Ich habe diese Frage zur Informationssicherheit bereits gestellt, aber bisher keine Kommentare erhalten. Ich denke, es handelt sich eher um eine Frage der Serverinfrastruktur und -konfiguration als um eine Sicherheitsfrage an sich.
Deshalb werde ich versuchen, mich kurz zu fassen:
Wir sind PCI-DSS 2.0-konform. PCI-DSS hat das Konzept von In-Scope- und Out-of-Scope-Systemen / -Prozessen / -Daten / -Infrastruktur usw. In-Scope wird bei PCI-DSS-Audits geprüft. Out-of-Scope-Systeme gelten als nicht vertrauenswürdig und Firewall-Netzwerksegmente sollten Trennen Sie die beiden Bereiche.
Daher wird es als Nein-Nein angesehen, wenn Sie versuchen, In-Scope- und Out-of-Scope-Systeme zu mischen. In dieser Welt von VMs hat der PCI-DSS-Rat jedoch Richtlinien speziell zum Mischen von Scopes in der virtuellen Umgebung veröffentlicht. Sie geben an, dass:
Der Segmentierungsgrad, der für In-Scope- und Out-of-Scope-Systeme auf demselben Host erforderlich ist, muss einem in der physischen Welt erreichbaren Isolationsgrad entsprechen. Das heißt, die Segmentierung muss sicherstellen, dass Workloads oder Komponenten außerhalb des Bereichs nicht für den Zugriff auf eine Komponente innerhalb des Bereichs verwendet werden können. Im Gegensatz zu separaten physischen Systemen kann die netzwerkbasierte Segmentierung allein in einer virtuellen Umgebung keine Komponenten innerhalb des Bereichs von Komponenten außerhalb des Bereichs isolieren.
Daher ist meine Frage, ob es möglich ist, VMs, die unter ESXi 5.5 ausgeführt werden, so zu segmentieren, dass die Segmentierung die in den obigen Richtlinien aufgeführten Kriterien erfüllt.
Die Richtlinien sind sehr genau und sagen weiter:
Die Segmentierung virtueller Komponenten muss auch auf alle virtuellen Kommunikationsmechanismen angewendet werden, einschließlich des Hypervisors und des zugrunde liegenden Hosts sowie auf alle anderen gemeinsamen oder gemeinsam genutzten Komponenten. In virtuellen Umgebungen kann Out-of-Band-Kommunikation erfolgen, häufig über einen lösungsspezifischen Kommunikationsmechanismus oder durch die Verwendung gemeinsam genutzter Ressourcen wie Dateisysteme, Prozessoren, flüchtiger und nichtflüchtiger Speicher, Gerätetreiber, Hardwaregeräte und APIs , und so weiter.
Methoden, an die ich gedacht habe:
- Verwenden Sie verschiedene physische Netzwerkadapter
- Verwenden Sie verschiedene physische Datenspeicher
Andere Bereiche, in denen ich festgefahren bin, sind das Segmentieren von Prozessoren, RAM usw.
Wenn Sie die komplette PCI-DSS - Virtualisierung Richtlinien interessiert sind hier .
Danke fürs Lesen.
Update 21/11/2014: Dieses Dokument hier wurde an mich weitergegeben, ich werde es lesen und verdauen. Es sieht nach einem nützlichen Titel aus: "PCI-DSS-Konformität und VMWare".
Antworten:
Ich habe auch das Dokument gesehen, das Sie in Ihrer Frage verlinkt haben . Leider bricht es zusammen, wenn VMware beginnt, seine vCloud-Design- und Sicherheitsmodule zu pushen.
Können Sie uns etwas über Ihre vSphere-Umgebung erzählen ? Insbesondere möchte ich die Lizenzstufe und das allgemeine Design Ihrer vSphere-Infrastruktur ( z. B. 3-Host-Cluster mit vSphere Essentials Plus und einem iSCSI-SAN ) verstehen. Diese Informationen helfen bei der Suche nach der richtigen Lösung.
Generell kann ich sagen:
quelle