7 votos

PCI-DSS: Segmentación virtualización en entorno ESXi

Ya he hecho esta pregunta sobre la Seguridad de la Información , pero hasta ahora no ha ganado ningún comentario. Estoy pensando que tal vez es más de una infraestructura de servidor y configuración de la pregunta, en vez de una pregunta de seguridad per se.

Por lo tanto voy a tratar de ser breve:

Estamos PCI-DSS 2.0. PCI-DSS tiene el concepto de alcance y fuera del alcance de los sistemas/procesos/datos/infraestructura, etc. En el ámbito de aplicación está bajo escrutinio durante PCI-DSS auditorías, fuera del ámbito de aplicación se consideran de confianza y detrás de un firewall de red segmentos deben separar los dos ámbitos.

Por lo tanto es considerado como un no-no si intenta mezclar en el ámbito y fuera del alcance de los sistemas en este mundo del VMs en el PCI-DSS consejo publicado en concreto las directrices relacionadas a la mezcla de los ámbitos en el entorno virtual. Afirman que:

El nivel de la segmentación requerida en el ámbito y fuera-de-alcance los sistemas en el mismo host, debe ser equivalente a un nivel de aislamiento alcanzable en el mundo físico; es decir, la segmentación debe garantizar que fuera del ámbito de aplicación de las cargas de trabajo o componentes no puede ser utilizada para acceder a una en el ámbito del componente. A diferencia de separar los sistemas físicos, basados en la red segmentación por sí sola no puede aislar en el ámbito de la hacia fuera-de-alcance los componentes en un entorno virtual.

Por lo tanto mi pregunta es, es posible segmento de máquinas virtuales en ejecución en ESXi 5.5 que la segmentación satisface los criterios establecidos en las directrices de arriba?

Las guias son muy prescriptivo, de hecho, ellos van a decir:

La segmentación de los componentes virtuales también debe ser aplicado a todos los virtual mecanismos de comunicación, incluyendo el hipervisor y subyacente de acogida, así como de cualquier otra comunidad o componente compartido. En virtual entornos de comunicaciones de banda puede ocurrir, a menudo a través de un específico de la solución del mecanismo de comunicación, o a través del uso de los recursos compartidos, tales como los sistemas de archivos, procesadores, volátil y memoria no volátil, controladores de dispositivos, los dispositivos de hardware, APIs, etc en.

Los métodos que he pensado:

  • El uso de diferentes adaptadores de red físicos
  • Uso físicas diferentes almacenes de datos

Pero otras áreas estoy atascado en incluir cómo el segmento de los procesadores, RAM, etc.

Si usted está interesado la complete PCI-DSS virtualización directrices están aquí.

Gracias por la lectura.

Actualización 21/11/2014: Este doc aquí ha pasado a mí, voy a leer y digerir. Se ve como un útil título: 'PCI-DSS y VMWare".

2voto

Tina Puntos 21

También he visto el documento vinculado en su pregunta. Por desgracia, se rompe cuando VMware empieza a empujar a sus vCloud y diseño de los módulos de seguridad.

Nos puede decir acerca de su entorno de vSphere? Específicamente, me gustaría entender la licencia de nivel y de alto nivel de diseño de su infraestructura de vSphere (por ejemplo, 3-host de clúster en ejecución vSphere Essentials Plus y una SAN iSCSI) Esta información ayudará a guiar a la solución correcta.

Genéricamente, puedo decir:

  • Las vlan no son suficientes para que la segmentación de la red. Si estás trunking de puertos parte posterior a un interruptor, usted realmente desea tronco que a una VLAN-consciente de firewall. Usted necesitará los cortafuegos entre el vSphere portgroups/Vlan.
  • Esto se puede lograr con vSphere del cortafuegos de producto, dependiendo de la licencia.
  • vSwitch uplinks pueden estar vinculados a las zonas de red o controlada con un firewall como el anterior.
  • Los almacenes de datos que pueden ser independientes, pero que no necesariamente necesita de un hardware distinto. Varios Lun o montajes de NFS han sido satisfactorios en mi experiencia.
  • ¿Cómo está el manejo de la seguridad física?
  • Es el vCenter vinculados a Active Directory? Se puede solicitar la autenticación de dos factores para su ANUNCIO inicios de sesión?
  • El hipervisor ESXi no ha sido un problema en las auditorías. Asegúrese de que usted tiene vSphere Update Manager y un calendario de aplicación de parches a lidiar con las correcciones de vulnerabilidades CVE.
  • Si usted necesita para garantizar un cierto tipo de rendimiento o de ciertos RAM/CPU asignaciones, puede establecer vSphere de grupos de Recursos.
  • Además de la separación pueden aprovechar vSphere DRS y afinidad/anti-afinidad reglas, si su licencia lo soporta (por ejemplo, asegúrese de que la producción de DB es siempre en un host diferente de desarrollo DB o mantener siempre estos componentes de la pila de la aplicación en conjunto).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: