PCI-DSS:ESXi 環境中的虛擬化分段
我已經在資訊安全上問過這個問題,但到目前為止還沒有收到任何評論。我在想這可能更多是伺服器基礎設施和配置問題,而不是安全問題本身。
因此,我將盡量簡短:
我們符合 PCI-DSS 2.0 標準。PCI-DSS 具有範圍內和範圍外系統/流程/數據/基礎設施等的概念。在 PCI-DSS 審計期間,範圍內受到審查,範圍外被認為是不受信任的,防火牆網段應該將兩個範圍分開。
因此,如果您嘗試混合範圍內和範圍外系統,則認為這是一個禁忌,但在這個虛擬機世界中,PCI-DSS 委員會發布了專門關於在虛擬環境中混合範圍的指南。他們聲明:
同一主機上範圍內和範圍外系統所需的分段級別必須等同於物理世界中可實現的隔離級別;也就是說,分段必須確保範圍外的工作負載或組件不能用於訪問範圍內的組件。與單獨的物理系統不同,僅基於網路的分段無法將虛擬環境中的範圍內組件與範圍外組件隔離開來。
因此我的問題是,是否可以對在 ESXi 5.5 上執行的虛擬機進行分段,以使分段滿足上述準則中概述的標準?
指導方針非正常範,實際上他們繼續說:
虛擬組件的分段還必須應用於所有虛擬通信機制,包括管理程序和底層主機,以及任何其他公共或共享組件。在虛擬環境中,可以發生帶外通信,通常通過特定於解決方案的通信機制,或通過使用共享資源,如文件系統、處理器、易失性和非易失性記憶體、設備驅動程序、硬體設備、API , 等等。
我想到的方法:
- 使用不同的物理網路適配器
- 使用不同的物理數據儲存
但我堅持的其他領域包括如何分割處理器、RAM 等。
如果您有興趣,這裡有完整的 PCI-DSS 虛擬化指南。
謝謝閱讀。
2014 年 11 月 21 日更新:此 文件已傳給我,我將閱讀並消化。它看起來像一個有用的標題:“PCI-DSS 合規性和 VMWare”。
我還看到了您在問題中連結的文件。不幸的是,當 VMware 開始推動他們的 vCloud 設計和安全模組時,它就崩潰了。
您能告訴我們您的vSphere 環境嗎?具體來說,我想了解您的 vSphere 基礎架構的許可證層和高級設計(例如,執行 vSphere Essentials Plus 和 iSCSI SAN 的 3 主機集群)這些資訊將有助於指導正確的解決方案。
一般來說,我可以說:
- VLAN 不足以進行網路分段。如果您要將埠中繼到交換機,您確實希望將其中繼到可辨識 VLAN 的防火牆。您需要在 vSphere 埠組/VLAN 之間設置防火牆。
- 這可以通過 vSphere 的防火牆產品來完成,具體取決於您的許可證。
- vSwitch 上行鏈路可以連結到離散的網路區域或使用上述防火牆進行控制。
- 數據儲存可以是單獨的,但不一定需要單獨的硬體。根據我的經驗,多個 LUN 或 NFS 掛載是令人滿意的。
- 你是如何處理物理安全的?
- 您的 vCenter 是否連結到 Active Directory?您可以對 AD 登錄應用雙因素身份驗證嗎?
- ESXi 虛擬機管理程序在審計中沒有問題。確保您擁有 vSphere Update Manager 和既定的修補計劃來處理 CVE 漏洞的修復。
- 如果您需要保證某種類型的性能或某些 RAM/CPU 分配,您可以建立 vSphere Resource Pools。
- 如果您的許可證支持,進一步分離可以利用 vSphere DRS 和關聯/反關聯規則(例如,確保生產數據庫始終位於與開發數據庫不同的主機上,或者始終將應用程序堆棧的這些組件放在一起)。