web-dev-qa-db-ja.com

DockerはPCI DSS=準拠の仮想化形式ですか?

PCI DSS認定が必要とする、NTPサーバー、中央認証、DNS、ジャンプホスト、ローカルOSパッケージリポジトリなど

それらは、多数のコンテナがオンになっている1つのVMWareボックスにまとめることができますか?多くのアナログの方法で、VMWareボックスの束を単一のハイパーバイザーに圧迫できますか?

このようなものが「ビホルダー/ QSAの目に」深く入る可能性があることは知っていますが、「いいえ、だから...」または「はい、私はそれをやった」ということを知りたいと思っています。回答。また、Dockerの奥深くにあり、PCIの経験がある人からの「理由がわからない」もいいでしょう^ _ ^

UPDATE 1、Dockerセキュリティドキュメント

4
bbozo

#docker IRCに関する会話の後の自己回答、

PCI DSS v3.2は、必要な仮想化の種類について何も述べていません。OSレベルの仮想化の代わりにハードウェアを使用する必要があるとは何も述べられていません(誰かが私が間違っていれば修正してくれます) 。

ただし、従来の(HW)仮想化は、比較的単純なコードの断片であり、ハードウェアで支援され、ゲストOSに大きく依存して重い作業のほとんどを実行します。

OSレベルの仮想化は仮想マシン間のカーネル空間を再利用します。カーネルはmuchより複雑なコードであり、かなり大きな攻撃面を残します-基本的にdocker super-Niceが限られたリソースを持つ一連のVMを小さなメモリにスタックするのと同じことは、PCI DSSユースケース-カーネルの再利用にとってはあまり有用ではありません。

したがって、現時点ではPCIについて何もないDSS Dockerが提供するOSレベルの仮想化を使用できず、ほとんどのQSAによる精査に合格すると思われますが、feelsそれはあなたがより脆弱なアーキテクチャをあなたに残すので、それは禁止されるべきであるように。

繰り返しになりますが、多くの人は、ソフトウェアベースのHSMを使用して、それらを禁止する必要があると感じているにもかかわらず、キー(JCEKSなど)を格納することを証明しています。

私の質問に対する答えはだと思います。「はい、できます。おそらく認証に合格しますが、おそらくそうすべきではありません」

#docker ircチャネルからの完全な会話

7
bbozo