Informationssicherheitsarchitektur für virtuelle Umgebungen nach RSC BR IBBS-2.8-2015
Beim Entwurf einer Informationssicherheitsarchitektur in virtuellen Umgebungen ist der entscheidende Schritt die Definition von Sicherheitszonen. Werden Zahlungstransaktionen (PTP) oder personenbezogene Daten (PDP) verarbeitet, müssen getrennte Sicherheitszonen eingerichtet werden: PTP und PDP. Fehlen solche Anforderungen, werden die Zonen anhand der kritischen Bedeutung der Geschäftsprozesse festgelegt.
Die physische Trennung von Host-Servern für VMs aus unterschiedlichen Sicherheitszonen ist obligatorisch. Die Platzierung von VMs auf separaten physischen Servern minimiert das Risiko einer Bedrohungsverbreitung. Bei gemeinsam genutzten Hosts muss eine logische Isolation auf Hypervisor-Ebene wie in Abschnitt 6.2 vorgeschrieben implementiert werden.
Der Zugriff über Netzwerke wird durch zertifizierte Layer-3-Firewalls sichergestellt. Der Zugriff auf VMs in der PTP-Zone ist ausschließlich von PTP-Arbeitsplätzen erlaubt, der Zugriff auf VMs in der PDP-Zone nur von PDP-Arbeitsplätzen (Abschnitte 6.3, 6.4, 6.9).
Hypervisor-Konfiguration und VM-Image-Verwaltung
Ein zertifizierter Hypervisor wird dringend empfohlen (Abschnitt 6.11). Dazu gehören:
- Zuweisung dedizierter logischer Speicherbereiche für jede Sicherheitszone (Abschnitt 6.5).
- Blockierung unerlaubter Datenübertragungen zwischen VMs und dem Host-Betriebssystem.
Die Verwaltung von VM-Images muss einem strengen Prozess folgen:
- Erstellung eines Basisimages.
- Test im isolierten Segment auf einem dedizierten Server.
- Scannen auf Malware und Überprüfung der Integrität der Sicherheitsmaßnahmen.
- Genehmigung durch das Informationssicherheitsteam vor der Bereitstellung (Abschnitte 7.1–7.8).
Ein Serverkomponente des ABS entspricht genau einer VM – keine Konsolidierung erlaubt. Bei VDI dürfen Änderungen nicht im Basisimage gespeichert werden; ein erzwungener Rollback ist erforderlich.
Basisimage → Testsegment → Malware-/Sicherheitsprüfung → IS-Genehmigung → Produktion
Administration und Komponentenschutz
Hypervisor- und Host-Administration darf ausschließlich von dedizierten Arbeitsplätzen im Management-Segment ausgeführt werden (Abschnitt 8.1). Zertifizierte Sicherheitstools müssen unbefugten Zugriff (UAA, Abschnitt 8.2) verhindern. Virtualisierungskomponenten dürfen niemals innerhalb von VMs installiert werden (Abschnitt 8.4).
Obligatorische Protokollierung umfasst:
- Start/Stop-Ereignisse von VMs.
- Änderungen an Netzwerkkonfigurationen.
- Aktivitäten zum Kopieren von Images.
- Administrator-Anmeldungen (Abschnitt 8.7).
Der Schutz von VMs erfolgt auf Hypervisor-Ebene: agentenlose Antivirus-Lösungen in Gast-Betriebssystemen (Abschnitt 9.6). Zertifizierte Sicherheitstools überwachen die Softwareintegrität und Zugriffssteuerung (Abschnitt 9.4).
Für Arbeitsplätze ist eine Zwei-Faktor-Authentifizierung (Tokens) zur Zugriffsberechtigung auf PTP/PDP-Zonen erforderlich (Abschnitt 10.5), zusätzlich zu vertrauenswürdigen OS-Boot-Prozessen und Portkontrolle (Abschnitte 10.1, 10.3).
Rollentrennung und Schutz des Storage Area Networks (SAN)
Die Rollentrennung verhindert Überlappungen (Abschnitt 12.2):
- VM-Administrator: verwaltet Anwendungen innerhalb von VMs.
- Virtualisierungs-Administrator: erstellt VMs und verwaltet Images.
- Virtualisierungs-IS-Administrator: konfiguriert Netzwerke und Zugriffsrichtlinien.
- SAN-Administrator: verwaltet Festplattenarrays.
Keine Einzelperson hat Zugriff auf alle Ebenen – Hypervisor, Speicher und VM-Inhalte.
Das SAN muss in logische Partitionen nach Sicherheitszone unterteilt werden (PTP, PDP, System, Abschnitt 13.1). Der Zugriff auf PTP-Partitionen ist ausschließlich für PTP-VMs erlaubt (Abschnitt 13.3.1).
Wichtige Erkenntnisse
- Die physische Trennung zwischen PTP- und PDP-Zonen ist zwingend erforderlich; logische Isolation ist nur bei Bedarf notwendig.
- Alle Sicherheitstools und Hypervisoren müssen von FSB/FSTEC zertifiziert sein.
- Das Rollenmodell trennt strikt Hypervisor-, SAN- und VM-Administration.
- VM-Images müssen vor der Bereitstellung zwingend getestet und vom IS-Team genehmigt werden.
- Ereignisprotokollierung von Hypervisor und Sicherheitstools wird zentral auf einem dedizierten Server gesammelt.
— Editorial Team
Noch keine Kommentare.