Modellrechnungen allein helfen nicht weiter

Server-Virtualisierung zwischen Soll und Haben

Nicht alles sollte virtualisiert werden

Amortisieren und lohnen sollten sich auch die Vorkehrungen, die auf der zusätzlich etablierten logischen Schicht eingezogen werden müssen. „Denn diese Virtualisierungs- und Ausführungsschicht, die einerseits eine effektive und effiziente Zuordnung von Server-Kapazitäten erlaubt, bietet andererseits eine zusätzliche Angriffsfläche für Attacken jeder Art“, rüttelt Lars Weimer, bei Ernst & Young verantwortlich für Informationssicherheit im Bankenbereich, auf. „Diese Schicht sollte deshalb unbedingt in die Sicherheitsüberlegungen einbezogen werden. Nur so können hier angemessene Vorkehrungen getroffen werden.“

Solche Vorkehrungen, so Weimer weiter, sollten deutlich über den Einsatz von Antiviren-Programmen und der Einbindung der Virtualisierungs-Software ins Schwachstellen-Management hinausgehen. „Es muss verhindert werden, dass unautorisierte Übergriffe aus der virtualisierten Umgebung heraus aus Basissystem und von dort auf andere virtualisierte Umgebungen durchdringen.“ Er weist zudem auf Server hin, die, weil für die Behörde hoch sensibel, aufgrund der zusätzlichen logischen Angriffsfläche besser nicht virtualisiert werden sollten. „Beispiele dafür sind Web-Server für Dienste gegenüber den Bürgern und der Wirtschaft sowie Sicherheitsserver jeder Art. Deshalb kommen bei diesen Servern die positiven Virtualisierungseffekte erst gar nicht zum Tragen.“

Voraussetzung: Erfahrung

Auch für die geforderte höhere Ausfallsicherheit virtualisierter Umgebungen sind die Administratoren mit dieser zusätzlichen logischen Schicht konfrontiert. Ist eine Server-Instanz zwischenzeitlich nicht verfügbar, kann dies die komplette Verwaltungsprozesskette zu Fall bringen. „Um Redundanzen und andere Ausweichmechanismen richtig zu platzieren, müssen die Administratoren das komplexe logische Geflecht zwischen den Servern durchdringen, bei Veränderungen immer am Ball bleiben“, sensibilisiert Weimer. Das fordere den Administratoren viel Know-how und Erfahrung ab. Nicht fehlen darf eine hieb- und stichfeste Rechte- und Rollenvergabe, um nicht autorisierte Administrationszugriffe kategorisch auszuschließen. „Sie können komplette Virtualisierungsumgebungen einschließlich der darüber gestützten Verwaltungsprozesse zu Fall bringen“, weiß Weimer. Er moniert, dass zahlreiche Virtualisierungsprogramme nicht ausreichend sicher konfigurierbar seien, statt dessen der Bequemlichkeit der Administratoren folgten.

Bildergalerie

Fotostrecke starten: Klicken Sie auf ein Bild (3 Bilder)

Virtualisierte Systeme für eine hinreichende Sicherheit und Ausfallsicherheit physisch zu separieren, das ziehe Hardware wie AMD -V/Pacifica oder Intel-VT nach sich, und somit weitere Kosten. Aber reine Wirtschaftlichkeitsbetrachtungen führten die Behörden nicht zum Ziel. „Wenn Verwaltungsprozesse zunehmend IT-gestützt und dynamischer gestaltet werden, dann werden flexible Technologien wie Virtualisierung und Automatisierung unumgänglich sein“, weiß Uwe Flagmeyer, Manager Pre-Sales bei HP Software Deutschland. Er meint damit nicht nur die Virtualisierung der Server, sondern auch der angeschlossenen Speicher, der Netzwerke und der Clients . „Die Infrastruktur mit den Fachverfahren und Applikationen der Behörde ist die Schlüsselinstanz, die flexibel gestaltet sein muss.“ Sie müsse demzufolge mit einer bedarfsgerechten, flexibel und schnellen Ressourcenzuweisung den Verwaltungsprozessketten folgen können. Flagmeyer spricht in diesem Zusammenhang von einer Dynamisierung der IT durch Virtualisierung der Server-, Speicher- und Netzwerkkapazitäten im Zentrum der Infrastruktur.

Dazu sei eine alles verbindende Managementinfrastruktur notwendig, die vitualisierte Infrastruktur als ein integraler Bestanteil eines Geschäftsprozesses betrachtet. Dieses Big Picture einer hoch dynamischen IT-Service-Aufstellung, so Flagmeyer, sei nur über ein professionelles Service-Management möglich. „Es muss die virtualisierten Umgebungen vollständig berücksichtigen“, hebt er heraus. Dem Service-Management komme, neben der Überwachung und Steuerung der gesamten IT-Infrastruktur, die Rolle zu, die IT-Prozesse soweit wie möglich zu automatisieren. „Diese Automatisierung wird dafür gebraucht, um wiederum den Verwaltungsprozessen dynamisch allen notwendigen IT-Services bereitstellen zu können.“ Flagmeyer: „Die Basis für ein professionelles Service-Management bildet die CMDB ( Configuration Management Data Base). In ihr sind alle Konfigurationsdaten zu den Systemen und Komponenten sowie deren Beziehungen untereinander und den einzelnen Verwaltungsprozessen hinterlegt.“ Dadurch könnten auch Veränderungen innerhalb virtualisierten Umgebungen – neue Server, neue Kapazitätszuordnungen, neue Einstellungen – automatisch, dynamisch und fehlerfrei im Einklang mit den Verwaltungsprozessen umgesetzt werden: „Nur durch ein gesamtheitliches Management kann das volle Potenzial virtualisierter Umgebungen ausgeschöpft werden.“ Deshalb solle bereits mit der Planung eines Virtualisierungskonzeptes ein Service-Management-Konzept erstellt werden.