Soru PCI-DSS: ESXi ortamında sanallaştırma bölümlendirme


Bu soruyu zaten sordum. Bilgi Güvenliği ama şimdiye kadar hiçbir yorum almadı. Belki de bir güvenlik sorusu olmaktan ziyade bir sunucu altyapısı ve yapılandırma sorusu olduğunu düşünüyorum.

Bu yüzden kısa olmaya çalışacağım:

PCI-DSS 2.0 uyumluyuz. PCI-DSS, kapsam içi ve kapsam dışı sistemler / süreçler / veri / altyapı vb. Kavramlarına sahiptir. Kapsam kapsamı, PCI-DSS denetimleri sırasında denetlenmektedir, kapsam dışı alanlar güvenilmez olarak kabul edilir ve güvenlik duvarı ağ bölümleri iki kapsamı ayırın.

Kapsamlı ve kapsam dışı sistemlerini henüz VM'lerin bu dünyasında karıştırmaya çalıştığınız takdirde, no-no olarak kabul edilir, PCI-DSS konseyi özellikle sanal ortamda karıştırma kapsamları ile ilgili kılavuzlar yayınladı. Onlar şunu belirtiyorlar:

Kapsam içi ve kapsam dışı için gereken segmentasyon düzeyi   Aynı ana bilgisayardaki sistemler, bir yalıtım düzeyine eşit olmalıdır   fiziksel dünyada ulaşılabilir; segmentasyon sağlamalıdır   kapsam dışı iş yükleri veya bileşenleri, bir bilgisayara erişmek için kullanılamaz.   kapsam içi bileşen. Ayrı fiziksel sistemlerden farklı olarak, ağ tabanlı   Yalnızca bölümleme, kapsam dışı alanın kapsamını izole edemez   sanal ortamda bileşenler.

Bu yüzden sorum benim segmentasyonun yukarıdaki kılavuzlarda belirtilen kriterleri karşıladığı şekilde ESXi 5.5 üzerinde çalışan VM'leri bölümlemek mümkün mü?

Kılavuzlar çok kuralcı, gerçekten de şöyle diyorlar:

Sanal bileşenlerin bölümlenmesi de tüm sanallara uygulanmalıdır   hiper yönetici ve altta yatan dahil olmak üzere iletişim mekanizmaları   diğer ortak veya paylaşılan bileşenlerin yanı sıra ana bilgisayar. Sanal olarak   ortamlar, bant dışı iletişimler genellikle bir   Çözüm özel iletişim mekanizması, ya da   dosya sistemleri, işlemciler, uçucu ve   uçucu olmayan bellek, aygıt sürücüleri, donanım aygıtları, API'ler ve benzeri   üzerinde.

Düşündüğüm yöntemler:

  • Farklı fiziksel ağ bağdaştırıcıları kullan
  • Farklı fiziksel veri depoları kullan

Ancak takıldığım diğer alanlar arasında işlemcilerin, RAM'in nasıl bölümlere ayrılacağı yer alıyor.

Eğer ilgileniyorsanız, tam PCI-DSS sanallaştırma yönergeleri İşte.

Okuduğunuz için teşekkürler.

21.01.2014 Güncelleme: Bu doc İşte bana iletildi, okuyacağım ve sindireceğim. Faydalı bir başlık gibi görünüyor: 'PCI-DSS Uyumluluğu ve VMWare'.


7
2017-11-20 11:45


Menşei


Bilgilerim sizin için yararlı mıydı? - ewwhite
Evet, endişelenme, seni unutmamıştım :) - chazjn


Cevaplar:


Ben de gördüm bağlandığınız belge sorunuzda. Ne yazık ki, VMware vCloud tasarım ve güvenlik modüllerini zorlamaya başladığında bozulur.

Bize anlatabilir misin? sizin vSphere ortamı? Özellikle, vSphere altyapınızın lisans seviyesini ve yüksek seviyeli tasarımını anlamak isterim (Örneğin. VSphere Essentials Plus ve bir iSCSI SAN çalıştıran 3 ana bilgisayar kümesi) Bu bilgi doğru çözüme rehberlik edecektir.

Genel olarak şunu söyleyebilirim:

  • VLAN'lar ağ bölümlendirme için yeterli değildir. Bağlantı noktalarını bir anahtara geri yönlendiriyorsanız, bunu gerçekten bir VLAN Duyarlı güvenlik duvarına yönlendirmek istersiniz. VSphere portgroups / VLAN'lar arasında güvenlik duvarlarına ihtiyacınız olacak.
  • Bu, lisansınıza bağlı olarak vSphere'in güvenlik duvarı ürünü ile yapılabilir.
  • vSwitch uplinkleri, ayrı ağ bölgelerine bağlanabilir veya yukarıdaki gibi bir güvenlik duvarı ile kontrol edilebilir.
  • Veri kümeleri ayrı olabilir, ancak ayrı bir donanım gerektirmez. Birden fazla LUN veya NFS bağları benim deneyimimden tatmin edici olmuştur.
  • Fiziksel güvenliği nasıl yapıyorsunuz?
  • VCenter’ınız Active Directory’ye bağlı mı? AD oturumlarınıza iki faktörlü kimlik doğrulaması uygulayabilir misiniz?
  • ESXi hiper yönetici denetimlerde bir sorun olmamıştır. CVE güvenlik açıklarına yönelik düzeltmeleri ele almak için vSphere Update Manager ve yerleşik bir yama programına sahip olduğunuzdan emin olun.
  • Belirli bir performans türünü veya belirli bir RAM / CPU ayırmalarını garanti etmeniz gerekiyorsa, vSphere Resource Pools'u kurabilirsiniz.
  • Lisansınız destekliyorsa, daha fazla ayırma vSphere DRS ve yakınlık / anti-yakınlık kurallarından yararlanabilir (Örneğin. üretim DB'nin her zaman geliştirme DB'sinden farklı bir ana bilgisayarda bulunduğundan emin olun veya Uygulama bileşenlerini bu bileşenleri her zaman bir arada saklayın).

2
2017-11-21 13:10