Hochverfügbarkeit und Performance
Ein Kapitel für sich ist die Hochverfügbarkeit und ungebremste Performance innerhalb des virtualisierten Server-Pools. Wenn mehrere virtuelle Systeme, involviert an mehreren Geschäftsvorfällen, auf einem physischen System installiert sind, steht und fällt die gesamte Ablaufkette mit der Verfügbarkeit der physischen Maschine, also dem klassischen Server. Sie sollten demzufolge durch physische Redundanz abgesichert werden.
Die Kombination aus Fail-over/Fall-back und Pattenspiegelung ist dafür nur ein Beispiel. Redundante I/O-Einheiten und Netzwerkanschlüsse sind andere. Mit der zusätzlichen Zusammenführung von Funktionen und Ressourcen über die Virtualisierungsschicht muss auch die Ablauffähigkeit der logischen Einheiten, der virtuellen Maschinen, sichergestellt werden. Dafür müssen alternative logische Pfade vorgesehen werden, die bei Ausfall nahtlos übernehmen. Nur so wird die logische Verbindungs- und Ausführungsschicht jederzeit verlässlich funktionieren.
Natürlich müssen auch diese Pfade für eine höhere Verbindungssicherheit bei der Kapazitätsplanung innerhalb des zu virtualisierten Server-Verbunds berücksichtigt werden. Ihre Kapazitäten dürfen nicht für eine optimierte Auslastung im virtuellen Verbund verplant werden. So geht eine übertriebene Auslastung zwangsläufig auf Kosten der Verfügbarkeit und Performance der Ressourcenzuweisung.
Angriffssicherheit
Daneben stellt die zusätzliche Virtualisierungsschicht zwischen den Servern die Planer vor die Anforderung, Angriffe auch auf dieser Ebene abzuwehren. Die Virtuellen Maschinen sind ebenso attackierbar wie jedes Betriebssystem. Dazu kommt der darüber angesiedelte Hypervisor als zusätzliche Achillesferse für Angriffe von Innen und Außen.
An jeder Stelle, über der der Hypervisor greift, kann auch der Angreifer virtuelle Systeme attackieren. Umgekehrt kann ein Angreifer, sofern es ihm gelingt, in ein virtualisiertes System einzudringen, darüber die Koordinative Hypervisor attackieren. Das gilt für das Einschleusen von Malware jeder Art gleichermaßen wie für nicht autorisierte Zugriffe. Eine zusätzliche Gefahr stellen Denial-of-Service (DOS)-Attacken dar. Sie werden durch das Prinzip einer gerechten Ressourcenverteilung zwischen den virtuellen Systemen und dem physischen System über die Virtualisierungsschicht gefördert.
Es hilft nichts: Die Projektverantwortlichen sollten zusätzlich alle logischen Angriffspunkte sowie die potenziellen Folgen und Risiken, die darüber für das Geschäft lauern, analysieren. Nur dann können sie auch auf dieser Schicht, einschließlich der Applikationen, ein tragfähiges Sicherheitskonzept herausbilden und etablieren. Für diese Analyse hat sich eine Trennung der funktionalen Seite (Betriebssystemebene) von der inhaltlichen Seite (Applikationsebene) bewährt.
Das einzige, was virtuelle Systeme angriffssicher kapselt, ist Hardware, beispielsweise Intel-VT. Natürlich sollte auch das Hypervisor-System als Host verlässlich gehärtet werden. Werden gerade auf dem Hypervisor nicht benötigte Dienste automatisch abgeschaltet, können zwischenzeitlich über diese Dienste keine Angreifer vordringen. Und: Um nicht zuviel zu riskieren, sollten Sicherheits-Server besser bei der Virtualisierung außen vor bleiben. Auch wenn das auf Kosten einer dynamischen und wirtschaftlichen Zuweisung ihrer Ressourcen geht.