运行 Xen 的虚拟化服务器上的 PCI DSS 合规性

Question

我不是 PCI 专家，我强烈建议您咨询一位，但以下是我对 PCI 虚拟化指南的理解：

与 PCI 合规性的所有方面一样，主要关注的是敏感数据（持卡人信息）的保护。就信息泄露问题而言，似乎有三个主要方面：

Information Leakage that lets you get access to the hypervisor's controls
（网络的“控制平面或管理平面泄漏”）。
您可以通过保护虚拟机管理程序控制网络（允许您访问 Xen 中的 dom0 的网络）并确保以下事项来防止这种情况：
1. 您只能从授权网络访问管理 IP。
2. 你不能从虚拟机访问管理 IP（或者“没有授权网络包含虚拟机”）。
Information leakage between the VMs over the network.
这是典型的网络安全内容：将网络隔离到适当的 vLAN、设置良好的防火墙规则，并且最好使用 IDS/IPS 在任何异常情况发生时提醒您。
Information leakage through the hypervisor.
这是最难量化的一点——尤其是像 Xen 或 FreeBSD Jails 这样的虚拟机管理程序，它们不会完全模拟“裸机”，而是“位于”另一个dom0可以访问所有虚拟机的操作系统“内部”。
您需要确保一个虚拟机无法访问另一个虚拟机内部的数据。在执行此操作时，您需要考虑虚拟机本身，但您还需要密切关注虚拟机管理程序，确保其中没有任何东西在虚拟机之间复制数据，或者类似的东西做无论出于什么原因，都要有详尽的证据证明其存在泄漏，并且软件的设计要能够防止泄漏，并且要受到严密监控。

如何实施机制来防止这些问题很可能是特定于虚拟机管理程序的 - 不幸的是我不太熟悉 Xen（我用过它，但我的大部分经验是在 VMWare 上），所以我不能给你任何这方面的实用建议。

Answer 1

我不是 PCI 专家，我强烈建议您咨询一位，但以下是我对 PCI 虚拟化指南的理解：

与 PCI 合规性的所有方面一样，主要关注的是敏感数据（持卡人信息）的保护。就信息泄露问题而言，似乎有三个主要方面：

Information Leakage that lets you get access to the hypervisor's controls
（网络的“控制平面或管理平面泄漏”）。
您可以通过保护虚拟机管理程序控制网络（允许您访问 Xen 中的 dom0 的网络）并确保以下事项来防止这种情况：
1. 您只能从授权网络访问管理 IP。
2. 你不能从虚拟机访问管理 IP（或者“没有授权网络包含虚拟机”）。
Information leakage between the VMs over the network.
这是典型的网络安全内容：将网络隔离到适当的 vLAN、设置良好的防火墙规则，并且最好使用 IDS/IPS 在任何异常情况发生时提醒您。
Information leakage through the hypervisor.
这是最难量化的一点——尤其是像 Xen 或 FreeBSD Jails 这样的虚拟机管理程序，它们不会完全模拟“裸机”，而是“位于”另一个dom0可以访问所有虚拟机的操作系统“内部”。
您需要确保一个虚拟机无法访问另一个虚拟机内部的数据。在执行此操作时，您需要考虑虚拟机本身，但您还需要密切关注虚拟机管理程序，确保其中没有任何东西在虚拟机之间复制数据，或者类似的东西做无论出于什么原因，都要有详尽的证据证明其存在泄漏，并且软件的设计要能够防止泄漏，并且要受到严密监控。

如何实施机制来防止这些问题很可能是特定于虚拟机管理程序的 - 不幸的是我不太熟悉 Xen（我用过它，但我的大部分经验是在 VMWare 上），所以我不能给你任何这方面的实用建议。

相关内容