M 5.153 Planung des Netzes für virtuelle Infrastrukturen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtualisierungsserver müssen allen virtuellen IT-Systemen den Zugriff auf von diesen benötigte Infrastrukturkomponenten wie Netze und Speichernetze, sowie auf Infrastrukturdienste wie DNS oder DHCP ermöglichen. Hierbei sind die folgenden Aspekte bei der Planung der Netzanbindung der Virtualisierungsserver zu beachten:

Trennung von Netzsegmenten

Virtualisierungsserver werden oft mit einer Vielzahl von Netzen verbunden. Einige Virtualisierungsprodukte verfügen über Funktionen, um mehrere VLANs über eine physische Schnittstelle (Port Trunking gemäß IEEE 802.1q) zu nutzen. Es ist zudem möglich, auch in der virtuellen Infrastruktur VLANs zur Netzsegmentierung zu verwenden. Genügen zur Segmentierung der Netze VLANs, die lediglich eine logische Trennung darstellen, kann dies auch innerhalb der virtuellen Infrastruktur geschehen. Die virtuellen Netzkarten der betreffenden virtuellen IT-Systeme sind dann so auf physische Netzschnittstellen zu verteilen, dass diese nur untereinander Netzpakete austauschen können.

Wurden vor der Virtualisierung Netze aufgrund unterschiedlichen Schutzbedarfs physikalisch getrennt, müssen diese Netze auch in virtuellen Umgebungen voneinander isoliert werden. Es ist dann zu prüfen, ob die Mechanismen zur Netztrennung, sowie der Kapselung und Isolation der virtuellen IT-Systeme in der eingesetzten Virtualisierungslösung ausreichen, um virtuelle IT-Systeme mit hohem Schutzbedarf gemeinsam mit solchen niedrigen Schutzbedarfs auf einem Virtualisierungsserver betreiben zu können. Diese Prüfung kann z. B. darin bestehen, dass der Hersteller der betreffenden Virtualisierungslösung die genannten Mechanismen für diesen Einsatzzweck (Trennung von Maschinen unterschiedlichen Schutzbedarfs) als geeignet bezeichnet und dies durch eine entsprechende Zertifizierung nachweist.

Bei erhöhtem Schutzbedarf kann der Betrieb der jeweiligen Netze auf einem einzelnen Virtualisierungsserver jedoch problematisch sein, beispielsweise wenn Administratoren der virtuellen Infrastruktur keinen Zugriff auf virtuelle IT-Systeme in bestimmten Netzen außerhalb ihres Verantwortungsbereichs haben sollen. In diesem Fall sind die virtuellen Maschinen, die Zugang zu den betreffenden Netzen haben müssen, auf isolierten dedizierten Virtualisierungsservern bereitzustellen. Gegebenenfalls sollte das betreffende IT-System statt in einer virtuellen Umgebungen auf einem physischen IT-System betrieben werden.

Hochverfügbare virtuelle Infrastrukturen

Der kumulierte Schutzbedarf der einzelnen virtuellen IT-Systeme kann zu einem hohen oder sehr hohen Schutzbedarf dieses Virtualisierungsservers führen. In einem solchen Fall wird daher empfohlen, mehrere Virtualisierungsserver beispielsweise zu einem Cluster zu verbinden. Hierbei werden die virtuellen IT-Systeme auf den verbleibenden Virtualisierungsservern neu gestartet, wenn einer der Virtualisierungsserver im Cluster ausgefallen ist.

Fällt die Kommunikation zwischen mehreren Systemen eines Clusterverbundes gleichzeitig aus, muss jedes System entscheiden können, ob es selbst oder die anderen Systeme von dem Ausfall betroffen sind (Isolationsproblem), damit die durch einen Serverausfall betroffenen virtuellen IT-Systeme nicht mehrfach neu gestartet werden. Dieses Isolationsproblem wird in der Regel dadurch gelöst, dass ein Clustersystem prüft, ob bestimmter Ressourcen wie z. B. das Standardgateway erreichbar sind. Kann es diese Ressourcen nicht erreichen, betrachtet es sich als isoliert und entfernt sich selbst aus dem Cluster, je nach Konfiguration werden die auf ihm betriebenen virtuellen IT-Systeme dabei gestoppt.

Daher wird empfohlen, bei der Planung eines solchen Virtualisierungsclusters zu ermittelt, welche Ressourcen zur Prüfung der Isolation herangezogen werden. Diese Ressourcen sind dann in der Rechenzentrumsinfrastruktur mit einer ausreichenden Verfügbarkeit bereitzustellen. Die Netzverbindungen zwischen den Virtualisierungsservern, die Bestandteil des Clusters sind, sind ebenfalls mit einer ausreichenden Verfügbarkeit auszulegen.

Prüffragen: