PCI-DSS: Virtualisierungssegmentierung in der ESXi-Umgebung

7

Ich habe diese Frage zur Informationssicherheit bereits gestellt, aber bisher keine Kommentare erhalten. Ich denke, es handelt sich eher um eine Frage der Serverinfrastruktur und -konfiguration als um eine Sicherheitsfrage an sich.

Deshalb werde ich versuchen, mich kurz zu fassen:

Wir sind PCI-DSS 2.0-konform. PCI-DSS hat das Konzept von In-Scope- und Out-of-Scope-Systemen / -Prozessen / -Daten / -Infrastruktur usw. In-Scope wird bei PCI-DSS-Audits geprüft. Out-of-Scope-Systeme gelten als nicht vertrauenswürdig und Firewall-Netzwerksegmente sollten Trennen Sie die beiden Bereiche.

Daher wird es als Nein-Nein angesehen, wenn Sie versuchen, In-Scope- und Out-of-Scope-Systeme zu mischen. In dieser Welt von VMs hat der PCI-DSS-Rat jedoch Richtlinien speziell zum Mischen von Scopes in der virtuellen Umgebung veröffentlicht. Sie geben an, dass:

Der Segmentierungsgrad, der für In-Scope- und Out-of-Scope-Systeme auf demselben Host erforderlich ist, muss einem in der physischen Welt erreichbaren Isolationsgrad entsprechen. Das heißt, die Segmentierung muss sicherstellen, dass Workloads oder Komponenten außerhalb des Bereichs nicht für den Zugriff auf eine Komponente innerhalb des Bereichs verwendet werden können. Im Gegensatz zu separaten physischen Systemen kann die netzwerkbasierte Segmentierung allein in einer virtuellen Umgebung keine Komponenten innerhalb des Bereichs von Komponenten außerhalb des Bereichs isolieren.

Daher ist meine Frage, ob es möglich ist, VMs, die unter ESXi 5.5 ausgeführt werden, so zu segmentieren, dass die Segmentierung die in den obigen Richtlinien aufgeführten Kriterien erfüllt.

Die Richtlinien sind sehr genau und sagen weiter:

Die Segmentierung virtueller Komponenten muss auch auf alle virtuellen Kommunikationsmechanismen angewendet werden, einschließlich des Hypervisors und des zugrunde liegenden Hosts sowie auf alle anderen gemeinsamen oder gemeinsam genutzten Komponenten. In virtuellen Umgebungen kann Out-of-Band-Kommunikation erfolgen, häufig über einen lösungsspezifischen Kommunikationsmechanismus oder durch die Verwendung gemeinsam genutzter Ressourcen wie Dateisysteme, Prozessoren, flüchtiger und nichtflüchtiger Speicher, Gerätetreiber, Hardwaregeräte und APIs , und so weiter.

Methoden, an die ich gedacht habe:

  • Verwenden Sie verschiedene physische Netzwerkadapter
  • Verwenden Sie verschiedene physische Datenspeicher

Andere Bereiche, in denen ich festgefahren bin, sind das Segmentieren von Prozessoren, RAM usw.

Wenn Sie die komplette PCI-DSS - Virtualisierung Richtlinien interessiert sind hier .

Danke fürs Lesen.

Update 21/11/2014: Dieses Dokument hier wurde an mich weitergegeben, ich werde es lesen und verdauen. Es sieht nach einem nützlichen Titel aus: "PCI-DSS-Konformität und VMWare".

chazjn
quelle
Waren meine Informationen für Sie nützlich?
ewwhite
Ja, keine Sorge, ich hatte dich nicht vergessen :)
Chazjn

Antworten:

2

Ich habe auch das Dokument gesehen, das Sie in Ihrer Frage verlinkt haben . Leider bricht es zusammen, wenn VMware beginnt, seine vCloud-Design- und Sicherheitsmodule zu pushen.

Können Sie uns etwas über Ihre vSphere-Umgebung erzählen ? Insbesondere möchte ich die Lizenzstufe und das allgemeine Design Ihrer vSphere-Infrastruktur ( z. B. 3-Host-Cluster mit vSphere Essentials Plus und einem iSCSI-SAN ) verstehen. Diese Informationen helfen bei der Suche nach der richtigen Lösung.

Generell kann ich sagen:

  • VLANs reichen für die Netzwerksegmentierung nicht aus. Wenn Sie Ports zurück zu einem Switch leiten, möchten Sie dies wirklich an eine VLAN-fähige Firewall weiterleiten. Sie benötigen eine Firewall zwischen den vSphere-Portgruppen / VLANs.
  • Dies kann je nach Lizenz mit dem Firewall-Produkt von vSphere erreicht werden.
  • vSwitch-Uplinks können mit diskreten Netzwerkzonen verknüpft oder wie oben beschrieben mit einer Firewall gesteuert werden.
  • Die Datenspeicher können separat sein, benötigen jedoch nicht unbedingt separate Hardware. Nach meiner Erfahrung waren mehrere LUNs oder NFS-Mounts zufriedenstellend.
  • Wie gehen Sie mit physischer Sicherheit um?
  • Ist Ihr vCenter mit Active Directory verknüpft? Können Sie Ihre AD-Anmeldungen mit einer Zwei-Faktor-Authentifizierung versehen?
  • Der ESXi-Hypervisor war bei Audits kein Problem. Stellen Sie sicher, dass Sie über vSphere Update Manager und einen festgelegten Patch-Zeitplan verfügen, um die Korrekturen für CVE-Schwachstellen zu beheben.
  • Wenn Sie eine bestimmte Art von Leistung oder bestimmte RAM / CPU-Zuordnungen garantieren müssen, können Sie vSphere-Ressourcenpools einrichten.
  • Eine weitere Trennung kann vSphere DRS- und Affinitäts- / Anti-Affinitätsregeln nutzen, wenn Ihre Lizenz dies unterstützt ( z. B. stellen Sie sicher, dass sich die Produktionsdatenbank immer auf einem anderen Host als die Entwicklungsdatenbank befindet, oder halten Sie diese Komponenten des Anwendungsstapels immer zusammen ).
ewwhite
quelle