我已经问过这个问题了信息安全但到目前为止还没有收到任何评论。我想这也许更多的是服务器基础设施和配置问题,而不是安全问题本身。
因此我会尽量简短地说:
我们符合 PCI-DSS 2.0 标准。PCI-DSS 有范围之内和范围之外的系统/流程/数据/基础设施等概念。范围之内的内容在 PCI-DSS 审计期间会受到严格审查,范围之外的内容则被视为不受信任,防火墙网络段应将这两个范围分开。
因此,如果您尝试混合范围内和范围外的系统,则被视为禁忌,但在虚拟机世界中,PCI-DSS 委员会发布了专门针对虚拟环境中混合范围的指南。他们指出:
同一主机上范围内和范围外系统所需的分段级别必须与物理世界中可实现的隔离级别相当;也就是说,分段必须确保范围外的工作负载或组件不能用于访问范围内的组件。与单独的物理系统不同,仅基于网络的分段无法在虚拟环境中将范围内的组件与范围外的组件隔离开来。
因此我的问题是,是否可以对在 ESXi 5.5 上运行的虚拟机进行分段,以使分段满足上述指南中概述的标准?
这些指导方针非常具有指导性,事实上它们还指出:
虚拟组件的分段还必须应用于所有虚拟通信机制,包括虚拟机管理程序和底层主机,以及任何其他通用或共享组件。在虚拟环境中,带外通信可以发生,通常通过特定于解决方案的通信机制,或通过使用共享资源(例如文件系统、处理器、易失性和非易失性内存、设备驱动程序、硬件设备、API 等)进行。
我想到过的方法:
- 使用不同的物理网络适配器
- 使用不同的物理数据存储
但我遇到的其他困难包括如何细分处理器、RAM 等。
如果你有兴趣,完整的 PCI-DSS 虚拟化指南如下:这里。
谢谢阅读。
2014年11月21日更新: 本文档这里已经传递给我了,我会阅读并消化。它看起来像一个有用的标题:“PCI-DSS 合规性和 VMWare”。
答案1
我还看到了您链接的文档在您的问题中。不幸的是,当 VMware 开始推广其 vCloud 设计和安全模块时,它就崩溃了。
您能告诉我们你的vSphere 环境?具体来说,我想了解您的 vSphere 基础架构的许可层和高级设计(例如,运行 vSphere Essentials Plus 和 iSCSI SAN 的 3 主机集群)这些信息将有助于找到正确的解决方案。
一般来说,我可以说:
- VLAN 不足以进行网络分段。如果您要将端口中继回交换机,那么您确实需要将其中继到支持 VLAN 的防火墙。您需要在 vSphere 端口组/VLAN 之间建立防火墙。
- 这可以通过 vSphere 的防火墙产品来实现,具体取决于您的许可证。
- vSwitch 上行链路可以链接到离散的网络区域,或者像上面那样使用防火墙进行控制。
- 数据存储可以分开,但不一定需要单独的硬件。根据我的经验,多个 LUN 或 NFS 安装已经令人满意。
- 您如何处理物理安全?
- 您的 vCenter 是否已链接到 Active Directory?您能否对 AD 登录应用双因素身份验证?
- ESXi 虚拟机管理程序在审计中没有出现问题。确保您拥有 vSphere Update Manager 和已建立的修补计划来处理 CVE 漏洞的修复。
- 如果您需要保证某种类型的性能或某些 RAM/CPU 分配,则可以建立 vSphere 资源池。
- 如果您的许可证支持,进一步分离可以利用 vSphere DRS 和亲和性/反亲和性规则(例如确保生产数据库始终与开发数据库位于不同的主机上或者始终将应用程序堆栈的这些组件保持在一起)。