Risico s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object

Transcriptie

1 Risico s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object Door A. Possen en P. Ulrich Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate IT-Audit opleiding, Maart, 2010 Begeleider VU: Dr. J. Hulstijn Begeleider Deloitte: D. Suijkerbuijk MSc

2

3 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich Samenvatting Virtualisatie neemt een grote vlucht. Wij zijn van mening dat virtualisatie verder zal doorzetten. Binnen de markt zijn hiervoor een aantal argumenten. Ten eerste biedt virtualisatie bedrijven veel voordelen op het gebied van utilisatie. Virtualisatie maakt het mogelijk dat een verzameling resources (hardware) wordt verdeeld door meerdere virtuele servers (applicaties). Ten tweede biedt virtualisatie voordelen op het gebied van beschikbaarheid en het beheer. De virtuele servers (VM s) kunnen namelijk tussen meerdere fysieke virtualisatieservers worden verplaatst. Hierdoor kan de belasting van servers eenvoudig worden aangepast en servers kunnen worden verplaatst voor beheerdoeleinden of continuïteitsmanagement. Ten derde zien wij vanuit onze auditwerkzaamheden vaak klanten die hun IT-infrastrucuur uitbesteden. Vaak zijn bedrijven vervolgens aan de IT-dienstverlener tot in de lengte van dagen verbonden. Virtualisatie brengt echter een scheiding aan tussen de fysieke (hardware) en logische (applicatie) laag. Hierdoor is een organisatie beter in staat zijn applicaties bij een andere IT-dienstverlener onder te brengen. Ten slotte is er een trend zichtbaar waarbij naar een meer flexibelere organisatie wordt gestreefd. Voorbeelden van dergelijke ontwikkelingen zijn Cloud Computing en SAAS. Dergelijk diensten vragen vanwege hun schaalbaarheid en flexibiliteit vaak om een gevirtualiseerde infrastructuur. Ondanks de voordelen van virtualisatie bestaat er een hoge impact op de bestaande infrastructuur en beheerprocessen. Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012 (Gartner, 2008). Vreemd genoeg lijkt de auditor nog niet helemaal doordrongen van het concept virtualisatie en de impact op de infrastructuur en het beheer. In de praktijk wordt naar onze mening te weinig beoordeeld hoe een organisatie haar IT heeft ingericht en of hierbij gebruik wordt gemaakt van virtualisatie. Binnen dit onderzoek wordt de impact van virtualisatie op de IT-beheerprocessen geëvalueerd en wordt beoordeeld in hoeverre de bestaande beheersmaatregelen als gevolg van virtualisatie moeten worden aangepast. Wij hopen met deze scriptie het bewustzijn te stimuleren dat virtualisatie specifieke aandacht verdient en bij te dragen aan de opzet van een aanvullend (delta) beheersmaatregelen raamwerk voor een gevirtualiseerde (database)server omgeving. Deze scriptie is geschreven in het kader Postgraduate ITaudit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Om tot een dergelijk raamwerk te komen, zijn de bestaande kwaliteitsmethodieken beoordeeld op bruikbaarheid om als standaard beheersmaatregelen raamwerk te dienen. Op basis van een inhoudelijk vergelijking van diverse kwaliteitsmethodieken is CobiT als uitgangspunt gehanteerd. Vervolgens is er een selectie gemaakt van de IT-beheerprocessen met een impact op de kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid. De geselecteerde set van IT-beheerprocessen zijn inhoudelijk onderzocht op de impact, de risico s en noodzakelijke beheersmaatregelen voor virtualisatie. Voor de inventarisatie is gebruik gemaakt van interne als externe virtualisatie experts. Het opgestelde beheersmaatregelen raamwerk is inhoudelijk getoetst bij Deloitte Websolutions. Aanpassingen zijn vervolgens nogmaals met deze partij afgestemd. Wij hebben nieuwe beheersmaatregelen geïdentificeerd voor de CobiT-processen Manage changes(ai06), Ensure continuous service(ds04), Ensure systems security(ds05) en Manage data(ds11). Het blijkt dat door de wijziging in de IT-infrastructuur en impact op de IT-beheerprocessen er nieuwe beheersmaatregelen voor deze processen zijn vereist. Voor de CobiT-processen Assess and manage IT risks(po09), Manage changes(ai06), Manage performance and capacity(ds03), Ensure continuous service(ds04), Ensure systems security(ds05), Manage the configuration(ds09) en Manage data(ds11) zijn ook wijzigingen op beheersmaatregelen geïdentificeerd die niet de strekking van de standaard beheersmaatregel veranderen, maar de diepgang ervan. Er dient nu ook rekening te worden gehouden met de nieuwe virtualisatielaag. Wij zijn van mening dat de aanvulling op het bestaande beheersmaatregelen raamwerk in de vorm van nieuwe en gewijzigde beheersmaatregelen een IT-auditor beter zullen ondersteunen om de beheersing van een gevirtualiseerde (database)server omgeving te beoordelen. Pagina 1

4 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving Pagina 2

5 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich Inhoudsopgave Samenvatting... 1 Inhoudsopgave Introductie Aanleiding Doelstelling Onderzoeksvraag Onderzoeksaanpak Virtualisatie Definitie van virtualisatie Virtualisatie achtergrond Virtualisatie: mogelijke voordelen of pure noodzaak? Voordelen van server virtualisatie Noodzaak voor toekomstige ontwikkeling Virtualisatie van de databaseserver Server virtualisatie Volledige virtualisatie Paravirtualisatie Virtualisatie ondersteunende hardware Componenten bij volledige virtualisatie Virtualization Layer Virtual Machines Service Console VirtualCenter Virtual Networking Layer Virtual Storage Consequenties voor infrastructuur en beheer Consequenties voor het netwerk Consequenties voor de data opslag Consequenties voor infrastructuur en gebruikersbeheer IT - Audit van een databaseserver omgeving Audit aanpak Beschikbaarheid Integriteit Vertrouwelijkheid IT- beheersmaatregelraamwerken Delta identificatie voor IT-beheerprocessen bij virtualisatie Define the information architecture (PO02) Assess and manage IT risks (PO09) Manage changes (AI06) Manage performance and capacity (DS03) Ensure continuous service (DS04) Ensure systems security (DS05) Algemeen Virtual machine (VM) Service Console Pagina 3

6 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving VirtualCenter Virtualization Layer Virtual Network Layer Virtual Storage Manage the configuration (DS09) Manage data (DS11) Manage the physical environment (DS12) Toetsing, analyse en evaluatie Toetsing van het geformuleerde IT-beheersmaatregelenraamwerk Analyse van bevindingen Evaluatie onderzoek Aanvullend onderzoek Conclusie Bronnen Index Bijlage 1 Opgesteld Normenkader Bijlage 2 CobiT-processen Bijlage 3 Geselecteerde CobiT-processen en beheersmaatregelen Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellen Pagina 4

7 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich 1. Introductie Binnen dit hoofdstuk zal de aanleiding van dit onderzoek worden beschreven. Daarnaast zal de doelstelling, centrale onderzoeksvraag en de onderzoeksaanpak worden beschreven. 1.1 Aanleiding Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012 (Gartner, 2008) Het vakgebied van een IT-auditor is een gebied dat constant aan (technologische) veranderingen onderhevig is. Een ontwikkeling die zeker een grote impact heeft op het vakgebied van IT-audit is virtualisatie. Het concept virtualisatie is niet nieuw en bestaat al sinds de jaren zestig van de 20 e eeuw voornamelijk binnen de mainframe-omgeving. Echter ook buiten de mainframe-omgeving heeft virtualisatie zich de laatste jaren sterk ontwikkeld en heeft een volwassen status bereikt. Steeds meer ondernemingen maken de stap om hun infrastructuur te virtualiseren of zijn bezig zich hierop te oriënteren. Volgens Gartner(2008) lag het gebruik van virtualisatie in 2007 nog onder de vijf miljoen servers. Naar verwachting zal dit gebruik sterk toenemen tot 660 miljoen in Virtualisatie wordt genoemd als de trend met de hoogste impact op de infrastructuur en het beheer voor de periode tot 2012 (Gartner, 2008). Het feit dat virtualisatie in steeds hogere mate wordt geaccepteerd blijkt uit de toepassing hiervan voor de IT-infrastructuur door de Olympische Spelen 2010 (Toet, 2010). Ook grote marktleiders als Amazon.com bieden hosting diensten aan (Amazon EC2) op een volledig gevirtualiseerde omgeving(amazon, 2010). Dergelijke organisaties kiezen hierbij steeds meer voor virtualisatie onder andere vanwege de schaalbaarheid en afnemende beheerkosten. Met het toenemen van virtualisatie gebruik, ontstaat bij organisaties ook terecht de vraag welke risico s worden geïntroduceerd door het gebruik hiervan. Enerzijds zijn dit nieuwe risico s als gevolg van een nieuwe technologie, zoals specifieke virtualisatie-aanvallen. Anderzijds zijn dit de risico s die samenhangen met het algemene IT-beheer. Het IT-beheer veranderd door de introductie van virtualisatie waarbij een veel flexibelere architectuur ontstaat. Middels een goed uitgewerkte configuratie en hierop afgestemde IT-beheerprocessen (bijvoorbeeld afgeleid van ITIL) moet het omslagpunt kunnen worden bereikt dat het beheer van een virtuele architectuur eenvoudiger is dan een fysieke architectuur. Naast de impact van virtualisatie op de infrastructuur en het IT- beheer biedt het ook vele voordelen. Onder andere op het gebied van flexibiliteit, de mate van gebruik van de beschikbare middelen en de beschikbaarheid van de middelen. Virtualisatie stelt de organisatie beter in staat om de beschikbare middelen volledig in te zetten en snel op technologische ondersteunende ontwikkelingen in te spelen. De voordelen kunnen worden behaald zonder afbreuk te doen aan de mate van beheersing, mits de bijkomende risico s voldoende worden afgedekt middels effectieve beheersmaatregelen in opzet, bestaan en werking. Voorafgaande aan implementatie van virtualisatie vragen organisaties zich af, of alle applicaties en ondersteunende systemen wel geschikt zijn om te virtualiseren. Een specifiek voorbeeld van een dergelijk systeem is het database management systeem. Juist de databaseserver is voor een organisatie van onschatbare waarde. Wij zijn van mening dat de voordelen die virtualisatie biedt juist groter worden of mogelijk worden als virtualisatie in zijn uiterste vorm wordt uitgevoerd. Hiermee wordt bedoeld dat de volledige infrastructuur bestaande uit de dataopslag, netwerk, servers (inclusief databaseserver) wordt gevirtualiseerd. De flexibele (gevirtualiseerde componenten) worden dan immers niet afgeremd door de nog statisch (niet gevirtualiseerd) uitgevoerde componenten. Zover zullen nog niet alle organisaties zijn, maar de specifieke vraagtekens rondom geschiktheid tot virtualisatie, maakt de databaseserver wel een extra interessant object van onderzoek. Dat de markt deze kant opgaat, blijkt nogmaals uit een voorbeeld van Amazon EC2. Aboulnaga e.a. (2009) beschrijven een voorbeeld waarin virtualisatie volledig wordt omarmd, ook voor databaseservers. Virtualisatie wordt hierbij als eis gezien om de volgende stap van IT-flexibilisering te bereiken. Beter bekent als Cloud Computing. Pagina 5

8 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving Deze scriptie zal niet ingaan op de specifieke risico s die samenhangen met Cloud Computing, maar het moge duidelijk zijn dat de introductie van virtualisatie zal leiden tot wijzigingen van het risicoprofiel, beheersmaatregelen en audit-aanpak. Er bestaat dus een duidelijke reden om de toolkit van de IT-auditor te voorzien van informatie over specifieke beheersmaatregelen die de risico s van virtualisatie kunnen afdekken. De auditor zal bewust moeten worden van de nieuwe risico s die met virtualisatie worden geïntroduceerd en hoe hiermee om dient worden te gaan. De wereld van virtualisatieproducten is niet uniform. Het is dus niet mogelijk één algemeen raamwerk te ontwikkelen met specifieke beheersmaatregelen die toepasbaar zijn voor elke gevirtualiseerde omgeving. Naast de product specifieke risico s, bestaan risico s voor de unieke situatie waarbinnen virtualisatie wordt toegepast. Het is wel mogelijk om de huidige set van algemene beheersmaatregelen die binnen een datacenter worden toegepast onder de loep te nemen en te onderzoeken in hoeverre virtualisatie hier impact op heeft. De beheersmaatregelen die voor een gevirtualiseerde omgeving zullen moeten worden aangepast, vormen een delta. De delta kan worden beschouwd als het verschil tussen het oude raamwerk van een niet gevirtualiseerde omgeving en het nieuwe raamwerk voor een gevirtualiseerde omgeving. Er wordt bewust gekozen om een delta op te stellen, in tegenstelling tot een compleet nieuw raamwerk. De voornaamste reden hiervoor is eigenlijk al genoemd: Het onderzoek is erop gericht een generiek raamwerk te formuleren met beheersmaatregelen die binnen de verschillende gevirtualiseerde omgevingen en op basis van verschillende virtualisatieproducten zijn uitgevoerd.. De beheersmaatregelen zullen voor het uitvoeren van een audit nog verder moeten worden geconcretiseerd op basis van het gebruikte virtualisatie product en (klant) omgeving. Er wordt niet verwacht dat door het toepassen van virtualisatie, reeds bestaande beheersmaatregelen komen te vervallen. De oude situatie van een server met hierop draaiende een applicatie die beiden moeten worden beheerst blijft immers bestaan, hetzij virtueel. Virtualisatie introduceert echter een extra laag binnen de bestaande IT-architectuur waarvoor nieuwe beheersmaatregelen noodzakelijk zijn en de manier waarop invulling wordt gegeven aan reeds bestaande beheersmaatregelen breder wordt. Binnen deze scriptie staan de drie kwaliteitsaspecten beschikbaarheid, integriteit, en vertrouwelijkheid (ook bekend als BIV of CIA ) centraal, aangezien deze drie kwaliteitsaspecten vaak als uitgangspunt worden gehanteerd voor een IT-audit met als doelstelling het toetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving. 1.2 Doelstelling Dit onderzoek richt zich op de risico s die organisaties lopen indien gebruik wordt gemaakt van virtualisatie. Op basis van de genoemde kwaliteitaspecten (zie de vorige paragraaf) worden de voor dit onderzoek relevante generieke IT-beheerprocessen geselecteerd, op basis van een algemeen erkend raamwerk. Voor de generieke IT-beheerprocessen wordt de impact van virtualisatie geïnventariseerd met betrekking tot de toegepaste beheersmaatregelen. Vanwege de soms nog bestaande twijfel om databaseservers te virtualiseren, zal hierbij specifiek worden gekeken naar de risico s voor een databaseserver omgeving. Het doel is om voor de geïdentificeerde risico s met betrekking tot virtualisatie van een databaseserver, mitigerende beheersmaatregelen te definiëren die uiteindelijk leiden tot een algemeen beheersmaatregelenraamwerk ten behoeve van gevirtualiseerde databaseservers. Het raamwerk bestaat uit beheersmaatregelen die nodig zijn om de specifieke risico s van virtualisatie af te dekken voor de geselecteerde IT-beheerprocessen. Het raamwerk zal niet gedetailleerd ingaan op de algemene beheersmaatregelen die niet wijzigen als gevolg van virtualisatie, maar het beschrijft een delta tussen de oude en de nieuwe beheersmaatregelen als gevolg van virtualisatie. Pagina 6

9 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich 1.3 Onderzoeksvraag Om een voldoende afdekkend beheersmaatregelenraamwerk te definiëren met specifieke beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving, zullen een aantal onderzoeksvragen moeten worden beantwoord: Als eerste zal duidelijk moeten zijn wat virtualisatie precies inhoudt en de impact op de infrastructuur. Wat is virtualisatie en wat is de impact hiervan op de bestaande IT- infrastructuur? Vervolgens zal de scope van het onderzoek specifiek gericht zijn op de drie kwaliteitsaspecten ( beschikbaarheid, integriteit en vertrouwelijkheid ) en IT-beheerprocessen. Om dit te bereiken zullen een drietal vragen moeten worden beantwoord. Welke IT-beheersmaatregelraamwerken zijn geschikt om de relevante IT-beheerprocessen te selecteren? Welke IT-beheerprocessen hebben een directe invloed op de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid? Nadat de IT-beheerprocessen zijn geïdentificeerd welk impact hebben op de drie genoemde kwaliteitsaspecten, zullen de specifieke risico s van virtualisatie worden onderzocht. Welke specifieke risico s zijn te onderkennen binnen de geselecteerde IT-beheerprocessen als gevolg van virtualisatie van een databaseserver omgeving? Op basis van de antwoorden op bovenstaande onderzoeksvragen zal een antwoord worden gegeven op de twee hoofdvragen van dit onderzoek, namelijk: Wat zijn de specifieke risico s met betrekking tot IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie en welke mitigerende beheersmaatregelen kunnen hiervoor worden gedefinieerd en gemodelleerd in een generiek ITbeheersmaatregelraamwerk? 1.4 Onderzoeksaanpak In de eerste plaats zal er een theoretisch kader worden gevormd door middel van literatuurstudie. Deze literatuurstudie richt zich op bestaande kennis en informatie op het gebied van ITbeheerprocessen, gerelateerde beheersmaatregelen, virtualisatie en specifieke risico s van virtualisatie op databaseservers. Aan de hand van de verkregen informatie zal het onderzoeksobject (gevirtualiseerde databaseserver omgeving) worden beschreven. Op basis van eigen ervaring binnen het auditvak, geraadpleegde literatuur en gesprekken met inhoudelijke deskundigen zal er een afbakening worden gemaakt van relevante IT-beheerprocessen. Vervolgens zullen aanvullende literatuurstudie, interviews en andere kennisbronnen worden geraadpleegd om specifieke risico s met betrekking tot een gevirtualiseerde databaseserver omgeving te identificeren. Voor de geïdentificeerde risico s worden de noodzakelijke beheersmaatregelen geïdentificeerd en geformuleerd. Aangezien VMware marktleider is op het gebied van virtualisatie, hanteren wij het VMware platform (ESX) als voornaamste referentiekader. De beheersmaatregelen zullen echter algemeen worden geformuleerd zodat ze voor alle virtualisatieproducten toepasbaar zijn. De nieuwe set van beheersmaatregelen vormen een delta. De delta geeft een overzicht van aanvullende of gewijzigde beheersmaatregelen als gevolg van het virtualiseren van het audit-object. Hierbij zal geen uitspraak worden gedaan of het beheer van de omgeving makkelijker of moeilijker Pagina 7

10 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving wordt. Bij het definiëren van de beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving zal zoveel mogelijk gebruik gemaakt worden van de beschikbare wetenschappelijke literatuur, bestaande raamwerken en methodieken (best practices). Daarnaast is gebruik gemaakt van virtualisatiedeskundigen om de geïdentificeerde set van beheersmaatregelen op juistheid te verifiëren. Hierbij zijn mogelijke suggesties geopperd voor het opnemen van additionele beheersmaatregelen. Dit heeft tot aanvullende informatie en theoretisch onderzoek geleid om nog eventueel ontbrekende beheersmaatregelen te identificeren. Toetsing van de geïdentificeerde set van risico s en hiervoor geformuleerde beheersmaatregelen vindt plaats bij Deloitte Websolutions. Er is specifiek voor Deloitte Websolutions gekozen omdat zij databaseserver virtualisatie toepassen voor Microsoft SQL Server Het merendeel van grotere organisaties heeft nog niet de database omgeving gevirtualiseerd of maakt gebruik van mainframe toepassingen. Op basis van onze kennis en ervaring is vastgesteld dat bij kleinere organisaties database virtualisatie succesvol wordt toegepast, echter dit is niet representatief voor een data intensieve toepassing en/of infrastructuur. De specifieke details van de praktijktoets zijn ter validatie besproken tijdens verschillende afspraken met medewerkers van Deloitte Websolutions. Een voordeel van Deloitte Websolutions als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is een volledig externe organisatie terughoudend om dergelijke informatie met anderen te delen aangezien dit potentiële zwaktes in (de beheersing van) de geautomatiseerde omgeving identificeert. Mogelijk misbruik van deze informatie kan verstrekkende (financiële) gevolgen met zich meebrengen. De door Deloitte Websolutions aangedragen (vertrouwelijke) informatie heeft bijgedragen om de relevantie van geformuleerde beheersmaatregelen te verifiëren. Verder zijn eventueel additionele risico s en benodigde beheersmaatregelen aangedragen. Op deze wijze is de volledigheid van het totaal van beheersmaatregelen vastgesteld. De wijze waarop de geformuleerde beheersmaatregelen moeten worden vastgesteld (audit) is daar waar nodig besproken. Voor beheersmaatregelen waarvoor onvoldoende kennis van de materie bestond om dit in praktijk vast te kunnen stellen, is aanvullende informatie ontvangen en inhoudelijk besproken. Op deze wijze is de bruikbaarheid van geformuleerde beheersmaatregelen geverifieerd. Aangezien de door Deloitte Websolutions verstrekte informatie vertrouwelijk dient te worden behandeld, is er geen inhoudelijke informatie van configuratie en verificatie opgenomen. De praktijktoetsing bestaat uit een set van meerdere interviews met architecten en management van Deloitte Websolutions. Een beschrijving van Deloitte Websolutions is opgenomen in bijlage 4. De uitkomsten van de praktijk toetsing heeft tot aanpassingen van de geformuleerde ITbeheersmaatregelen geleid. De totale set van geformuleerde IT-beheersmaatregelen en de impact op het IT-beheerproces zijn geëvalueerd en gecategoriseerd. De specifieke risico s en noodzakelijke ITbeheersmaatregelen met betrekking tot de IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie zijn op hoofdlijnen nogmaals met Deloitte Websolutions afgestemd om te verifiëren dat alle wijzigingen correct zijn doorgevoerd. Pagina 8

11 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich 2. Virtualisatie [Virtualization is] really best thought of as shorthand for separating hardware and software and thereby achieving all kinds of goodness (Romano, 2008)." 2.1 Definitie van virtualisatie Wat is virtualisatie? De definitie van virtueel is volgens de Van Dale slechts schijnbaar bestaand. Deze definitie is nog niet concreet. In het jaarlijkse hype cycle report dat Gartner elk jaar publiceert en waarin de grootste trends van het aanstaande jaar worden beschreven, wordt virtualisatie gedefinieerd als: Virtualization is the process of decoupling layers of IT function so the configuration of the layers becomes more independent of each other(gartner, 2008). Deze omschrijving is nog breed qua definitie, maar raakt wel de essentie van virtualisatie namelijk het loskoppelen van lagen. De definitie richt zich niet op welke lagen van elkaar losgekoppeld worden. Singh geeft een definitie van virtualisatie waarbij een scheiding tussen de fysieke (resources of a computer) en logische laag (multiple execution environments) wordt gemaakt: "a framework or methodology of dividing the resources of a computer into multiple execution environments, by applying one or more concepts or technologies such as hardware and software partitioning, time-sharing, partial or complete machine simulation, emulation, quality of service, and many others (Singh, 2004). De definitie van Singh hanteert de aanname dat virtualisatie altijd een één op veel relatie verondersteld. Uit het gebruik van het begrip virtualisatie in de praktijk blijkt echter dat virtualisatie niet altijd een één op veel relatie hoeft te representeren. Op het vlak van grid-computing, load balancing en opslag wordt virtualisatie bijvoorbeeld vaker gebruikt om aan te duiden dat meerdere instanties zich als één (virtuele) instantie aanbieden (lees: een aantal verspreide databases worden als één database instantie weergegeven). Naar onze mening gaat virtualisatie, lees definitie van Gartner, puur over het loskoppelen van de lagen. Dit betekent het creëren van een virtuele weergave van toebedeelde resources, gebruikmakende van een onderliggende infrastructuur. Wij gebruiken en ondersteunen daarom de definitie zoals deze wordt gegeven door (Klaver, 2008). Virtualization is a technology that combines or divides IT hardware resources in logical objects by acting as an interface between the IT hardware resources and software. It abstracts the software from the underlying hardware (Klaver, 2008). 2.2 Virtualisatie achtergrond Hoewel de huidige virtualisatie hype anders doet vermoeden, is virtualisatie niet een nieuwe technologie. Het gebruik van virtualisatie is ontstaan in de mainframeomgeving. In de zestiger jaren van de vorige eeuw hadden de mainframes van IBM al de mogelijkheid om virtuele machines te creëren. Na het mainframe werd virtualisatie geïntroduceerd binnen de midrange oplossingen voor HP-UX, AIX en Solaris. Hierbij moet vooral aan partitioneringstechnieken worden gedacht. De huidige hype richt zich niet op de vormen van virtualisatie die al jaren op de markt bestaan en nog steeds worden toegepast. Als er tegenwoordig over virtualisatie wordt gesproken, wordt meestal de virtualisatie van x86 servers bedoeld. Eind jaren negentig werd het door VMware mogelijk gemaakt om ook Intel / AMD x86 machines van een virtualisatielaag te voorzien. Tot de x86-platformen behoren onder andere de gebruikelijke Windows- en Linux-servers. In eerste instantie werd x86 virtualisatie toegepast om ontwikkel en testomgevingen geïsoleerd aan te bieden, gebruikmakend van slechts één fysieke machine. De x86 virtualisatie heeft zich echter in een snel tempo ontwikkeld en Pagina 9

12 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving wordt vandaag de dag in steeds hogere mate ingezet voor de consolidatie van productiesystemen (Chen & Bozman, 2009). Consolidatie is binnen het virtualisatie jargon een term waarmee wordt aangeduid dat meerdere systemen worden samengevoegd en gezamenlijk draaien op één fysieke machine. Naast consolidatie bestaat er een groeiende beweging om virtualisatie in te zetten voor het verkrijgen van een hogere beschikbaarheid, vereenvoudiging van disaster recovery en resource optimalisatie (utilisation). 2.3 Virtualisatie: mogelijke voordelen of pure noodzaak? Volgens sommige biedt virtualisatie voordelen voor specifieke doelgroepen en anderen zien virtualisatie als pure noodzaak. In deze paragraaf zullen de veronderstelde voordelen kort worden beschreven. Ook wordt een trend beschreven die virtualisatie als noodzakelijke ontwikkeling beschouwd. Er zal kort worden ingegaan op de ontwikkeling van databaseservers binnen het gedachtegoed van virtualisatie Voordelen van server virtualisatie De argumenten om over te stappen op virtualisatie zijn legio In deze paragraaf worden enkele hoofdargumenten belicht (Pike & Engstrom, 2006) (Golden, 2008)(Geuze & van teeffelen, 2009 ) (Szabolcs, 2009) (Montero, 2009) (VMware, 2006b). Vereenvoudigen van het beheer; Kosten; Beschikbaarheid. Vereenvoudigen van het beheer Server virtualisatie brengt een scheiding aan tussen de hardware en software. Hierdoor kan het beheer op een aantal punten worden vereenvoudigd: Het toevoegen van een nieuwe server heeft zich vertaald van fysieke handelingen naar een administratieve handeling. Een nieuwe server kan hierdoor zeer eenvoudig worden opgetuigd. De fysieke omgeving wordt overzichtelijker wat betreft het aantal serverkasten, switches, stoom- en netwerkkabels. Door virtualisatie wordt het mogelijk een logische server te verplaatsen naar een andere fysieke server, zodat er hardwarematig onderhoud aan de fysieke server kan plaatsvinden. Een logische server hoeft niet meer uitgezet te worden, waardoor onderhoud gedurende de dag mogelijk is. Kosten Virtualisatie heeft een grote impact op de kosten voor de IT-infrastructuur: Hardware and Software: In een niet gevirtualiseerde wilt men voorkomen dat applicaties elkaar negatief beïnvloeden. Hierom wordt veelal voor elke applicatie een aparte fysieke server gebruikt. Dit leidt vaak tot een lage utilisatie (bezettingsgraad) van een groot aantal fysieke servers. In veel datacentra draaien servers die slechts 10% van hun totale capaciteit gebruiken. Door het toepassen van virtualisatie kan het aantal fysiek benodigde systemen worden teruggebracht. Hierbij kan een hogere utilisatie van de beschikbare hardware worden behaald. Meerdere virtuele servers die elk geïsoleerd worden uitgevoerd, maken gezamenlijk gebruik van de beschikbare resources IT Operations: De vereenvoudiging in beheeractiviteiten zorgt ervoor dat de beheeractiviteiten door een stuk minder beheerders kunnen worden uitgevoerd. Hierbij kan echter de kanttekening gemaakt worden dat er een nieuwe laag wordt geïntroduceerd en daarmee een nieuw soort kennis is vereist. Beschikbaarheid Met de introductie van virtualisatie bestaan nieuwe mogelijkheden die de beschikbaarheid van processen kunnen verhogen. Een verstoring is beperkt tot het restoren van een logische server, waardoor er veel minder tijd nodig is om een herstart uit te voeren. Pagina 10

13 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich Er bestaan mogelijkheden om processen van de ene fysieke server te verplaatsen naar een andere server (Vmotion). Virtualisatie biedt mogelijkheden om tijdelijke pieken van resource consumptie op te vangen door de VM s toe te bedelen aan servers met meer beschikbare capaciteit. Logische servers kunnen gemakkelijk worden opgestart voor het moment dat dit gewenst is. Denk bijvoorbeeld aan een back-up server die uitsluitend actief is op het moment dat het back-up window geldt (moment waarop back-ups worden gemaakt). Virtualisatie introduceert nieuwe mogelijkheden op het gebied van back-up en recovery (zoals het maken van snapshots van de complete server) en Disaster recovery implementaties (het automatisch overzetten / opstarten van logische servers) Noodzaak voor toekomstige ontwikkeling Vandaag de dag worden er steeds hogere eisen aan de IT-infrastructuur gesteld. Organisaties ervaren steeds vaker dat organisatorische ontwikkelingen worden tegenhouden door mogelijkheden van de bestaande IT-infrastructuur. Organisaties zijn doorlopend op zoek naar kostenreducties, grotere mate van flexibiliteit en efficiëntie van de geautomatiseerde omgeving. Consequentie voor de ITorganisatie is een volle agenda met zeer uitdagende initiatieven, terwijl er minder resources (personeel, budget en IT hulpmiddelen) beschikbaar zijn. In de jaren tachtig bestond vooral aandacht voor de stabiliteit en betrouwbaarheid van gegevensverwerking. In de jaren negentig werd hieraan de focus op snelheid, efficiëntie en 24x7 beschikbaarheid toegevoegd. In de 20ste eeuw is hier een nieuwe ontwikkeling aan toegevoegd namelijk flexibiliteit (Chen & Bozman, 2009). Binnen de literatuur wordt voor deze zoektocht naar flexibiliteit in de IT-infrastructuur diverse kreten gehanteerd. Er zijn diverse raamwerken ontwikkeld, die een beheerste ontwikkeling moeten begeleiden. Door HP wordt de term Adaptive Enterprise gebruikt (HP, 2009), IBM spreekt over de dynamic infrastruture (IBM, 2009) en Dell over de scalable enterprise (Pike & Engstrom, 2006). Binnen de verschillende initiatieven staan enkele kernbegrippen centraal (HP,2006): Simplificatie, een simpele opzet vermindert de complexiteit en verlaagt risico s terwijl het bedrijven in staat stelt sneller en gemakkelijker veranderingen door te voeren. Standaardisatie, vermindert eveneens complexiteit en maakt het eenvoudiger om verandering door te voeren evenals de kosten en risico s gerelateerd aan veranderingen en het algehele beheer van geautomatiseerde omgevingen zoveel mogelijk te beperken. Integratie, essentieel om wendbaarheid en flexibiliteit te creëren. Modulair, logische of fysieke modules die op verzoek kunnen worden gebruikt. Door deze ontwerp principes toe te passen op de gehele IT-infrastructuur ontstaan autonome puzzelstukken die eenvoudig gecombineerd kunnen worden. Met deze filosofie ontstaat een omgeving waarmee de geautomatiseerde omgeving van een organisatie relatief snel en eenvoudig aanpasbaar is aan de organisatorische wensen en eisen. In de literatuur wordt gesproken over een agile (wendbare) organisatie die over de kwaliteit beschikt om zich snel aan veranderende omstandigheden en vragen aan te passen. Virtualisatie van de IT-infrastructuur wordt door de raamwerken van HP, IBM en Dell als een fundamenteel uitgangspunt beschouwd om aan de eigenschappen van een agile organisatie te voldoen. Virtualisatie biedt een organisatie de mogelijkheid om snel op uitdagingen en kansen te reageren. IT wordt hierbij steeds meer als een standaard dienst beschouwd die naar behoeft kan worden afgenomen. De IT-infrastructuur kan zich hierbij naadloos aanpassen aan de veranderende wensen van de business (schaalbaarheid) en biedt de organisatie nieuwe mogelijkheden voor haar dienstverlening. Of beter gezegd ondersteunt het een organisatie om nieuwe mogelijkheden te implementeren, waarbij de organisatie niet wordt afgeremd door de eigenschappen van de geïmplementeerde infrastructuur. Deze ontwikkeling wordt door de eerder genoemde raamwerken van onder andere HP, IBM en Dell onderkend en veelal weergeven in een zogenaamd groeimodel. Hierbij wordt gestreefd naar de uiterste vorm van flexibiliteit (Pike & Engstrom, 2006). Pagina 11

14 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving Figuur 1 Roadmap to a business ready infrastructure (HP, 2009) Virtualisatie van de databaseserver Servers zijn steeds beter in staat om processor, geheugen en I/O prestaties te optimaliseren. Inmiddels worden ook organisatie kritische systemen in steeds hogere aantallen gevirtualiseerd (Chen & Bozman, 2009) (Muirhead, 2006). Traditioneel werd verondersteld dat sommige processen, zoals databaseservers, niet effectief zouden kunnen worden gevirtualiseerd. Deze gedachtelijn houdt echter onvoldoende rekening met het feit dat tussen het virtualiseren van verschillende soorten applicaties, grote verschillen bestaan. Als specifiek wordt gekeken naar databaseserver virtualisatie, dan verschilt de omvang en performance eisen die aan een afzonderlijke database worden gesteld aanzienlijk. Server processen worden gekarakteriseerd door opslag, verwerkingscapaciteit o.a. bestaande uit de beschikbare processor en netwerkcapaciteit, en het beschikbare geheugen. Het zijn deze kenmerken die bepalend zijn of een proces geschikt is voor virtualisatie, niet het type proces (AMD, 2008). Als meerdere en verschillende type processen binnen een organisatie worden uitgevoerd op dezelfde hardware, is de som van deze verschillende processen draaiende op dezelfde server bepalend voor het succes of falen van server virtualisatie. Toekomstige ontwikkelingen voor de virtualisatie van zware processen richten zich voornamelijk in het optimaliseren van de I/O prestaties en het benutten van resources. Voorbeeld hiervan is het onderzoek van de Universiteit van Waterloo, waarbij wordt gezocht naar mechanismen voor automatische resource verdeling van meerdere gevirtualiseerde database processen (Soror e.a., 2007). Ondanks het (gedeeltelijk) wegnemen van het pijnpunt performance, zijn de voordelen om een databaseserver te virtualiseren niet altijd zichtbaar. Een databaseserver heeft namelijk vaak al een vrij hoge bezettingsgraad. De voordelen liggen hier veel meer op het vlak van de complete infrastructuur. Door databaseservers niet te virtualiseren, wordt een organisatie met twee verschillende infrastructuren geconfronteerd. Dit beperkt de mogelijkheden van het gevirtualiseerde deel van de infrastructuur en reduceert het mogelijke voordeel wat betreft beheerkosten, consolidatie e.d. De beste resultaten met behulp van virtualisatie worden behaald indien alle belangrijke onderdelen van de infrastructuur zijn gevirtualiseerd (IBM, 2009). Infrastructuur objecten krijgen een hogere mate van schaalbaarheid en kunnen de business bij wijzigende omstandigheden blijven dienen. Met het wegnemen van bottlenecks omtrent databaseserver virtualisatie, lijkt niets een vergaande virtualisatie van de infrastructuur meer in de weg te staan. Of bedrijven die voor virtualisatie kiezen ook geneigd zijn om hun gehele infrastructuur te virtualiseren en zich willen ontwikkelen tot de adaptive enterprise zal de komende tijd duidelijk moeten worden. Een ander trend waarbij een verregaande vorm van databaseserver virtualisatie wordt vereist is Cloud Computing. Cloud Computing is de meest extreme vorm van een adaptive infrastructure waarbij ook externe diensten worden afgenomen (IBM, 2009). Pagina 12

15 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich 2.4 Server virtualisatie Binnen een niet gevirtualiseerde omgeving bestaat er een één op één relatie tussen het besturingssysteem en de hardware. Alle fysieke componenten staan tot beschikking van het besturingssysteem en worden zo efficiënt mogelijk ingezet ten behoeve van de applicatie door het specifieke besturingssysteem. Bij server virtualisatie worden de beschikbare resources (processor, geheugen, harde schijf e.d.) verdeeld over de virtuele machines die op één fysieke server staan geïnstalleerd. Met virtualisatie wordt het dus mogelijk om meerdere virtuele machines met elk hun eigen type besturingssysteem (Windows, Unix, Linux, etc.) en toepassingen (applicaties en databases) naast elkaar te laten draaien en gebruik te laten maken van de componenten waarover de fysieke infrastructuur beschikt. Binnen deze scriptie wordt uitsluitend aandacht besteed aan virtualisatie van de x86 omgeving. Binnen een niet gevirtualiseerde omgeving wordt het gemeenschappelijk gebruik van een computer door meerdere applicaties afgeraden omdat applicaties elkaar negatief kunnen beïnvloeden. Hierdoor blijft veel capaciteit van de hardware ongebruikt. Met server virtualisatie wordt deze spagaat tussen capaciteit optimalisatie en scheiding tussen applicaties opgelost, omdat alle gevirtualiseerde omgevingen volledig geïsoleerd van elkaar opereren. Elke virtuele uitgevoerde omgeving reserveert en krijgt een deel van de beschikbare capaciteit toegewezen Volledige virtualisatie De meest toegepast vorm van server virtualisatie is volledige virtualisatie. Zoals de naam al doet vermoeden is volledige virtualisatie ontwikkeld om volledige loskoppeling te bieden tussen de hardware en logische laag. Een bepaald type besturingssysteem wordt in een virtual machine (VM) geïnstalleerd waarbij alle onderliggende hardware wordt nagebootst (gevirtualiseerd). Hiervoor zijn geen modificaties aan het besturingssysteem vereist. Het virtueel draaiende besturingssysteem is volledig geïsoleerd van andere VM s en merkt niet dat het in een virtuele omgeving wordt uitgevoerd. Het besturingssysteem kan zonder problemen draaien als zijnde op een fysieke server. Door de volledige loskoppeling tussen besturingssysteem en hardware, kunnen virtual machines van de ene naar de andere server worden verplaatst met verschillende hardware configuraties zonder dat dit problemen oplevert (mits hardware natuurlijk wordt ondersteund) en juist wordt geconfigureerd in de virtual machine beheersapplicatie). Deze technologie biedt voordelen qua gebruiksgemak. Negatieve aspecten van deze aanpak hebben betrekking op de tussenlaag (extra laag tussen hardware en het besturingssysteem). Door de volledige loskoppeling tussen hardware en besturingssysteem moeten alle verzoeken voor virtuele resources worden vertaald en worden doorgezet naar de onderliggende hardware. Dit heeft tot gevolg dat indien er veel vertaalslagen worden gemaakt dit consequenties heeft voor de performance van de VM Paravirtualisatie Bij paravirtualisatie dient het besturingssysteem dat in de virtual machine wordt gedraaid te worden aangepast met een zogenaamde Application Programming Interface (API). Het besturingssysteem weet dus dat het in een virtuele omgeving wordt uitgevoerd. Met behulp van de API kan rechtstreeks of via een minimale tussenlaag met de hardware worden gecommuniceerd. Hierbij vindt geen vertaalslag plaats tussen hardware en besturingssysteem zoals bij volledige virtualisatie het geval is. Hierdoor kan paravirtualisatie performance winst bewerkstelligen. Maar ook deze vorm van virtualisatie heeft een keerzijde. Het besturingssysteem zal moeten worden aangepast, wat hoge risico s introduceert Virtualisatie ondersteunende hardware De laatste vorm van virtualisatie die sterk in opkomst is, maar nog in de kinderschoenen staat, is hardware ondersteunende virtualisatie. Deze vorm van virtualisatie biedt niet een volledige oplossing maar ondersteunende functionaliteit. Hierbij nemen hardware componenten een aantal virtualisatie taken over, welk niet meer door de virtualisatielaag hoeven te worden uitgevoerd (geen vertaling tussen besturingssysteem en resources vereist). Intel en AMD hebben in 2006 de eerste generatie van virtualisatie ondersteunende hardware geïntroduceerd. Deze vorm van virtualisatie sloot nog niet goed Pagina 13

16 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving aan op de beschikbare virtualisatiesoftware en leverde daarom voor bepaalde typen processen een lagere performance (Adams & Agesen, 2006). Tegenwoordig is er een tweede generatie virtualisatie ondersteunende hardware beschikbaar gekomen. Deze tweede generatie biedt een betere aansluiting op bestaande virtualisatiesoftware en derhalve verbeterde performance (Bhatia, 2009). De hedendaagse ontwikkelingen op het gebied van hardware ondersteunende virtualisatie kunnen een belangrijke bijdrage gaan leveren om bestaande performance bottlenecks weg te nemen en een goede aanvulling te vormen voor softwarematige virtualisatie. 2.5 Componenten bij volledige virtualisatie Binnen deze scriptie zal uitsluitend aandacht worden besteed aan volledige virtualisatie. Wanneer wordt gekeken naar de beschikbare producten en leveranciers, dan is VMware verreweg de meest bekende. VMware levert het product VMware ESX server en zal kort nader worden besproken. Hoewel het doel van dit onderzoek erop gericht is een generiek raamwerk op te leveren voor een gevirtualiseerde databaseserver omgeving, zal het product van VMware als leidraad worden gehanteerd. De geformuleerde beheersmaatregelen zijn van toepassing op de meeste virtualisatie oplossingen en kunnen daardoor als leverancier onafhankelijk worden beschouwd. De VMware infrastructuur bestaat uit de volgende componenten, dit wordt ook op onderstaande afbeelding weergegeven (VMware, 2006a)(Jolliffe, 2007): Virtualization Layer; Virtual Machines; Service Console; VirtualCenter; Virtual Networking Layer; Virtual Storage. Figuur 2 VMware ESX Server architectuur (Jolliffe, 2007) Virtualization Layer De VMware ESX server presenteert een gevirtualiseerd platform waarin de vier hardware componenten worden gevirtualiseerd: processor, geheugen, schijfruimte en netwerk. De Virtualization Layer is de tussenlaag van de ESX server die speciaal door VMware is ontwikkeld om VM s te draaien. Binnen de Virtualization Layer worden resources gevirtualiseerd aangeboden, verdeeld over meerdere VM s. De Virtualization Layer is volledig gericht op het bieden van een geïsoleerde omgeving voor meerdere VM s. Pagina 14

17 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich Virtual Machines Virtual Machines (VM s) zijn zogenaamde afgeschermde containers, waarbinnen verschillende type besturingssystemen kunnen worden geïnstalleerd en waarop applicaties en databases worden uitgevoerd. De werking verschilt niet wezenlijk van een fysieke server met daarop geïnstalleerde applicaties. De instructies van het besturingssysteem worden echter niet meer direct door de hardware uitgevoerd, maar moeten eerst door de virtualisatielaag worden vertaald naar begrijpbare operaties. De verschillende VM s zijn van elkaar afgeschermd, maar delen gemeenschappelijke (fysieke) hardware Service Console Zoals in bovenstaande afbeelding is weergegeven kan de ESX server worden aangesproken middels de zogenaamde Service Console. Alle beheertaken voor de ESX server worden middels de Service Console uitgevoerd. Deze taken bestaat uit het configureren van opslag, instellingen van VM s tot aan het inrichten van virtuele netwerken. De Service Console biedt daarmee een beheerfunctionaliteit van het ESX server, terwijl VMM beheerfunctionaliteit van een afzonderlijke VM levert VirtualCenter VirtualCenter is het VMware beheerproduct dat kan worden gebruikt voor het beheren van één of meerdere ESX Servers Zodra twee of meer ESX Servers worden gebruikt loont het beslist de moeite om VirtualCenter te gebruiken. VirtualCenter biedt namelijk een centrale beheerconsole waarmee alle ESX servers en VM s kunnen worden beheerd. Binnen VirtualCenter wordt ook specifieke virtualisatiefunctionaliteit aangeboden zoals Vmotion. Met deze functionaliteit kan een draaiende VM worden verplaatst van de ene, naar een andere fysieke machine (beide ESX servers). Vmotion maakt het dus mogelijk om een VM zonder downtime te verplaatsen Virtual Networking Layer De Virtual Network Layer bestaat uit virtuele switches en adapters. Met behulp van deze virtuele resources maken VM s connectie met de rest van het virtuele en fysieke netwerk. De netwerk laag wordt gebruikt om communicatie tussen VM s onderling en gebruikers mogelijk te maken. Daarnaast wordt deze laag ook gebruik voor communicatie met externe opslag media, zoals SAN en NAS Virtual Storage Een VM is hardware onafhankelijk en transporteerbaar over servers, dit biedt flexibiliteit van de ITinfrastructuur. Om dit mogelijk te maken is er echter behoefte aan een flexibele wijze van opslag. Dit vraagt om een centrale opslag van VM s. Een mogelijke implementatie variant biedt VMware met een speciaal ontwikkeld opslag systeem. Hierbij hebben meerdere ESX servers tegelijkertijd toegang tot de opslag van VM s. Dit systeem zorgt er dus voor dat de harddisk van een VM toegankelijk blijft, indien de VM wordt verplaatst. 2.6 Consequenties voor infrastructuur en beheer De invoering van server virtualisatie heeft een grote impact op de IT-infrastructuur. Er worden nieuwe elementen geïntroduceerd die moeten worden geïmplementeerd en beheerst. De impact blijft echter niet beperkt tot de (database)server die wordt gevirtualiseerd, maar raakt ook direct de configuratie van elementen waar mogelijk niet direct aan wordt gedacht, zoals het netwerk en gegevensopslag. Ontwikkelingen binnen hedendaagse virtualisatie producten tonen aan dat functionaliteit voor netwerkvirtualisatie en opslagvirtualisatie steeds meer geïntegreerd wordt aangeboden als onderdeel van servervirtualisatie (Veldhuis & Turk, 2008) (HP, 2006). Deze onderwerpen zullen kort nader worden beschreven. Aanvullend zal in dit hoofdstuk kort de impact op de nieuwe IT-infrastructuur en user management inhoudelijk worden beschreven. Met de introductie van virtualisatiecomponenten ontstaan namelijk nieuwe toegangspaden die moeten worden beheerst. Hiermee wordt niet gesuggereerd dat de impact op andere beheerprocessen minder groot is, maar het is van belang een duidelijk beeld te hebben van de componenten die binnen een gevirtualiseerde omgeving zijn te onderkennen. Deze kennis is essentieel om de impact op andere beheersmaatregelen zoals wijzigingenbeheer te begrijpen. Pagina 15

18 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving Consequenties voor het netwerk Virtualisatie biedt nieuwe mogelijkheden op het gebied van netwerkconfiguratie. Er bestaan legio mogelijkheden om hier invulling aan te geven, variërend van server virtualisatie met een fysiek ingeregeld netwerk tot aan een volledig gevirtualiseerd platform waarbij merendeel van fysieke netwerk componenten zijn vervangen door virtuele oplossingen. Indien er gebruik wordt gemaakt van server virtualisatie zal er vrij snel behoefte ontstaan om bepaalde virtuele servers van elkaar te scheiden (Veldhuis & Turk, 2008). Belangrijkste reden hiervoor is dat verschillende VM s over een ander classificatie niveau ten aanzien van onder andere de kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit beschikken. Hiermee wordt gedoeld op de afwijkende eisen die voor verschillende VM s gelden. Zo zullen er andere eisen aan een ontwikkel VM ten opzichte van een productie VM worden gesteld bijvoorbeeld ten aanzien van beveiliging. Het virtueel scheiden van dergelijke servers (lees VM) middels vlan s (Virtueel LAN) is dan een veel gebruikte oplossing (NSA, 2008). Met virtuele netwerken kan een netwerk in meerdere logische geïsoleerde netwerken worden verdeeld, elk met hun eigen karakteristieken op het gebied van routing, switching, beleid, quality of services (QOS), brandbreedte, beveiliging e.d. Dergelijke logische partities kunnen ingericht worden voor de doelgroep die moet worden ondersteund, zoals de afdeling inkoop, verkoop, consultants e.d. Netwerk virtualisatie biedt daarmee mogelijkheden om hun resources af te schermen, aan eisen uit regelgeving te voldoen en de infrastructuur te consolideren. Het inrichten van vlan s en het koppelen met de fysieke switch vereist een duidelijke visie op de elementen die bij elkaar horen of juist gescheiden moeten blijven. Binnen een gevirtualiseerd netwerk zijn diverse typen netwerkverkeer te onderkennen, zoals een gescheiden beheer en productie netwerk. Deze verschillende vormen van netwerkverkeer dienen elk hun eigen doel en moeten afhankelijk van hun impact op andere componenten van elkaar worden gescheiden (NSA, 2008). Virtuele netwerken bieden een hoge mate van flexibiliteit, maar vereist ook een gestructureerde aanpak. Het ongecontroleerd gebruiken van vlan s kan ertoe leiden dat bijvoorbeeld een databaseserver VM aan dezelfde netwerk zone wordt gekoppeld als de DMZ, met mogelijk dataverlies tot gevolg. Hoewel het virtualiseren van een netwerk veel mogelijke voordelen biedt, bestaan er ook nadelen. Het virtualiseren van netwerken gebeurt softwarematig en daardoor ontstaat er enige vertraging. Deze software vertraging raakt voornamelijk de performance van het netwerk en opslag (DAS, IP SAN, FC SAN, NAS) (Chen & Bozman, 2009). Daarnaast verloopt binnen een gevirtualiseerde omgeving alle netwerkverkeer van meerdere VM s over één fysieke netwerkverbinding. Indien een groot aantal VM s op één fysieke server zijn geïnstalleerd kan netwerkcongestie ontstaan op de fysieke netwerkpoort van de fysieke server (opstopping). Hiervoor dienen maatregelen genomen te worden die dergelijke verstoringen voorkomen. Als voorbeeld wordt trunking aangedragen, waarbij de capaciteit van meerdere fysieke netwerkkaarten wordt gebundeld tot één logische netwerk kaart. Juist databaseservers kenmerken zich door grote hoeveelheden data die over het netwerk worden verstuurd. Afhankelijk van de gekozen configuratie heeft dit impact op de beschikbare capaciteit en performance van het netwerk en daarmee op andere VM s Consequenties voor de data opslag Een andere zeer breed toegepaste vorm van virtualisatie vinden we terug bij opslag ( storage ). Deze vorm van virtualisatie richt zich in de praktijk op consolidatie (Morgan, 2006). Er komen de laatste jaren steeds meer intelligente systemen op de markt voor centrale opslag van gegevens. Deze zogenaamde storage systemen kunnen aangesloten worden op een snel netwerk. Ze staan bekend onder de termen SAN (Storage Area Network) en NAS (Network Area Storage). Deze systemen leggen de basis voor storage virtualisatie. De data wordt zodanig opgeslagen dat VM s kunnen worden getransporteerd van de ene naar de andere server en gebruik kunnen blijven maken van de centraal opgeslagen data. Ofwel, er is behoefte aan een opslag configuratie, die de mogelijkheden van virtualisatie niet afremt. De keuze voor het gehanteerde opslag systeem wordt dan ook essentieel voor de betrouwbaarheid van het virtualisatie platform (Veldhuis & Turk, 2008). Door meerdere VM s op één fysieke machine te draaien, waarbij één connectie naar de centrale opslag wordt gehanteerd ontstaan nieuwe risico s wat betreft single point of failure. Indien de centrale gegevensopslag niet Pagina 16

19 Risico s van een gevirtualiseerde IT-omgeving Possen & Ulrich meer bereikbaar is, wordt niet één maar een veelvoud aan virtuele servers geraakt. Er wordt dan ook aanbevolen om dergelijke connecties minimaal dubbel uit te voeren. Niet alleen uitval, maar ook de prestaties van een opslag systeem en daarmee samenhangende configuratie, kunnen grote consequenties hebben voor de beschikbaarheid van meerdere VM s. Hierbij dient niet uitsluitend rekening gehouden te worden met de vereiste opslagcapaciteit, maar ook met het maximaal aantal I/O operaties dat per seconde kan worden uitgevoerd (Veldhuis & Turk, 2008). Er dient een uitvoerige analyse plaats te vinden van de eisen die aan het opslag systeem worden gesteld en de wijze waarop een zo optimaal mogelijk configuratie kan worden bewerkstelligd Consequenties voor infrastructuur en gebruikersbeheer Het mag duidelijk zijn, dat de introductie van virtualisatie effect heeft op de manier waarop ITinfrastructuur wordt ingericht en beheerd. Vooral het beheerproces voor toegangsbeveiliging wordt geraakt. Daarom zal voor de gewijzigde infrastructuur (lees: de gevirtualiseerde laag) een korte toegangsanalyse worden uitgevoerd. Toegang tot een ESX server kan op een viertal manieren worden verkregen. De verschillende toegangspaden verschillen op het gebied van functionaliteit en autorisatie (VMware,2006a)( InfoGard Laboratories, 2006). 1. De eerste mogelijkheid is via een remote console rechtstreeks een VM benaderen. Deze vorm is vergelijkbaar met het rechtstreeks aanroepen van een fysieke server. Middels een zogenaamde command line interface of SSH connectie kan op basis van het IP adres gebruikerstoegang worden verkregen tot een VM. Deze gebruikers worden voor de virtualisatie omgeving als nonprivileged (lage rechten) gebruikers gezien. Deze gebruikers werken namelijk binnen de grenzen van de VM en zijn niet in staat om rechten buiten deze VM te bemachtigen. Dit type gebruikers is wel in staat om een VM uit te schakelen of instellingen m.b.t. externe apparatuur te configureren. Het beheer van deze groep gebruikers verschilt bij virtualisatie niet het normale gebruikersbeheer. 2. De tweede mogelijkheid is door verbinding te maken met ESX server Service Console. Zoals eerder beschreven, vormt de Service Console het besturingsmechanisme van één ESX server. Toegang kan worden verkregen middels een command line interface of SSH connectie. Deze manier van toegang vraagt technische kennis van het onderliggende besturingssysteem van de ESX server, namelijk Linux. Uitsluitend beheerders van de ESX server of VM s mogen over deze vorm van toegang beschikken. Het wordt afgeraden om beheer middels de Service Console uit te voeren. De service console biedt namelijk geen centrale beheerinterface en ondersteund niet alle functionaliteit. Hierdoor zijn er meerdere beheertoepassingen nodig, waardoor de kans op fouten toeneemt. 3. De derde mogelijkheid om virtuele resources te beheersen is middels een web browser. Binnen VMware wordt hiervoor een component VI Web Access gebruikt. Het voordeel van deze methode is dat er een GUI wordt aangeboden zonder lokaal een client te installeren. De VI Web Access interface biedt een overzicht van alle VM s op een ESX server en de VirtualCenter Server. Deze interface is voornamelijk bedoeld voor het beheer van VM s en biedt niet alle functionaliteit die door de hierna besproken VI-Client wordt geboden. De VI-web access kan tevens in combinatie met VirtualCenter worden gebruikt, waardoor niet één, maar meerdere ESX servers kunnen worden benaderd. Het moge duidelijk zijn dat toegang middels VIWeb Access dus uitsluitend is bedoeld voor beheerders van de desbetreffende VM s. 4. De vierde mogelijkheid is middels een VI-Client. In tegenstelling tot VI-Web Access dient hiervoor wel een client lokaal te worden geïnstalleerd. De client biedt echter een uitgebreidere interface en volledige beheer functionaliteit op een ESX server. Ook de VI-Client kan in combinatie met VirtualCenter worden gebruikt, waardoor alle geautoriseerde ESX servers kunnen worden beheerd. Onderstaand figuur geeft de verschillende toegangspaden binnen een gevirtualiseerde architectuur grafische weer. Pagina 17

20 Possen & Ulrich Risico s van een gevirtualiseerde IT-omgeving Figuur 3 VMware Infrastructure (VMware, 2006a) Uit bovenstaande beschrijving van toegangspaden, kan geconcludeerd worden dat bij het virtualiseren van de infrastructuur een tweetal nieuwe lagen van toegangsbeveiliging worden geïntroduceerd (InfoGard Laboratories, 2006). Virtualization Layer toegang (grote grijze blok): De eerste laag wordt gebruikt voor het verifiëren van toegang tot objecten onder de controle van de Virtualization Layer door processen handelend namens gebruikers die op de Virtualization Layer zijn ingelogd en namens gebruikers die verzoeken uitvoeren op de Virtualization Layer vanuit de VirtualCenter omgeving. VirtualCenter toegang: de tweede laag van toegangsbeveiliging bestaat uit het verifiëren van toegang tot objecten binnen de VirtualCenter server, door processen handelend namens gebruikers die ingelogd zijn op de VirtualCenter omgeving. In dit hoofdstuk is het onderwerp virtualisatie beschreven door aandacht te besteden aan de drijfveren en toekomstige ontwikkelingen. De keuze voor virtualisatie blijkt een grote impact te hebben op de gehele IT-infrastructuur en beheerprocessen. Om deze impact inzichtelijk te maken zijn de generieke componenten van een gevirtualiseerde infrastructuur belicht. Vanuit deze componenten zijn de gevolgen voor de infrastuctuur en beheerprocessen kort beschreven. Het hoofdstuk heeft een verkenning gegeven voor de impact op de IT-infrastructuur en enkele beheerprocessen. Deze scriptie richt zich tot het opleveren van een audit-raamwerk van nieuwe of gewijzigde beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving. In het volgende hoofdstuk zal een duidelijke scope afbakening plaatsvinden en aansluiting worden gezocht bij bestaande raamwerken. Pagina 18