseren van (database)servers die zijn gebaseerd op x86 technologie is een trend die toeneemt. Steeds meer organisaties kiezen ervoor om hun IT-infrastructuur te virtualiseren. Virtualisatie is een technologie waarmee IT-hardwareresources in logische objecten kunnen worden verdeeld of samengesteld door als een interface te fungeren tussen de IT-hardware en software. De hardware en logische laag worden door de virtualisatie-techniek volledig van elkaar losgekoppeld. Op basis van dit onderzoek komt naar voren dat de keuze voor virtualisatie een grote impact heeft op IT-beheerprocessen en de IT-infrastructuur in het algemeen. Het gebruik van virtualisatie vraagt een andere wijze van denken, werken en beheersen ten aanzien van de IT-omgeving. De keuze om over te stappen op virtualisatie kan dan ook niet uitsluitend vanuit IT gedreven zijn, maar moet aansluiten op de doelstellingen van de organisatie. Er dient een duidelijke strategie ten grondslag te liggen aan het gebruik van virtualisatie, waarbij aandacht wordt besteed aan culturele en procesmatige wijzigingen. Zo wordt door Bittman aangegeven: “Virtualization without good management is more dangerous than not using virtualization in the first place” (Gartner, 2007). De wijzigingen op IT-beheerprocessen en IT-infrastructuur leiden tot noodzakelijke wijzigingen van het risicoprofiel, beheersmaatregelen en de IT-auditaanpak. Dit vraagt van een IT-auditor inhoudelijke kennis van de virtualisatietechnologie en geschikte tooling om de risico’s en impact voor een organisatie inzichtelijk te maken. Dit onderzoek geeft een eerste aanzet voor dergelijke tooling door de formulering van een algemeen beheersmaatregelenraamwerk voor een gevirtualiseerde (database)server omgeving. In deze scriptie is beoordeeld welke impact virtualisatie heeft op een databaseserver omgeving ten aanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Na een korte inventarisatie van beschikbare raamwerken, zijn de raamwerken NIST, ITIL en CobiT meer inhoudelijk geëvalueerd. Er is gekozen om CobiT als uitgangspositie te hanteren om een tweetal redenen. Ten eerste is de reikwijdte (scope) voor IT vanuit een audit-perspectief gezien breder ten opzichte van de andere kwaliteitsmodellen. Ten tweede zijn de CobiT-processen gekoppeld aan verschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoek centraal staan. Op basis van CobiT is er een inventarisatie gemaakt van alle relevante IT-beheerprocessen. Daarnaast zijn verschillende interviews gehouden met experts op het gebied van virtualisatie en auditing. Dit heeft tot de selectie van een negental CobiT beheerprocessen geleid: • Define the information architecture(PO02); • Assess and manage IT risks(PO09); • Manage changes(AI06); • Manage performance and capacity(DS03); • Ensure continuous service(DS04); • Ensure systems security(DS05); • Manage the configuration(DS09); • Manage data(DS11); • Manage the physical environment(DS12). Aan de hand van interviews, literatuurstudie en andere informatiebronnen is vervolgens voor deze negen IT-beheerprocessen beoordeeld welke wijzigingen van beheersmaatregelen noodzakelijk zijn als gevolg van de introductie van virtualisatie. De geformuleerde beheersmaatregelen zijn in de praktijk getoetst op basis van relevantie, juistheid, volledigheid en toepasbaarheid. De resultaten van deze toetsing zijn verwerkt en besproken met inhoudelijke experts. Een volledig overzicht van de gewijzigde en nieuwe beheersmaatregelen is opgenomen in bijlage 1. Op basis van het uitgevoerde onderzoek kan worden vastgesteld dat de impact van virtualisatie op de beheersmaatregelen binnen de CobiT-processen een drietal categorieën zijn te onderkennen: --------------------------------------------------------------------------------------------------------------------------Pagina 71

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------• • •

Nieuwe beheersmaatregelen; Gewijzigde beheersmaatregelen; Geen wijzigingen in de bestaande beheersmaatregelen.

Er zijn geen beheersmaatregelen geïdentificeerd die als gevolg van virtualisatie komen te vervallen. Nieuwe beheersmaatregelen: Virtualisatie heeft de grootste impact op de processen: “Manage changes(AI06)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)” en “Managedata(DS11)”. De processen “Manage changes” en “Ensure continuous service” kunnen binnen een gevirtualiseerde infrastructuur op nieuwe manieren worden geïmplementeerd. Het proces “Ensure systems security” moet worden toegepast op een nieuwe infrastructurele laag die voorheen niet bestond. Deze virtualisatielaag grijpt in op voorheen fysiek uitgevoerde componenten zoals netwerk en storage. Het proces “Manage data” krijgt te maken met nieuwe vormen van gegevensopslag, namelijk de (virtuele) server zelf. Deze eigenschappen en nieuwe mogelijkheden als gevolg van virtualisatie om deze IT-beheerprocessen in te vullen, maken de introductie van nieuwe beheersmaatregelen noodzakelijk. De tweede categorie bestaat uit beheersmaatregelen die wijzigen. De beheersmaatregelen zoals die in een niet-gevirtualiseerde omgeving bestaan, blijven gewoon van toepassing. Echter met de introductie van virtualisatie moeten de beheersmaatregelen ook op de virtuele-infrastructuur worden toegepast. Dit betekent dat binnen de beheersmaatregelen expliciet aandacht moet worden besteed aan deze virtuele laag. Voor de volgende processen zijn beheersmaatregelen geïdentificeerd die niet zozeer inhoudelijk wijzigen, maar verder zijn toegeschreven naar een gevirtualiseerde (database)server omgeving: • Assess and manage IT risks(PO09); • Manage changes(AI06); • Manage performance and capacity(DS03); • Ensure continuous service(DS04); • Ensure systems security(DS05); • Manage the configuration(DS09); • Manage data(DS11). De derde categorie bestaat uit bestaande beheersmaatregelen die niet veranderen. Ten aanzien van de processen “Define the information architecture(PO02)” en “Manage the physical environment(DS12)” zijn er in dit onderzoek geen wijzigingen in de bestaande beheersmaatregelen aangetroffen. Op basis van interviews en de geformuleerde “delta” kan worden geconcludeerd dat de impact van virtualisatie op databaseservers dit wezenlijk verschilt van andere typen servers (bijvoorbeeld een applicatieserver). Het verschil heeft betrekking op de applicatielaag. Een databasemanagementsysteem is een applicatie met een hoge I/O ratio ten opzichte van de meeste applicaties. Daarnaast brengt de informatie in een databasemanagementsysteem vaak andere eisen met zich mee ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid. vanwege de gegevens die erin zijn opgeslagen. Dit betekent dat niet zozeer de beheersmaatregelen veranderen, maar het type applicatie vraagt specfieke aandacht op het gebied van “Manage performance and capacity (DS03)” en “Ensure continuous service (DS04)”. Het onderzoek toont aan dat bij het uitvoeren van audits op een gevirtualiseerde infrastructuur ook de virtuele laag moet worden beoordeeld. In het verleden was de scope van een audit vaak beperkt tot de server waarop de applicatie wordt gehost. De beheersmaatregelen die in dit onderzoek zijn opgesteld, zie bijlage 1, moeten worden opgenomen in de huidige beheersmaatregelenraamwerken. Dit onderzoek toont de delta aan tussen een traditionele, niet gevirtualiseerde omgeving en een omgeving waarin de verschillende servers en overige IT-componenten zijn gevirtualiseerd.

--------------------------------------------------------------------------------------------------------------------------Pagina 72

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------Binnen dit onderzoek wordt geen uitspraak gedaan of virtualisatie inderdaad voordelen biedt zoals flexibilteit, utilisatie, goedkoper en eenvoudiger beheer. Ook wordt er geen uitspraak gegeven of er een positief of negatief effect bestaat op de beheerlast voor de automatiseringsafdeling. Er kan wel worden geconcludeerd dat de introductie van virtualisatie een grote impact heeft op de infrastructuur en IT-beheerprocessen en dat de eventuele voordelen van virtualisatie uitsluitend kunnen worden bereikt indien de binnen dit onderzoek aangekaarte risico’s voldoende worden beheerst. Voor de ITauditor betekent dit dat bij de verkenning van de organisatie en het informatielandschap de IT-auditor zich moet vergewissen hoe het informatielandschap is ingericht en of hierbij virtualisatie wordt toegepast. De IT-auditor kan vervolgens het binnen dit onderzoek ontwikkelde raamwerk, gebruiken als tooling om de risico’s bij een gevirtualiseerde (database)server omgeving voor een organisatie inzichtelijk te maken.

--------------------------------------------------------------------------------------------------------------------------Pagina 73


--------------------------------------------------------------------------------------------------------------------------Pagina 74


Bronnen Aboulnaga A., Sallem K., Soror A.A., Minhas U.F., Kokosielis P. & Kamath S., Deploying database appliances in the cloud, IEEE, Maart 2009 Adams K. & Agesen O., A Comparison of Software and Hardware Techniques for x86Virtualization, VMware, Augustus 2006 Amazon, Amazon Elastic Compute Cloud (Amazon EC2), Amazon.com, Maart 2010 AMD, Virtualizing Server Workloads; Looking Beyond Current Assumptions, AMD White Paper, 2008 Araujo R.& Hau W., Virtualization and Risk – Key Security Considerations for your Enterprise Architecture, Foundstone, November 2007 Baldwin A., Shiu S.,Beres Y., Auditing in shared virtualized environments, Trusted Systems Laboratory, HP Laboratories, Palo Alto, Januari 2008 Bats, B., 11 VMWare template tips, Bjornbats.nl, Juni 2009 Behnia K. & Wrobel E., Seven Requirements for Balancing Control and Agility in the Virtual Environment, BMC Software, Augustus 2009 Bhatia N., Performance Evaluation of AMD RVI Hardware Assist, VMware, Maart 2009 Bowker M., Storage Considerations for Data Protection in VMware Environments, Februari 2008 Buchanan S., Virtualization Licensing Costs: Comparing VMwareVMware ESX With Microsoft Hyper-V, Gartner, Augustus 2009 Butler J.M. & Vandenbrink R., IT Audit for the Virtual Environment, A SANS Whitepaper, September 2009 Chandrasekaran B., Holman K., Nguyen C.T., Stanford S., Enabling VMware ESX Server vLAN Network Configurations, Dell Power Solutions, Februari 2006 Chen G.P. & Bozman J.S., Optimizing I/O Virtualization: Preparing the Datacenter for Next Generation Applications, IDC Information and Data, September 2009 Clavister, Virtualization 101 A basic guide to virtualization for the small to medium business, Clavister, Oktober 2009 Derksen en Noordam, Modellen die werken, Boekdrukkunst uitgevers, Gouda, augustus, 2008 Dutton G., Managing Virtualization's Additional Risks, Virtual Strategy Magazine, Mei 2007 Fijneman, R., E. Lindgreen & P. Veltman, Grondslagen IT-auditing, Academic Service, Den Haag, December 2005 Gartner, Gartner Says 60 Percent of Virtualized Servers Will Be Less Secure Than the Physical Servers They Replace Through 2012, March 15, 2010

--------------------------------------------------------------------------------------------------------------------------Pagina 75

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Gartner, Gartner Says Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012,Gartner, April 2008 Gartner, Virtualization Will Drive Major Change in IT Infrastructure and Operations in the Next Three Years, Gartner, Mei 2007 Geuze R., van teeffelen R., Consolidatie en Virtualisatie van Intel en UNIX platformen – de praktijk, IBM, maart 2009 Golden B., Virtualization for dummies, Wiley Publishing, Hoboken, 2008 Haight C. & Colville R.J., Virtualization Is Bringing Together Configuration and Performance Management, Gartner, 2010 Haight C., Data Center Conference Survey: Addressing the Operational Challenges of Virtual Server Management, Gartner, February 2008. Hau W. & Araujo R., Virtualization and Risk – Key Security Considerations for your Enterprise Architecture, Foundstone, November 2007 Hietala J.D., Top Virtualization Security Mistakes (and How to Avoid Them), SANS Whitepaper , August 2009 Hoff, The Four Horsemen Of the Virtualization Apocalypse, Blackhat 2008 HP, Managing a sustainable virtual environment, HP, Oktober 2009 HP, Planning a Microsoft Virtual Server infrastructure with HP ProLiant servers, storage, and management, Hewlett-Packard Development Company, April 2006 Huet A., Staquet A., Business Risk Management, FEDICT, Augustus 2006 IBM, Creating a Dynamic Infrastructure through Virtualization, IBM Corporation, April 2009 InfoGard Laboratories, VMware ESX Server 2.5.0 and VirtualCenter1.2.0 Security Target, 2006 ISACA, ISACA Overview and History, ISACA.nl , Maart 2010 IT Governance Institute (ITGI), CobiT 4.1, IT Governance Institute (ITGI), December 2007 Jolliffe G, VMware Virtual infrastructure Security risk assessment, Xtravirt, 2007 Jong B. de, Gestandaardiseerd maatwerk in audits op IT Beheersing, .ego, juli 2006 Klaver C., Challenges that virtualization bring to traditional IT security controls,Vurore.nl, April 2008 Kortchinsky K., CLOUDBURST A VMwareVMware Guest to Host Escape Story, BlackHat USA 2009, Juni 2009 Lowe S., How virtualization impacts IT staff, security and change management, Techtarget.com, maart 2008

--------------------------------------------------------------------------------------------------------------------------Pagina 76

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------McAfee, Virtualization and Risk: Key Security Considerations for Your Enterprise Architecture, McAfee.com, November 2007 Melançon D., Getting Real About Virtual Environments, Enterprise Networks & Servers, Februari 2008 Miller R, Cisco Unveils Virtual Switch for VMware, Datacenterknowledge.com, September 2008 Montero A., Virtualisatie: alleen maar voordelen?, de EDP-Auditor, 2009,nummer 1&2. Morgan B, Virtualization , WindowSecurity.com, Januari 2006 Muirhead T., Microsoft SQL Server 2005 Virtualization in the Dell Scalable Enterprise, Dell Power Solutions, November 2006. National Security Agency (NSA), VMware ESX Server 3 Configuration Guide, Ft. Meade, March 2008 Nederlands Normalisatie Instituut (NNI), Nederlandse Norm NEN-ISO 8402 ‘Kwaliteit, termen en definities’, NNI, Delft, juli 1989 NIVRA & NOREA, Handboek EDP-auditing , Kluwer Bedrijfswetenschappen, Deventer, November 1999. Olsen G., Adapt change management processes to include virtualization,Techtarget.com, Maart 2009 Pike J.D. & Engstrom D., Server Virtualization in the Scalable Enterprise, Dell Power Solutions, Augustus 2006. Ranada J., Virtualization- Related Security Risk, Nysforum.org, Juni 2009 Romano B.J. Virtualization Case Studies, The Seattle Times, February 18, 2008 Scalzo, 10 Simple Steps for Boosting Database Performance in a Virtualized Environment, Quest software, 2009 Singh, Amit, An Introduction to Virtualization, Kernelthread.com, Januari 2004, Snijders, De Groot & De Seriere, Informatiekunde 2 ondernemen met informatie, Educatieve Partners Nederland, Houten, Maart 1999, 2e druk Soror A.A., Aboulnaga A. & Salem K., Database Virtualization: A New Frontier for Database Tuning and Physical Design, Universiteit van Waterloo, Januari 2007 Stevens F., Grembergen W. van & Haes S. de, ITIL en CobiT en hun toepassing op Sox, Informative, December 2006 Szabolcs M., How virtualization will help you to transform the IT, DCT Architect, april 2009 Toet D., Atos werkt vier jaar aan ICT Vancouver 2010, Computable.nl, Januari 2010 Van der Beek M. Korf R. & Smit H.J., Standaarden, is door de bomen het bos nog te zien?, Vurore.nl, April 2009

--------------------------------------------------------------------------------------------------------------------------Pagina 77

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Van Praat & Suerink, Inleiding in EDP-auditing, Ten Hagen & Stam, Den Haag, November 2004, 5e druk Veldhuis B. & Turk R.,”Virtualisatie taxonomie”, Continuity center, Oktober 2008 VMware, VMware Infrastructure Architecture Overview, VMware, 2006a VMware, Reducing Server Total Cost of Ownership with VMware Virtualization Software, VMware, 2006b VMware, Making Your Business Disaster Ready with Virtual Infrastructure, VMware, 2006c VMware, Automating High Availability (HA) Services with VMware, VMware, 2006d VMware, Security Hardening, VMware, 2008 Wagter, R., Berg, M. van den, Luijpers, J. & Steenbergen, M. van (2005). Dynamic Enterprise Architecture – How to make it work, John Wiley & Sons, Inc., New York. Wininger R., Capacity Management in Virtual Infrastructures, FusionStorm, November 2009 Woollard D., NTP in a Virtualised Infrastructure,Vmote, Augustus 2009

--------------------------------------------------------------------------------------------------------------------------Pagina 78


Index Appliances .................................................... 28 Beschikbaarheid ............................................ 19 Cluster ........................................................... 35 Continuous availability ................................. 34 Denial of service attack ................................. 39 Disk shrinking ............................................... 41 DiskWiper ..................................................... 41 Integriteit ....................................................... 20 iSCSI ............................................................. 50 LUN .............................................................. 55 Man-in-the-middle ........................................ 44 NAS .............................................................. 16 Near-line hot site ........................................... 34 Network Time Protocol (NTP) ..................... 47 Non persistent disk ........................................ 41 On-line hot site.............................................. 34

OTAP ............................................................ 29 Promiscuous mode ........................................ 54 RPO .............................................................. 34 RTO .............................................................. 34 SAN .............................................................. 16 Service Console ............................................ 15 Snapshots ...................................................... 35 Vertrouwelijkheid ......................................... 20 Virtual Center ............................................... 15 Virtual Machines .......................................... 15 Virtual Networking Layer............................. 15 Virtual Storage .............................................. 15 Virtualization Layer ...................................... 14 vLAN ............................................................ 16 vMotion......................................................... 11 x86-platformen ............................................... 9

--------------------------------------------------------------------------------------------------------------------------Pagina 79


--------------------------------------------------------------------------------------------------------------------------Pagina 80

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Bijlage 1 Opgesteld Normenkader De binnen deze bijlage opgenomen tabel is de resultante van dit onderzoek en toont voor elk CobiT-proces de delta voor beheersmaatregelen in een gevirtualiseerde (database)server omgeving ten opzichte van een niet gevirtualiseerde omgeving. Referentie CobiTproces PO09

CobiTproces

CobiT-beheersdoelstelling

Assess and manage IT risks

Er bestaat een beheerst proces voor ITrisico identificatie, beoordeling en beheersing. Alle IT-risico’s en mogelijke impact op de processen en doelen van een organisatie worden onderzocht en binnen de organisatie gedeeld.

Referentie Beheersmaatregel RM-01


Geïdentificeerde beheersmaatregel (Delta)

PO9.1 IT Risk Management Framework

In het IT-risicomanagement raamwerk wordt aandacht besteed aan de risico’s voor virtualisatie van (database) servers en de impact hiervan op de bedrijfsprocessen, (virtuele) infrastructuur en (IT) beheerprocessen. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 81

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Referentie CobiTproces PO09

PO09

CobiTproces







RM-03



PO9.2 Establishment of Risk Context

Bij het vaststellen van de risico context voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur dient expertise op het gebied van (database)server virtualisatie aanwezig te zijn. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage Er bestaat een periodiek proces voor het identificeren van de bedreigingen voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur. Hierbij moeten de specifieke bedreigingen van een virtuele omgeving worden meegenomen en is expertise op het gebied van (database)server virtualisatie betrokken. De volgende onderdelen van een virtuele omgeving moeten hierin in iedergeval worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage

PO9.3 Event Identification

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 82

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Referentie CobiTproces PO09

PO09

CobiTproces







RM-05



PO9.4 Risk Assessment

Bij het uitvoeren van de risicoanalyse voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur dient expertise op het gebied van (database)server virtualisatie te worden betrokken. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage De maatregelen om de risico’s voor de bedrijfsprocessen, (IT) beheerprocessen en de (virtuele) infrastructuur worden met inhoudelijke experts en verantwoordelijken in de organisatie besproken. Hierbij moeten de volgende onderdelen van een virtuele omgeving worden meegenomen; • Virtual Machine (VM) • Service Console • VirtualCenter • Virtualization Layer • Virtual network • Virtual Storage Er bestaat een geïntegreerde aanpak waarbij tevens deskundigen op het gebied van virtualisatie zijn betrokken.

PO9.5 Risk Response

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 83

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Referentie CobiTproces AI06

AI06

CobiTproces


Manage changes

Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.

Manage changes

Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.

Referentie Beheersmaatregel CM-01

CM-02




De wijzigingsprocedure dient invulling te geven aan de volgende activiteiten; • Wijzigen van de parameters van het platform waarop de virtuele (database) servers werken; • Toevoegen van een nieuwe (database)server aan de omgeving; • Wijzigen in de templates voor de Virtuele Machine’s; • In en uitschakelen van de virtuele (database) servers; • Het migreren van een virtuele (database)server tussen fysieke servers; • Het updaten (patchen) van de virtuele software; • Wijzigingen aan de instellingen voor het geautomatiseerd verplaatsen van VM’s. Alle wijzigingen en patches voor de tussenlaag (virtualization layer) moeten worden getest in een fysiek gescheiden omgeving.


---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 84


AI06

CobiTproces


Manage changes

Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken. Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.

Manage changes


CM-04




De ontwikkel, test en acceptatie VM’s worden gehost op een server die fysiek gescheiden is van de omgeving waar de productie VM’s op worden gehost.


De wijzigingsprocedure voorziet erin dat virtuele servers (VM’s) niet van de acceptatie naar de productie omgeving(of tussen andere omgevingen) mogen worden verplaatst. Wanneer een organisatie ervoor kiest om dit wel te doen dient de organisatie additionele beheersmaatregelen te treffen; • Voordat virtuele servers van de acceptatieomgeving in de productieomgeving worden geplaatst moeten alle relevante (beveiligings)instellingen, autorisaties en classificaties worden aangepast aan de eisen die worden gesteld ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid. • De organisatie dient vast te stellen dat de VM’s alleen verschillen ten aanzien van de geautoriseerde (applicatie of database) wijziging en dat er geen andere verschillen aanwezig zijn.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 85


CobiTproces


Manage changes

Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken. Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken. Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken. Er bestaat een beheerst proces voor het implementeren van wijzigingen. De wijzigingen zijn een gevolg van eisen vanuit de organisatie en in lijn met de bedrijfsstrategie. Het proces is erop gericht om oplossingstijden, verstoringen van de informatievoorziening en nazorg te beperken.

AI06

Manage changes

AI06

Manage changes

AI06

Manage changes





De wijzigingsprocedure moet erop gericht zijn dat bij het aanmaken, restoren of verplaatsen van virtuele databaseservers de database instantie wordt aangepast aan de identiteit van de virtuele server.

CM-06


CM-07

AI6.2 Impact Assessment, Prioritization and Authorization

De wijzigingsprocedure moet erin voorzien dat wanneer de organisatie een appliance van de acceptatie naar de productieomgeving gaat verplaatsen deze aan alle eisen die worden gesteld ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid voldoet. Voordat een VM naar een fysieke andere host wordt verplaatst moet worden vastgesteld dat de configuratie en patchniveau van de virtuele lagen op de verschillende fysieke hosts gelijk is.

CM-08


De wijzigingsprocedure moet erin voorzien dat de impact van de wijziging op de totale capaciteit en prestaties van de fysieke host wordt bepaald en beoordeeld.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 86

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Referentie CobiTproces

DS03

CobiTproces

Manage performance and capacity


Er bestaat een beheerst proces voor het monitoren van de prestaties en capaciteit van de automatiseringomgeving. Hierbij worden de prestaties en capaciteit van de automatiseringomgeving geoptimaliseerd voor de eisen van de organisatie.





De wijzigingsprocedure dient erin te voorzien dat bij het verplaatsen van een (database)server of ander IT-component de dataverzoeken ook juist gerouteerd worden.

CM-10


Voordat een appliance van de acceptatie naar de productieomgeving wordt verplaatst dient de organisatie vast te stellen dat de appliance geen malware of andere gevaarlijke elementen bevat.

PC-01

DS3.1 Performance and Capacity Planning

Er bestaat een duidelijk beschreven performance en capaciteitsplan. Het plan besteed aandacht aan de componenten CPU, geheugen, storage en het netwerk. Voor het beheersen van deze componenten bestaat een duidelijke aanpak en afspraken over de te leveren QOS (quality of service) voor de volgende virtualisatie lagen: virtual machine, Virtualization Layer, clusters en resource pools.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 87

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Referentie CobiTproces DS03

DS03

CobiTproces






Referentie Beheersmaatregel PC-02

PC-03



DS3.2 Current Performance and Capacity

Er bestaat inzicht in de huidige onder en bovengrens van geleverde performance en gebruikte capaciteit voor momenten met een hoge als lage belasting.

DS3.3 Future Performance and Capacity

Er bestaan inzichtelijke referentiekader voor CPU, geheugen, opslag en netwerk gebruik. Deze componenten worden gemonitored voor de volgende virtualisatie lagen: VM, Virtualization Layer, clusters en resource pools. De referentiekaders zijn actueel en worden gebruikt om te reageren op overbelasting volgens het geformuleerde performance en capaciteitsplan. Actuele referentiekaders worden gebruikt om de toekomstige prestatie indicatoren en het capaciteitsverbruik te voorspellen. Analyses worden gebruikt om de impact op de gevirtualiseerde infrastructuur (CPU, geheugen, opslag en netwerk) te bepalen. Voor eventuele performance en capaciteitsproblemen worden acties gedefinieerd, gecommuniceerd en gemonitored.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 88


CobiTproces


Referentie Beheersmaatregel PC-04





DS3.4 IT Resources Availability

De ontwikkelingen op het gebied van prestatie en capaciteit management worden periodiek verwerkt in een resource plan ten opzichte van beschikbare resources. Er wordt rekening gehouden met de geldende QOS (quality of service) afspraken van de specifieke gevirtualiseerde omgeving. Ook bestaat er aandacht voor gemaakte beleid keuzes (bijvoorbeeld of het mogelijk is dat het geformuleerde continuïteitsplan kan blijven worden uitgevoerd). De actuele informatie van geleverde prestaties en verbruikte capaciteit voor de volgende virtualisatie lagen: VM, Virtualization Layer, clusters en resource pools worden gebruikt om de actuele dienstverlening verder te optimaliseren en om over de geleverde QOS te rapporteren richting de gebruikersorganisatie. Er zijn organisatorische keuzes gemaakt over de manier waarop invulling wordt gegeven aan continuïteitsmanagement. Hierbij zijn de mogelijkheden van virtualisatie geëvalueerd en is rekening gehouden met de voor en nadelen van virtualisatie, impact op infrastructuur en RTO / RPO eisen vanuit de organisatie.

DS03



PC-05

DS3.5 Monitoring and Reporting

DS04

Ensure continuous service

Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt.

BM-01

DS4.1 IT Continuity Framework

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 89


CobiTproces




Referentie Beheersmaatregel BM-02



DS4.2 IT Continuity Plans

Er bestaat een uitgewerkt continuïteitsbeleid en vertaling naar een concreet plan. Er heeft een inventarisatie van kritieke resources plaatsgevonden. Binnen het plan bestaat aandacht voor de Beschikbaarheid, Integriteit en Vertrouwelijkheid classificatie van de virtuele-infrastructuur en kritieke proces ketens van VM’s binnen en over meerdere fysieke server heen. De richtlijnen, rollen, verantwoordelijkheden, procedures, communicatie processen en test aanpak zijn duidelijk beschreven voor de virtueleinfrastructuur. Er wordt rekening gehouden met niet actieve VM’s. Er is zekerheid verkregen over de mate waarin de gekozen implementatie van virtualisatiefunctionaliteit geschikt is voor de desbetreffende applicatie en wordt ondersteund door leveranciers.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 90


CobiTproces




DS04


DS04


DS04


Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt. Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt. Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt.




DS4.3 Critical IT Resources

Voor de kritieke resources is een concreet plan uitgewerkt waarbij rekening wordt gehouden met de RTO en RPO eisen. De eisen zijn vertaald naar concrete implementaties binnen de virtueleinfrastructuur. Voor redundant uitgevoerde VM’s bestaan maatregelen die ervoor waken dat de VM’s op fysiek gescheiden servers worden uitgevoerd. Voor wijzigingen in het continuïteitsplan wordt de impact op de virtueleinfrastructuur verwerkt. Wijzigingen op de virtuele-infrastructuur worden verwerkt in bestaande procedures.

BM-04

DS4.4 Maintenance of the IT Continuity Plan

BM-05

DS4.5 Testing of the IT Continuity Plan

Het continuïteitsplan / disaster recovery wordt periodiek getoetst. Hierbij wordt gelet op geschiktheid van de geïmplementeerde procedures voor de virtuele-infrastructuur.

BM-06

DS4.6 IT Continuity Plan Training

Er bestaat voldoende kennis en kunde van de virtuele-infrastructuur zodat het continuïteitsplan kan worden uitgevoerd.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 91


CobiTproces



Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt. Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt. Er bestaat een beheerst proces om te zorgen voor de continue beschikbaarheid van de automatiseringsomgeving. Hierbij wordt de impact voor de bedrijfsprocessen van een calamiteit of een incident tot een minimum beperkt.

DS04


DS04


DS04






DS4.7 Distribution of the IT Continuity Plan

Het continuïteitsplan wordt verstrekt aan beheerders van de virtuele-infrastructuur. Wijzigingen in het continuïteitsplan op het niveau van de virtuele-infrastructuur worden verstrekt aan alle betrokkenen.

BM-08

DS4.8 IT Services Recovery and Resumption

Er bestaan procedures om alle betrokkenen te informeren over de impact voor de organisatie van continuïteitsmaatregelen op de virtueleinfrastructuur.

BM-09

DS4.9 Offsite Backup Storage

De uitwijklocatie en virtueleinfrastructuur voldoen aan dezelfde eisen als de primaire productielocatie en virtuele-infrastructuur.

BM-10

DS4.10 Postresumption Review

Back-ups van de Virtuele-infrastructuur en VM's die extern worden opgeslagen zijn geclassificeerd op basis van Beschikbaarheid, integriteit en volledigheid. De offsite opslaglocatie voldoet aan de BIV classificatie De resultaten van een succesvolle uitvoering van het continuïteitsplan worden geëvalueerd. Hierbij worden de procedures voor de virtuele-infrastructuur beoordeeld op mogelijke verbeteringen.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 92


CobiTproces


Ensure systems security

Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt. Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt. Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.

DS05


DS05


Referentie Beheersmaatregel SE-01



DS5.1 Management of IT Security

De consequenties van virtualisatie op de IT beveiliging is afgestemd met het (strategisch) management van de organisatie

SE-02


Het IT beveiligingsplan besteedt aandacht aan de rollen, verantwoordelijkheden, beleid, standaarden en procedures met betrekking tot de gevirtualiseerde infrastructuur laag.

SE-03


Er bestaat een periodiek proces voor het monitoren van beveiligingsinstellingen ten opzichte van een gedefinieerde standaard voor de gevirtualiseerde infrastructuur laag.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 93


CobiTproces




DS05


DS05






Elke VM is voorzien van antivirus, antispyware, intrusion detection, security hardening en patch management. De ingerichte procedures zorgen ervoor dat deze maatregelen ook worden afgedwongen voor eventueel slapende (niet actieve) virtual machines.

SE-05


Beperk het aantal gebruikers die een remote connectie toegang kunnen krijgen tot een VM tot het strikt noodzakelijke. Deze gebruikers beschikken over functionaliteit om de VM uit te schakelen of externe apparatuur te configureren.

SE-06


Er bestaan geaccordeerde Virtual Machine templates in overeenstemming met de gedefinieerde kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 94


CobiTproces




DS05


DS05






Blokkeer het gebruik van copy-paste functionaliteit tussen de remote console en het VM besturingssysteem. Blokkeer deze functionaliteit op elke VM en bij voorkeur binnen de voorgedefinieerde templates.

SE-08


Maak geen gebruik van non persistent disks voor productie servers. Indien non persistent disks worden toegepast dienen er additionele maatregelen te zijn geïmplementeerd om logfiles veilig te stellen, bijvoorbeeld een centrale log server

SE-09


Blokkeer het mogelijke gebruik van externe apparatuur voor alle VM’s, tenzij strikt noodzakelijk. Er bestaat een duidelijk beleid en procedures voor het gebruik van eventuele externe apparatuur.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 95


DS05

DS05

CobiTproces







SE-11

SE-12




Blokkeer het automatisch detecteren van USB devices voor VM’s.


Blokkeer de functionaliteit van disk shrinking of disk wiper indien hier geen noodzaak toe bestaat.


VMWare ESX specifiek: disk shrinking en disk wiper zijn methoden om de schijfruimte groter / kleiner te maken. Frequent gebruik kan leiden tot het niet meer beschikbaar zijn van virtuele schijf. Toegang tot logische systeembestanden (Virtual Machine) zijn afgeschemd voor ongeoorloofde toegang. VMware ESX specifiek: Toegangsrechten tot het configuratiebestand (.vmx) moet ingesteld zijn als read, write, execute (rwx) voor eigenaar en read en execute (rx) voor Group (755). Toegangsrechten voor de virtual disk van de virtual machine (.vmdk) moet ingesteld zijn als read en write(rw-) voor de owner (600). Voor al deze bestanden moet de user en Group ingesteld zijn als root.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 96


CobiTproces




DS05


DS05






Controleer periodiek op nieuwe patches en updates. Installeer uitsluitend patches geaccordeerd door leverancier van de Service Console. Patches doorlopen het algemene change en configuratie management proces.

SE-14


Gebruik een beveiligingstool waarvoor is vastgesteld dat deze geschikt is voor het controleren van beveiligingsinstellingen van de Service Console. Behandel de Service Console niet als een standaard besturingssysteem.

SE-15


Blokkeer alle inkomende en uitgaande verkeer van de Service Console firewall indien hier geen actieve service aan is gekoppeld. Sta uitsluitend connecties naar interne beveiligde netwerken toe en blokkeer connecties naar het internet.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 97


CobiTproces




DS05


DS05






Sta uitsluitend als veilig bestempelde protocollen toe voor Service Console connecties. Blokkeer clear text protocollen als FTP, Telnet e.d.

SE-17


Beperk het gebruik van (third party) software en services binnen de Service Console tot het strikt noodzakelijke. De Service console dient uitsluitend voor beheer doeleinden. Applicaties en services hebben betrekking tot beheerfunctionaliteit zoals opslag, authentificatie, NTP of back-up tools.

SE-18


Documenteer voor de Service Console alle additionele poorten of geïnstalleerde services die zijn opengezet of geïnstalleerd met een toelichting.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 98


CobiTproces




DS05


DS05





DS5.8 Cryptographic Key Management

Connecties tussen clients en de Service Console is middels encryptie (bijv. SSL) beveiligd. Maak hierbij gebruik van erkende ‘third party’ certificaten.

SE-20


Service Console toegang middels web services is beperkt in functionaliteit en beveiligd tegen aanvallen door goed patch management.

SE-21


Zorg voor sterke authenticatie maatregelen voor toegang tot de service console. Stel minimaal eisen ten aanzien van de ouderdom en complexiteit van wachtwoorden.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 99


DS05

CobiTproces



Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.




SE-23




Beperk het aantal beheerders met toegang tot de Service Console tot het strikt noodzakelijke. Maak gebruik van persoonlijke accounts en zorg dat generieke accounts niet worden gebruikt voor algemene beheertaken.


VMware specifiek: Geef uitsluitend een beperkte Groep gebruikers rechten voor Sudo/SU Beperk directe beheer via de Service Console tot het strikt noodzakelijke. Maak zoveel mogelijk gebruik van een als veilig geclassificeerde en ondersteunde beheerapplicatie. VMware specifiek: Gebruik voor algemeen beheer zoveel mogelijk de beschikbare beheerapplicaties als VIclient en VirtualCenter.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 100


CobiTproces




DS05


DS05


Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt. Er bestaat een beheerst proces voor het beveiligen van de automatiseringsomgeving. Hierbij wordt de integriteit van de informatievoorziening en ITinfrastructuur onderhouden waarbij de impact van beveiligingskwetsbaarheden en incidenten tot een minimum worden beperkt.





Logfiles registeren minimaal de volgende acties: - het starten en stoppen van audit functies - het opstarten en afsluiten van virtual machines - het aanmaken en verwijderen van virtual machines - configureren van alarm of taken - alle identificatie en authenticatie acties.

SE25-


SE-26


Logfiles worden op een afgeschermde locatie opgeslagen en zijn uitsluitend door een beperkte groep gebruikers te raadplegen Log files worden voor een bepaalde periode bewaard en er zijn maxima geformuleerd voor de retentie van log bestanden.

De registreerde events van de virtualisatielaag worden periodiek door een security functionaris met virtualisatie kennis gereviewed. Over opvallende / afwijkende events wordt melding gemaakt en de vereiste opvolging uitgevoerd.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 101


DS05

DS05

CobiTproces











Er bestaat een bestand integriteit controle voor belangrijke configuratie bestanden met behulp van een beveiligings- of checksumapplicatie. Toegang tot deze configuratiebestanden is afgeschermd. VMware specifiek: Voor VMware ESX dient integriteit voor de volgende bestanden te worden vastgesteld: /etc/profile /etc/ssh/sshd_config /etc/pam.d/system_auth /etc/ntp /etc/ntp.conf /etc/passwd /etc/group /etc/sudoers/ /etc/shadow /etc/VMware

SE-28


Zorg ervoor dat de klokken tussen virtualisatieservers, VM en andere componenten binnen het netwerk (o.a. een domain controller) zijn gesynchroniseerd. VMware specifiek: Tijdsynchronisatie kan worden toegepast bijvoorbeeld door middel van NTP.

SE-29


Voor elke virtualisatieserver bestaat een aparte directory voor file system bestanden en temp/werkdirectories. VMware specifiek: installeer de volgende direcories elk op een aparte partitie: /home, /tmp en /var/log (/var)

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 102


CobiTproces



DS05



DS05







Er bestaat een duidelijk beleid en procedures voor het gebruik van eventuele externe apparatuur. Blokkeer het automatisch detecteren van USB devices voor de Service Console. Het mogelijke gebruik van externe apparatuur door de Service Console is geblokkeerd tenzij strikt noodzakelijk.

SE-31


Indien er gebruik wordt gemaakt van een centale beheerapplicatie, dan bestaan er duidelijke richtlijnen en procedures over de inrichting en werking van deze applicatie. VMware specifiek: Wijzig niet de configuratie van het standaard account “vpxuser”. Alle connecties vanuit VirtualCenter worden uitgevoerd met dit generieke account.

SE-32


Onderscheid het beheer van de virtueleinfrastructuur ten opzichte van het beheer van besturingssystemen. Er bestaat een duidelijke scheiding tussen de taken en verantwoordelijkheden voor beide typen beheergroepen.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 103


CobiTproces



DS05




SE-34




Gebruik verschillende groepen beheerders binnen de virtuele-infrastructuur. Groepen zijn opgezet op basis van least privilege. Er bestaat een duidelijke beschrijving van taken en verantwoordelijkheden voor de gedefinieerde beheergroepen.


Het infrastructurele en beheernetwerk dienen bij voorkeur fysiek maar minimaal logisch van elkaar te zijn gescheiden VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 104


DS05

CobiTproces







SE-36




De gebruikersnetwerken dienen fysiek van het infrastructurele en beheernetwerk te zijn gescheiden.


VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering Beperk de connectie tussen operationele gebruikersnetwerken en het beheernetwerk tot het strikt noodzakelijke en maak altijd gebruik van een externe firewall. VMware specifiek: - Infrastructurele netwerk: voor het afschermen van bepaalde infrastructuur services als iSCI, Vmotion e.d. - beheernetwerk:voor het afschermen van beheeractiviteiten - gebruikersnetwerk: het operationele netwerk van bedrijfsvoering

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 105


CobiTproces



DS05







Netwerken zijn gesegmenteerd in fysieke en logische netwerken conform het gestelde beleid en BIV classificaties.

SE-39


Er bestaan duidelijke procedures voor het in stand houden van de gedefinieerde netwerksegmentatie en beveiligingsinstellingen (policies) bij het migreren van VM’s over fysieke servers. VMware specifiek: VMware ondersteund software matige oplossingen die een VM en ingestelde policies aan elkaar koppelt. Een voorbeeld van een ondersteunend beheercomponent is de Citco Nexus 1000V virtual switch

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 106


CobiTproces




DS05







Een organisatie heeft beveiligingsfunctionaliteit geïnstalleerd voor de beheersing van de virtuele netwerk laag in relatie met het fusieke netwerk

SE-41


Zorg dat MAC-adres instellingen niet voor aanvallen zijn te misbruiken en zorg voor een configuratie waarbij de geconfigureerde instellingen niet zijn te wijzigen. VMware specifiek:Bij MAC-address spoofing probeert een aanvaller zich te presenteren als een betrouwbare VM door het unieke MAC-adres te imiteren. Stel onderstaande parameters als volgt in: MAC address changes: REJECT Forged transmission: REJECT

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 107


CobiTproces




DS05


DS05






Maak geen gebruik van “promiscuous mode” voor alledaagse bedrijfsvoering. Deze maatregel geldt voor alle switches en poort groepen afzonderlijk. Promicuous mode stuurt alle data door in plaats van uitsluitend de noodzakelijke frames.

SE-43


Indien gebruik wordt gemaakt van geavanceerde virtualisatiefunctionaliteit zoals Vmotion, dient de opslag infrastructuur hierop te zijn ingericht. Keuzes voor een bepaalde technologie zijn in overeenstemming met de strategische bedrijfsdoelstellingen.

SE-44


Er bestaan duidelijke procedures en richtlijnen voor de manier waarop binnen de virtuele opslag infrastructuur beschikbare resources worden ingezet voor verschillende informatievraagstukken. Er bestaan duidelijke richtlijnen hoe opslag resources worden gesegmenteerd d.m.v. zoning of LUN masking

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 108


DS09

DS09

DS09

CobiTproces


Referentie Beheersmaatregel CO-01

Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd. CO-02 Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd. CO-03 Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd. CO-04 Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd.




Voor elke virtuele (database)server is vastgelegd waarvoor de server dient (welke bedrijfsprocessen ermee worden ondersteund), welke applicaties, databases en besturingssystemen hiervoor worden gebruikt, op welke fysieke host de server draait en welke parameters zijn ingesteld. Periodiek wordt beoordeeld of de organisatie over voldoende en juiste licenties beschikt voor de virtuele (database) servers.



De conponenten van de geïmplementeerde virtuele architectuur zijn opgenomen in de CMDB van de organisatie en zijn geclassificeerd ten aanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid.

DS9.2 Identification and Maintenance of Configuration Items

Wijzigingen in instellingen van virtuele (database) servers en netwerkcomponenten worden juist, tijdig en volledig vastgelegd. Voor elke virtuele (database)server en netwerkcomponenten worden de historische gegevens/instellingen bewaard.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 109


DS09

DS11

CobiTproces


Referentie Beheersmaatregel CO-05

Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd. CO-06 Manage the Er bestaat een beheerst proces voor het configuration beheren van de configuratie. Hierbij wordt de infrastructuur, verschillende componenten en mogelijkheden geoptimaliseerd, daarnaast worden alle componenten juist en volledig geregistreerd. DM-01 Manage data Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van de gegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.




Geautomatiseerd of periodiek wordt beoordeeld of geen conflicten ten aanzien van de (BIV) classificaties van de verschillende virtuele en hardwarematige IT-componenten aanwezig zijn of zijn geweest.


Periodiek wordt beoordeeld of alle aanwezige (virtuele) (database) servers en IT-componenten tijdig, juist en volledig in het CMDB zijn opgenomen.

DS11.2 Storage and Retention Arrangements

Er bestaat een duidelijk beleid over de manier waarop er een back-up wordt gemaakt van VM, service console en virtualization layer, de locatie waar backup bestanden worden opgeslagen en het bewaartermijn. In de back-up en restore procedure van virtual machines wordt rekening gehouden met het verschil in (beveiligings)instellingen en patchniveaus tussen het moment dat de back-up is gemaakt en de restore wordt uitgevoerd op basis van de configuratie DB. Het bewaren en verwijderen van back-up bestanden van VM,Service Console en virtualization layer is in overeenstemming met het continuïteitsbeleid.

DS11

Manage data

Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van de gegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.

DM-02

DS11.6 Security Requirements for Data Management

DS11

Manage data

Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van de gegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.

DM-03

DS11.5 Backup and Restoration

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 110


Bijlage 2 CobiTprocessen Onderstaande tabel toont de CobiT-processen en geeft voor een zevental kwaliteitsaspecten aan of er een primaire (“P”), secundaire (“S”) of geen (“ “) relatie bestaat.

P S P P P P P P S P

P P S P

AI1

Identify automated solutions

P

S

AI2

Acquire and maintain application software

P

P

S

AI3

Acquire and maintain technology infrastructure

S

P

S

S

AI4

Enable operation and use

P

P

S

S

AI5

Procure IT resources

S

P

S P P P P

S

Reliability

Define a strategic IT plan Define the information architecture Determine technological direction Define the IT processes, organisation and relationships Manage the IT investment Communicate management aims and direction Manage IT human resources Manage quality Assess and manage IT risks Manage projects

Compliance

PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10

Availibility

Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Plan and Organise Acquire and Implement Acquire and Implement Acquire and Implement Acquire and Implement Acquire and Implement

Integrity

Kwaliteitsaspecten Confidentialit y

Proces Efficiency

Processnummer

Effectiveness

Domein

P

P S

P

S P

P

S

S S

S

S

S

S

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 111

Availibility

Manage changes

P

P

P

P

AI7

Install and accredit solutions and changes

P

S

S

S

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8

Define and manage service levels Manage third-party services Manage performance and capacity Ensure continuous service Ensure systems security Identify and allocate costs Educate and train users Manage service desk and incidents

P P P P

P P P S

S S

S S

P

P

S S S P S

P P

P S P

Deliver and Support

DS9

Manage the configuration

Deliver and Support Deliver and Support Deliver and Support Deliver and Support Monitor and Evaluate Monitor and Evaluate Monitor and Evaluate Monitor and Evaluate

DS10 DS11 DS12 DS13 ME1 ME2 ME3 ME4

Manage problems Manage data Manage the physical environment Manage operations Monitor and evaluate IT performance Monitor and evaluate internal control Ensure compliance with external requirements Provide IT governance

S

S S

S S

S

S P

S P

P

Reliability

Integrity

AI6

Acquire and Implement Acquire and Implement Deliver and Support Deliver and Support Deliver and Support Deliver and Support Deliver and Support Deliver and Support Deliver and Support Deliver and Support

Kwaliteitsaspecten Compliance

Proces Efficiency

Domein

Confidentialit y

Processnummer

Effectiveness


S

S

P P P

P P P

S S

P P S S S

P

P

S

S

P P S S S S

S S P S

S S S S

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 112


Bijlage 3 Geselecteerde CobiTprocessen en beheersmaatregelen Onderstaande tabel toont de binnen deze scriptie geselecteerde CobiT-processen en geeft een overzicht van de binnen CobiT gedefinieerde “Control objectives”. Process number

Process

Control objective number PO2.1

Control objective

Control objective description

PO02

Define the information architecture

Enterprise Information Architecture Model


PO2.2

Enterprise Data Dictionary and Data Syntax Rules

PO02


PO2.3

Data Classification Scheme

PO02

Define the information architecture Assess and manage IT risks

PO2.4

Integrity Management

PO9.1

IT Risk Management Framework

Establish and maintain an enterprise information model to enable applications development and decision-supporting activities, consistent with IT plans as described in PO1. The model should facilitate the optimal creation, use and sharing of information by the business in a way that maintains integrity and is flexible, functional, cost-effective, timely, secure and resilient to failure. Maintain an enterprise data dictionary that incorporates the organisation’s data syntax rules. This dictionary should enable the sharing of data elements amongst applications and systems, promote a common understanding of data amongst IT and business users, and prevent incompatible data elements from being created. Establish a classification scheme that applies throughout the enterprise, based on the criticality and sensitivity (e.g., public, confidential, top secret) of enterprise data. This scheme should include details about data ownership; definition of appropriate security levels and protection controls; and a brief description of data retention and destruction requirements, criticality and sensitivity. It should be used as the basis for applying controls such as access controls, archiving or encryption. Define and implement procedures to ensure the integrity and consistency of all data stored in electronic form, such as databases, data warehouses and data archives. Establish an IT risk management framework that is aligned to the organisation’s (enterprise’s) risk management framework.

PO02


PO9.2

Establishment of Risk Context

PO09 PO09

Establish the context in which the risk assessment framework is applied to ensure appropriate outcomes. This should include determining the internal and external context of each risk assessment, the goal of the assessment, and the criteria against which risks are evaluated.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 113

Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Process number

Process

Control objective number PO9.3

Control objective


PO09


Event Identification


PO9.4

Risk Assessment

PO09


PO9.5

Risk Response

PO09


PO9.6

Maintenance and Monitoring of a Risk Action Plan

AI06

Manage changes

AI6.1

Change Standards and Procedures

AI06

Manage changes

AI6.2

AI06

Manage changes

AI6.3

Impact Assessment, Prioritization and Authorization Emergency Changes

Identify events (an important realistic threat that exploits a significant applicable vulnerability) with a potential negative impact on the goals or operations of the enterprise, including business, regulatory, legal, technology, trading partner, human resources and operational aspects. Determine the nature of the impact and maintain this information. Record and maintain relevant risks in a risk registry. Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative and quantitative methods. The likelihood and impact associated with inherent and residual risk should be determined individually, by category and on a portfolio basis. Develop and maintain a risk response process designed to ensure that costeffective controls mitigate exposure to risks on a continuing basis. The risk response process should identify risk strategies such as avoidance, reduction, sharing or acceptance; determine associated responsibilities; and consider risk tolerance levels. Prioritise and plan the control activities at all levels to implement the risk responses identified as necessary, including identification of costs, benefits and responsibility for execution. Obtain approval for recommended actions and acceptance of any residual risks, and ensure that committed actions are owned by the affected process owner(s). Monitor execution of the plans, and report on any deviations to senior management. Set up formal change management procedures to handle in a standardised manner all requests (including maintenance and patches) for changes to applications, procedures, processes, system and service parameters, and the underlying platforms. Assess all requests for change in a structured way to determine the impact on the operational system and its functionality. Ensure that changes are categorised, prioritised and authorised. Establish a process for defining, raising, testing, documenting, assessing and authorising emergency changes that do not follow the established change process.

PO09

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 114


Process

Control objective


Manage changes

Control objective number AI6.4

AI06

Change Status Tracking and Reporting

Establish a tracking and reporting system to document rejected changes, communicate the status of approved and in-process changes, and complete changes. Make certain that approved changes are implemented as planned.

AI06

Manage changes

AI6.5

Change Closure and Documentation

Whenever changes are implemented, update the associated system and user documentation and procedures accordingly.

DS03


DS3.1

Performance and Capacity Planning

DS03


DS3.2

Current Performance and Capacity

DS03


DS3.3

Future Performance and Capacity

DS03


DS3.4

IT Resources Availability

DS03


DS3.5

Monitoring and Reporting

Establish a planning process for the review of performance and capacity of IT resources to ensure that cost-justifiable capacity and performance are available to process the agreed-upon workloads as determined by the SLAs. Capacity and performance plans should leverage appropriate modelling techniques to produce a model of the current and forecasted performance, capacity and throughput of the IT resources. Assess current performance and capacity of IT resources to determine if sufficient capacity and performance exist to deliver against agreed-upon service levels. Conduct performance and capacity forecasting of IT resources at regular intervals to minimise the risk of service disruptions due to insufficient capacity or performance degradation, and identify excess capacity for possible redeployment. Identify workload trends and determine forecasts to be input to performance and capacity plans. Provide the required capacity and performance, taking into account aspects such as normal workloads, contingencies, storage requirements and IT resource life cycles. Provisions such as prioritising tasks, fault-tolerance mechanisms and resource allocation practices should be made. Management should ensure that contingency plans properly address availability, capacity and performance of individual IT resources. Continuously monitor the performance and capacity of IT resources. Data gathered should serve two purposes: • To maintain and tune current performance within IT and address such issues as resilience, contingency, current and projected workloads, storage plans, and resource acquisition • To report delivered service availability to the business, as required by the

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 115


Process

Control objective number

Control objective


SLAs Accompany all exception reports with recommendations for corrective action. DS04


DS4.1

IT Continuity Framework

DS04


DS4.2

IT Continuity Plans

DS04


DS4.3

Critical IT Resources

Develop a framework for IT continuity to support enterprisewide business continuity management using a consistent process. The objective of the framework should be to assist in determining the required resilience of the infrastructure and to drive the development of disaster recovery and IT contingency plans. The framework should address the organisational structure for continuity management, covering the roles, tasks and responsibilities of internal and external service providers, their management and their customers, and the planning processes that create the rules and structures to document, test and execute the disaster recovery and IT contingency plans. The plan should also address items such as the identification of critical resources, noting key dependencies, the monitoring and reporting of the availability of critical resources, alternative processing, and the principles of backup and recovery. Develop IT continuity plans based on the framework and designed to reduce the impact of a major disruption on key business functions and processes. The plans should be based on risk understanding of potential business impacts and address requirements for resilience, alternative processing and recovery capability of all critical IT services. They should also cover usage guidelines, roles and responsibilities, procedures, communication processes, and the testing approach. Focus attention on items specified as most critical in the IT continuity plan to build in resilience and establish priorities in recovery situations. Avoid the distraction of recovering less-critical items and ensure response and recovery in line with prioritised business needs, while ensuring that costs are kept at an acceptable level and complying with regulatory and contractual requirements. Consider resilience, response and recovery requirements for different tiers, e.g., one to four hours, four to 24 hours, more than 24 hours and critical business operational periods.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 116


Process

Control objective number DS4.4

Control objective


DS04


Maintenance of the IT Continuity Plan


DS4.5

Testing of the IT Continuity Plan

DS04


DS4.6

IT Continuity Plan Training

DS04


DS4.7

Distribution of the IT Continuity Plan

DS04


DS4.8

IT Services Recovery and Resumption

Encourage IT management to define and execute change control procedures to ensure that the IT continuity plan is kept up to date and continually reflects actual business requirements. Communicate changes in procedures and responsibilities clearly and in a timely manner. Test the IT continuity plan on a regular basis to ensure that IT systems can be effectively recovered, shortcomings are addressed and the plan remains relevant. This requires careful preparation, documentation, reporting of test results and, according to the results, implementation of an action plan. Consider the extent of testing recovery of single applications to integrated testing scenarios to end-to-end testing and integrated vendor testing. Provide all concerned parties with regular training sessions regarding the procedures and their roles and responsibilities in case of an incident or disaster. Verify and enhance training according to the results of the contingency tests. Determine that a defined and managed distribution strategy exists to ensure that plans are properly and securely distributed and available to appropriately authorised interested parties when and where needed. Attention should be paid to making the plans accessible under all disaster scenarios. Plan the actions to be taken for the period when IT is recovering and resuming services. This may include activation of backup sites, initiation of alternative processing, customer and stakeholder communication, and resumption procedures. Ensure that the business understands IT recovery times and the necessary technology investments to support business recovery and resumption needs.

DS04

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 117


Process


Control objective


DS04


Offsite Backup Storage


DS4.10

Post-resumption Review

DS05


DS5.1

Management of IT Security:

Store offsite all critical backup media, documentation and other IT resources necessary for IT recovery and business continuity plans. Determine the content of backup storage in collaboration between business process owners and IT personnel. Management of the offsite storage facility should respond to the data classification policy and the enterprise’s media storage practices. IT management should ensure that offsite arrangements are periodically assessed, at least annually, for content, environmental protection and security. Ensure compatibility of hardware and software to restore archived data, and periodically test and refresh archived data. Determine whether IT management has established procedures for assessing the adequacy of the plan in regard to the successful resumption of the IT function after a disaster, and update the plan accordingly. Manage IT security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.

DS04

DS05


DS5.2

IT Security Plan

DS05


DS5.3

Identity Management

Translate business, risk and compliance requirements into an overall IT security plan, taking into consideration the IT infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users. Ensure that all users (internal, external and temporary) and their activity on IT systems (business application, IT environment, system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms. Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository. Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 118


Process


Control objective


DS05


User Account Management

Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users, for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges. Test and monitor the IT security implementation in a proactive way. IT security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed. Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process. Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.

DS05


DS5.5

Security Testing, Surveillance and Monitoring

DS05


DS5.6

Security Incident Definition

DS05


DS5.7

Protection of Security Technology

DS05


DS5.8

Cryptographic Key Management

DS05


DS5.9

Malicious Software Prevention, Detection and Correction

DS05


DS5.10

Network Security

Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution, certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure. Put preventive, detective and corrective measures in place (especially up-todate security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam). Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 119


Process


Control objective


DS05


Exchange of Sensitive Data

Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin. Establish a supporting tool and a central repository to contain all relevant information on configuration items. Monitor and record all assets and changes to assets. Maintain a baseline of configuration items for every system and service as a checkpoint to which to return after changes.. Establish configuration procedures to support management and logging of all changes to the configuration repository. Integrate these procedures with change management, incident management and problem management procedures. Periodically review the configuration data to verify and confirm the integrity of the current and historical configuration. Periodically review installed software against the policy for software usage to identify personal or unlicensed software or any software instances in excess of current license agreements. Report, act on and correct errors and deviations. Verify that all data expected for processing are received and processed completely, accurately and in a timely manner, and all output is delivered in accordance with business requirements. Support restart and reprocessing needs. Define and implement procedures for effective and efficient data storage, retention and archiving to meet business objectives, the organisation’s security policy and regulatory requirements. Define and implement procedures to maintain an inventory of stored and archived media to ensure their usability and integrity.

DS09


DS9.1

Configuration Repository and Baseline

DS09


DS9.2

Identification and Maintenance of Configuration Items

DS09


DS9.3

Configuration Integrity Review

DS11

Manage data

DS11.1

Business Requirements for Data Management

DS11

Manage data

DS11.2

Storage and Retention Arrangements

DS11

Manage data

DS11.3

Media Library Management System

DS11

Manage data

DS11.4

Disposal

DS11

Manage data

DS11.5

Backup and Restoration

Define and implement procedures to ensure that business requirements for protection of sensitive data and software are met when data and hardware are disposed or transferred. Define and implement procedures for backup and restoration of systems, applications, data and documentation in line with business requirements and the continuity plan.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 120


Process


Control objective


DS11

Manage data

Security Requirements for Data Management

Manage the physical environment

DS12.1

Site Selection and Layout

DS12


DS12.2

Physical Security Measures

DS12


DS12.3

Physical Access

DS12


DS12.4

Protection Against Environmental Factors

DS12


DS12.5

Physical Facilities Management

Define and implement policies and procedures to identify and apply security requirements applicable to the receipt, processing, storage and output of data to meet business objectives, the organisation’s security policy and regulatory requirements. Define and select the physical sites for IT equipment to support the technology strategy linked to the business strategy. The selection and design of the layout of a site should take into account the risk associated with natural and man-made disasters, whilst considering relevant laws and regulations, such as occupational health and safety regulations. Define and implement physical security measures in line with business requirements to secure the location and the physical assets. Physical security measures must be capable of effectively preventing, detecting and mitigating risks relating to theft, temperature, fire, smoke, water, vibration, terror, vandalism, power outages, chemicals or explosives. Define and implement procedures to grant, limit and revoke access to premises, buildings and areas according to business needs, including emergencies. Access to premises, buildings and areas should be justified, authorised, logged and monitored. This should apply to all persons entering the premises, including staff, temporary staff, clients, vendors, visitors or any other third party. Design and implement measures for protection against environmental factors. Install specialised equipment and devices to monitor and control the environment. Manage facilities, including power and communications equipment, in line with laws and regulations, technical and business requirements, vendor specifications, and health and safety guidelines.

DS12

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 121


---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pagina 122


Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen Binnen deze bijlage is een korte beschrijving opgenomen van het toetsingsobject ‘Deloitte Websolutions’ en de (externe) deskundigen die input hebben geleverd voor deze scriptie. Deloitte Websolutions Een onderdeel van Deloitte Enterprise Risk Services (ERS) is de afdeling Websolutions. Deze afdeling verzorgt verschillende applicaties en platformen voor verschillende afdelingen binnen Deloitte en klanten van Deloitte. Hiervoor wordt gebruik gemaakt van verschillende (virtuele) ITomgevingen die extern bij Schuberg Philis wordt gehost. In hoofdlijnen zijn de diensten die Websolutions ondersteunen in drie onderdelen op te splitsen; •

Invisionweb, is een online platform voor verschillende producten en diensten die door Deloitte zijn ontwikkeld. De verschillende applicaties kunnen voor interne Deloitte klanten zijn of voor externe klanten van Deloitte

•

CTRL.nl, is een online portal waarmee klanten van Deloitte kunnen communiceren en samenwerken met medewerkers van Deloitte. Daarnaast kunnen klanten via deze portal online hun boekhouding voeren en hierover rapporteren.

•

Forensic & Dispute services, is een afdeling van ERS die zich bezig houdt met houdt zich bezig met onderzoek naar fraude, corruptie en integriteitkwesties in binnen- en buitenland. Waarbij binnen Europa intensief wordt samengewerkt. Het platform dat hiervoor wordt gebruikt, Deloitte Discovery, wordt beheerd door de afdeling Websolutions. Dit platform stelt organisaties in staat om complexe en ongesorteerde data te bewerken, indexeren, doorzoeken en hiervan een adequaat dossier op te bouwen

De keuze voor Schuberg Philis wordt door Ko van Leeuwen, Managing Partner Deloitte ERS op de website als volgt verwoord: “It’s our strategy to make more solutions with even shorter lead times available through the Deloitte INVision platform. Facilitating substantive growth, while retaining the excellent quality and availability reputation of Deloitte INVision, requires a specialist partner. A partner that has the innovative power and knowledge to implement changes flexibly and in a controlled manner. And, last but not least, a partner that has a good reputation enabling us to grow and facilitate our business dynamics to improve our services to our clients.” Gesprekspartners Deloitte Websolutions: Binnen Deloitte Websolutions hebben wij gesproken met Herman Braam en Gert de Jong. Gert de Jong is als senior manager verantwoordelijk voor de implementatie en de operations van alle marktgericht ICT. Dit bestaat voor een groot deel uit virtualisatietechnieken. Daarnaast in zijn loopbaan eindverantwoordelijke geweest voor meerdere virtualisatie toepassingen die aan klanten zijn aangeboden. Herman Braam is als director eind verantwoordelijk voor de infrastructurele diensten die vanuit Deloitte Websolutions worden aangeboden. Gesprekspartners Voor inventarisatie en evaluatie van de geformuleerde beheersmaatregelen hebben wij zowel met interne als externe gesprekspartners gesproken: Interne gesprekspartners: Deloitte Enterprise Risk Services (ERS) verleent diensten op gebieden als risicobeheersing van de organisatie, informatie- en communicatietechnologie, secure e-business, integriteit van ICTinfrastructuren en de beveiliging van informatiesystemen. Wij hebben binnen ERS met diverse virtualisatie specialisten gesproken.

--------------------------------------------------------------------------------------------------------------------------Pagina 123

Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------Externe Gesprekspartners: Bart Veldhuis, Continuity center

Met ruim tien jaar datacenter ervaring heeft Bart vanuit zijn rol als infrastructuur architect al vele implementaties van de verschillende virtualisatie leveranciers mogen begeleiden. Bart heeft diverse certificeringen behaald, onder andere van Microsoft, Cisco en VMware, en is momenteel bezig met het prestigieuze VMware Certified Design Expert (VCDX). Bart tekende de afgelopen jaren voor tientallen organisaties de infrastructuren; van kleine infrastructuren voor startende Applicatie Service Providers (ASP’s) tot grote multiregionale datacenter architecturen. Dick van Gaalen, HP

Werkt meer dan 35 jaar in de IT industrie. Na oorspronkelijk begonnen te zijn als software ontwikkelaar en systeem ontwerper bij de toenmalige computerdivisie van Philips, werkte hij vervolgens vele jaren bij bedrijven als Digital en Compaq in diverse internationale product marketing en product management rollen, zowel voor hardware als voor software. Op dit moment is hij binnen HP Nederland als de programma manager voor het thema Business Technology. Hij geeft regelmatig gastcolleges bij een aantal Nederlandse universiteiten en opleidingsinstituten.

--------------------------------------------------------------------------------------------------------------------------Pagina 124


Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellen Tabel overgenomen uit het onderzoek van Van der Beek ea. (2009) Criteria ISO 27002 NIST SP 800-53 COBIT • Beperkt op het • Dekt de Breedte: • Dekt de hoofdgebieden van hoofdgebieden van gebied van IB • Niet specifiek IB IB IB, gericht op de • Onderwerpen • Onderwerpen beheersing van IT versnipperd Overzichtelijk in het algemeen behandeld gerangschikt • Veel productstandaarden • Strategisch en • Tactisch en Diepte: • Tactisch en tactisch operationeel operationeel • Tactisch niet heel • Operationeel niet • Management uitgewerkt. uitgebreid cyclus is • Verwijst naar uitgewerkt in opgenomen in ISO NIST SP 800- 53, 27001. echter wel verder, • Kent ook specifieke COBIT verspreid, Practices en uitgewerkt in Security Baselines overige NIST reeksen. Flexibiliteit: • Weinig gebruik • Weinig gebruik • Veel gebruik door anderen dan door anderen dan door anderen dan IB specialisten IB specialisten IB specialisten • Verbondenheid met audit processen (auditor) Ratio: • Doelstellingen • Op basis van een • Elementen hangen samen met hangen samen met risk assessment business drivers richtlijnen kunnen de en input en output minimale beveiligingsmaatregelen worden geselecteerd. • Goede Acceptatie: • Meest • Verplicht voor ondersteuning geaccepteerde US federale voor Sox standaard in overheid compliance Nederland • Private sector • Breed beperkt. geaccepteerd Taal: Kosten:

• Nederlands en Engels • Gehele reeks betaald

• Engels

• Engels

• Gehele reeks betaald

• Betaald

ISF • Dekt de hoofdgebieden van IB • Periodieke update en eventuele aanpassingen

• Tactisch en operationeel

• Weinig gebruik door anderen dan IB specialisten

• Principes hangen samen met doelstellingen

• Niet breed geaccepteerd • Met name geaccepteerd door leden ISF. Bijvoorbeeld niet in US • Engels • De standaard (SGOP) is gratis. • Overige producten tegen een betaald lidmaatschap.

--------------------------------------------------------------------------------------------------------------------------Pagina 125


--------------------------------------------------------------------------------------------------------------------------Pagina 126

Risico s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object

Recommend Documents