PCI DSS認定が必要とする、NTPサーバー、中央認証、DNS、ジャンプホスト、ローカルOSパッケージリポジトリなど
それらは、多数のコンテナがオンになっている1つのVMWareボックスにまとめることができますか?多くのアナログの方法で、VMWareボックスの束を単一のハイパーバイザーに圧迫できますか?
このようなものが「ビホルダー/ QSAの目に」深く入る可能性があることは知っていますが、「いいえ、だから...」または「はい、私はそれをやった」ということを知りたいと思っています。回答。また、Dockerの奥深くにあり、PCIの経験がある人からの「理由がわからない」もいいでしょう^ _ ^
UPDATE 1、Dockerセキュリティドキュメント
#docker IRCに関する会話の後の自己回答、
PCI DSS v3.2は、必要な仮想化の種類について何も述べていません。OSレベルの仮想化の代わりにハードウェアを使用する必要があるとは何も述べられていません(誰かが私が間違っていれば修正してくれます) 。
ただし、従来の(HW)仮想化は、比較的単純なコードの断片であり、ハードウェアで支援され、ゲストOSに大きく依存して重い作業のほとんどを実行します。
OSレベルの仮想化は仮想マシン間のカーネル空間を再利用します。カーネルはmuchより複雑なコードであり、かなり大きな攻撃面を残します-基本的にdocker super-Niceが限られたリソースを持つ一連のVMを小さなメモリにスタックするのと同じことは、PCI DSSユースケース-カーネルの再利用にとってはあまり有用ではありません。
したがって、現時点ではPCIについて何もないDSS Dockerが提供するOSレベルの仮想化を使用できず、ほとんどのQSAによる精査に合格すると思われますが、feelsそれはあなたがより脆弱なアーキテクチャをあなたに残すので、それは禁止されるべきであるように。
繰り返しになりますが、多くの人は、ソフトウェアベースのHSMを使用して、それらを禁止する必要があると感じているにもかかわらず、キー(JCEKSなど)を格納することを証明しています。
私の質問に対する答えはだと思います。「はい、できます。おそらく認証に合格しますが、おそらくそうすべきではありません」 。