M 2.444 Einsatzplanung für virtuelle IT-Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für virtuelle IT-Systeme sind bei der Planung neben den schon in M 2.315 Planung des Servereinsatzes angegebenen Voraussetzungen für einen sicheren Serverbetrieb weitere Punkte zu beachten. Im Folgenden werden zusätzliche Vorgaben hinsichtlich der Planung virtueller IT-Systeme beschrieben.

Herstellerunterstützung für virtuelle IT-Systeme

Es ist zu prüfen, dass alle Anwendungen, die auf virtuellen IT-Systemen betrieben werden sollen, durch ihre Hersteller auf der gewählten Virtualisierungsplattform unterstützt werden. Die Hersteller geben Ihre Software in der Regel für eine bestimmte Kombination aus Betriebssystem und Hardwareplattform frei. Sie sichern nur dann Support für eventuell auftretende Probleme zu, wenn die Software gemäß diesen Vorgaben genutzt wird. Da die Hardwareplattform "virtuelles IT-System" bisher nicht standardisiert ist, sagen nicht alle Softwarehersteller eine pauschale Unterstützung virtueller IT-Systeme zu. Die Hersteller bieten meistens nur für eine bestimmte Kombination von Betriebssystem und Virtualisierungsprodukt Support an, z. B. bei der Fehleranalyse und -behebung.

Lebenszyklus virtueller IT-Systeme

Weiterhin ändern sich etablierte Verfahrensweisen für die Inbetriebnahme, Inventarisierung, den Betrieb und die Außerbetriebnahme von (virtuellen) IT-Systemen beim Betrieb in einer virtuellen Infrastruktur. Es ist daher detailliert zu planen und festzulegen, wie diese Prozesse angepasst werden. Folgende Punkte sind sicherzustellen:

Test- und Entwicklungsumgebungen

In Test- und Entwicklungsumgebungen, bei denen lediglich eine funktionale Analyse virtueller IT-Systeme durchgeführt werden soll, kann von den oben angegebenen Vorgaben abgewichen werden. Allerdings ist ein Prozess innerhalb der Organisation zu etablieren, der gewährleistet, dass die Konfiguration und die Ressourcenzuteilungen der virtuellen IT-Systeme überprüft und unter Umständen angepasst werden, bevor sie produktiv in Betrieb genommen werden. Beispielsweise sollten virtuelle IT-Systeme nicht einfach aus der Test- und Entwicklungsumgebung heraus kopiert oder geklont, sondern neu installiert werden. Wird das IT-System nicht neu installiert, muss für die zu kopierenden beziehungsweise zu klonenden virtuellen IT-Systeme sorgfältig geprüft werden, ob sie sich für den Produktivbetrieb eignen. Es ist insbesondere zu prüfen, ob bestimmte in Test- und Entwicklungsumgebungen verwendete Virtualisierungsfunktionen (wie z. B. Skripte in Gastwerkzeugen) noch aktiv sind. Die Tests sollten dabei in einer Umgebung durchgeführt werden, die die gleiche Virtualisierungslösung wie das Zielsystem verwendet. Dies soll gewährleisten, dass das Verhalten der virtuellen IT-Systeme in der Testumgebung nicht von der Produktivumgebung abweicht.

Prüffragen: