主题是与服务器硬件相关的 SOC2 合规性。
简而言之,我们有各种各样的服务器,虽然它们非常适合其工作,但制造商的使用寿命和支持都已终止。
举例来说,其中一台服务器是戴尔 R710。
此服务器是 Hyper-V 主机。主机上的虚拟机运行最新/最好的操作系统,包括 Windows 2019、CentOS 7/8 等。戴尔表示它不支持 Windows 2016 及更高版本。
问题是:如果驱动程序不再更新,但我可以安装 Windows 2016/2019,这会通过 SOC2(或 PCI DSS)吗?
附言:在发布之前,我花了很多时间在 Google、这里和其他地方搜索以试图理解这一点 - 我认为我只是没有使用正确的“关键”短语来寻找解决方案。
答案1
视情况而定。您实际使用的驱动程序来自哪里?通常,旧硬件的驱动程序往往会捆绑到 Windows 本身中,并从 Microsoft 获取任何必要的更新。如果您从 Dell 购买了它们,并且他们不再更新它们,那么如果稍后在其中一个驱动程序中发现安全问题,您可能会遇到问题。使用 Linux 主机,您可能会做得一样好甚至更好,因为与 Linux 捆绑的所有驱动程序都得到安全维护,并且据我所知,此服务器所需的所有驱动程序都与 Linux 捆绑在一起。
不过,真正重要的是 BIOS/固件。在 Spectre/Meltdown 类漏洞中仍然存在问题,并且每个新问题仍然会发布固件/BIOS 和微代码更新。如果戴尔已停止为这些问题提供 BIOS/固件更新,那么您可能不得不淘汰硬件,因为这些问题的操作系统缓解措施通常依赖于相应的 BIOS/固件/微代码支持协同工作(但请注意,操作系统会分发微代码更新)。
但最终,你还是得向审计员展示这一切。对于任何给定的安全问题,你都需要证明已经应用了适当的更新或使用了替代缓解措施。这很容易,因为所有更新都有附带的文档,显示它们解决了哪些安全问题,但这只是纸上谈兵。如果更新存在,你可以做纸上谈兵。如果不存在,你就没有什么可展示的,你很可能会无法通过审计。