Security
執行 Xen 的虛擬化伺服器上的 PCI DSS 合規性
我有一台執行帶有 HVM 的 xen 的伺服器,並希望使一個 VM 兼容 PCI。我已經閱讀了 PCI 虛擬化指南,它說我需要確保 VM 之間沒有資訊洩漏。如何確保每個作業系統都無法攔截來自其他 DomU 的數據?
我不是 PCI 專家,我強烈建議您諮詢專家,但以下是我對 PCI 虛擬化指南的理解:
與 PCI 合規性的所有方面一樣,首要關注的是敏感數據(持卡人資訊)的保護。就資訊洩露問題而言,似乎出現了三個主要領域:
Information Leakage that lets you get access to the hypervisor's controls
(“網路的控制平面或管理平面的洩漏”)。
您可以通過保護虛擬機管理程序控製網路(讓您在 Xen 中訪問 dom0 的網路)並確保:
- 您只能從授權網路訪問管理 IP。
- 您無法從虛擬機訪問管理 IP(或者“沒有授權網路包含虛擬機”)。
Information leakage between the VMs over the network.
這是典型的網路安全內容:將網路隔離到適當的 vLAN 中,設置良好的防火牆規則,最好使用 IDS/IPS 在發生任何異常情況時提醒您。 3.
Information leakage through the hypervisor.
這是最難量化的——尤其是對於像 Xen 或 FreeBSD Jails 這樣的管理程序,它們不會一直模擬到“裸硬體”,而是“內部”在另一個
dom0
可以訪問所有 VM 的作業系統中。您希望確保一台 VM 無法訪問另一台 VM 內的數據。在執行此操作時,您需要考慮虛擬機本身,但您還需要密切關注虛擬機管理程序並確保那裡沒有任何東西可以在虛擬機之間複製數據,或者無論出於何種原因確實存在類似的東西有一個井記錄原因和軟體旨在防止洩漏,並仔細監控。
你如何實現機制來防止這些問題可能是特定於管理程序的 - 不幸的是我對 Xen 不是很熟悉(我使用過它,但我的大部分經驗都是使用 VMWare)所以我不能給你任何實用的在這方面的建議。