Virtualisatie serverplatform

Uit NORA Online
ISOR:Beveiliging Virtueel serverplatform
Ga naar: navigatie, zoeken
Versie 2.0 van 5 maart 2021 van de BIO Thema-uitwerking Serverplatform is vervangen door versie 2.1 van 25 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft een of meer gescheiden logische omgevingen op één fysieke server of serverplatform.

Objecttoelichting

Servervirtualisatie stelt een organisatie in staat om een of meer gescheiden logische omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en een of meerdere virtuele servers.


De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief Central Processing Unit (CPU), geheugen, harddisk of netwerk. Hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.


Criterium

Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.

Doelstelling

Het in voldoende mate beveiligen van gevoelige informatie op een virtueel serverplatform.

Risico

Dat onbevoegden inzicht krijgen in gevoelige informatie.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SY1.3

Onderliggende normen

IDConformiteitsindicatorStelling
SVP_U.11.01 Fysieke servers

Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:

  • onbeheerde en ad hoc-inzet van virtuele servers (zonder juiste procedures aanvraag, creëren en schonen);
  • overbelasting van resources ((CPU), geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
SVP_U.11.02 Hypervisors

Hypervisors worden geconfigureerd om:

  • virtuele servers onderling (logisch) te scheiden met vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
  • de communicatie tussen virtuele servers te coderen;
  • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
  • de rollen van hypervisoradministrators te scheiden.
SVP_U.11.03 Virtuele servers

Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:

  • fysieke servers die worden gebruikt voor het hosten van virtuele servers;
  • hypervisors die zijn geassocieerd met virtuele servers;
  • virtuele servers die op een fysieke server worden uitgevoerd.
SVP_U.11.04 Virtuele servers

Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:

  • het toepassen van standaard beveiligingsrichtlijnen voor fysieke en logische toegang;
  • het hardenen van de fysieke en virtuele servers;
  • het wijzigingsbeheer en de malwareprotectie;
  • het toepassen van monitoring en van netwerk gebaseerde beveiliging.