Gesetzliche Vorschriften und Regularien in virtuellen Umgebungen einhalten
Virtualisierung macht Compliance zum Balanceakt
03.04.2009 | Autor / Redakteur: SearchDataCenter / Ulrich Roderer
Ohne Berücksichtigung der Compliance-Ziele können Kontrollen im Allgemeinen in drei Kategorien unterteilt werden:
- Vorbeugende Kontrollen: Vermeidung von Fehlern, Versäumnissen oder Auftreten von Sicherheitsvorfällen. Beispiele sind Zugangskontrollen, Trennung von Pflichten, Konfigurationsstandards und -einstellungen, organisatorische Policies, Firewalls und Netzwerksegmentierung, Schwachstellenmanagementprogramme.
- Detektivische Kontrollen: Erkennung von Fehlern oder Vorfällen, wie unbefugten Zugang, falsche Konfigurationseinstellungen, unbefugte und ungeprüfte Änderungen sowie andere Überwachungsmethoden, Messungen, Intrusion Detection, Schwachstellen-Scanning.
- Berichtigende Kontrollen: schnelle Fehlerbehebung und Wiederherstellung des normalen Betriebs, darunter fallen Verfahren und Techniken, um unbefugte Benutzer zu entfernen, unAutorisierte Änderungen zu beseitigen und Dienste wiederherzustellen.
Risiken
Was sind die Risiken, die es zu verhindern, wahrzunehmen und zu korrigieren gilt? Man kann zu kontrollierende IT-Ziele auf unterschiedliche Wege kategorisieren – etwa durch Verwendung von COBIT oder ISO 17799, aber am leichtesten anzuwenden und am nützlichsten ist die Kategorisierung, die aus dem GAIT-Projekt (Guide to Assessment of IT Risk) des Institute of Internal Auditors (IIA) entstanden ist. Diese Serie von Leitlinien beschreibt drei umfassende Kategorien von IT-Kontroll-Zielen:
- Zugangs- und Benutzerverwaltung: Welche Zugangsbeschränkungen müssen gelten? Zum Beispiel, welche Einschränkungen sollten für physikalischen und logischen Zugang gesetzt und wie sollten Pflichten und Rollen getrennt werden? Wie sollen in der privilegierten Virtualisierungsverwaltung allmächtige Konten beschränkt werden?
- Änderung und Konfiguration: Welche Systeme, welcher Code und welche Konfigurationen müssen richtig konfiguriert und geändert werden? Beispielsweise wenn es um Host-Konfiguration, Konfiguration von virtuellen Netzen und Storage, andere virtuelle Objekte wie Ressourcen-Pools und -Cluster und Sicherheitseinrichtungen geht.
- Betrieb: Welche Kontrollen müssen operationell eingeführt werden, um geplante und ungeplante Ereignisse richtig zu behandeln? Geplante Aktivitäten sind regelmäßige Backups, Wiederherstellungstests, Sicherheits- und Ereignisüberwachung, Stapeljobs, Testen von Disaster Recovery, Schwachstellenmanagement und das Patching, Überprüfung von Protokollen, Bewusstseinsausbildung. Ungeplante Aktivitäten schließen normalerweise Ausnahmebehandlung, Vorfall/Fehlerverwaltung, Sicherheitsvorfallsbehandlung usw. ein.
Sobald die notwendigen IT-Kontroll-Ziele auf diese Weise charakterisiert wurden, ist das weitere Vorgehen relativ geradlinig, um die erforderlichen Kontrollen für die virtuellen Infrastrukturen zu identifizieren.
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020571)