web-dev-qa-db-ja.com

PCI-DSS:ESXi環境での仮想化セグメンテーション

情報セキュリティ についてはすでにこの質問をしましたが、これまでのところコメントはありません。おそらく、セキュリティの質問というよりは、サーバーのインフラストラクチャと構成の質問のほうが多いと思います。

したがって、簡単に説明します。

PCI-DSS2.0に準拠しています。 PCI-DSSには、範囲内および範囲外のシステム/プロセス/データ/インフラストラクチャなどの概念があります。範囲内はPCI-DSS監査中に精査されており、範囲外は信頼できないと見なされ、ファイアウォールで保護されたネットワークセグメントは2つのスコープを分離します。

したがって、スコープ内のシステムとスコープ外のシステムを混在させようとすると、ノーノーと見なされますが、このVMの世界では、PCI-DSS評議会は、特に仮想環境でのスコープの混合に関するガイドラインをリリースしました。彼らは次のように述べています。

同じホスト上のスコープ内システムとスコープ外システムに必要なセグメンテーションのレベルは、物理的な世界で達成可能な分離のレベルと同等である必要があります。つまり、セグメンテーションでは、スコープ外のワークロードまたはコンポーネントを使用してスコープ内のコンポーネントにアクセスできないようにする必要があります。個別の物理システムとは異なり、ネットワークベースのセグメンテーションだけでは、仮想環境内のスコープ内のコンポーネントをスコープ外のコンポーネントから分離することはできません。

したがって、私の質問は、ESXi 5.5で実行されているVMを、上記のガイドラインで概説されている基準を満たすようにセグメント化することは可能ですか?

ガイドラインは非常に規範的であり、実際、次のように述べています。

仮想コンポーネントのセグメンテーションは、ハイパーバイザーと基盤となるホスト、およびその他の共通コンポーネントまたは共有コンポーネントを含む、すべての仮想通信メカニズムにも適用する必要があります。仮想環境では、帯域外通信は、多くの場合、ソリューション固有の通信メカニズムを介して、またはファイルシステム、プロセッサ、揮発性および不揮発性メモリ、デバイスドライバ、ハードウェアデバイス、APIなどの共有リソースの使用を通じて発生する可能性があります。 、 等々。

私が考えた方法:

  • 異なる物理ネットワークアダプターを使用する
  • 異なる物理データストアを使用する

しかし、私が立ち往生している他の領域には、プロセッサをセグメント化する方法、RAMなど)が含まれます。

興味がある場合、完全なPCI-DSS仮想化ガイドラインは ここ です。

読んでくれてありがとう。

2014年11月21日更新:このドキュメント ここ が私に渡されました。読んで要約します。 「PCI-DSSコンプライアンスとVMWare」という便利なタイトルのようです。

securityvirtualizationvmware-esxipci-dss
7
chazjn

私はあなたの質問で あなたがリンクした文書 も見ました。残念ながら、VMwareがvCloudデザインとセキュリティモジュールをプッシュし始めると故障します。

yourvSphere環境について教えてください。具体的には、vSphereインフラストラクチャのライセンス層と高レベルの設計を理解したいと思います(例:vSphere EssentialsPlusとiSCSISANを実行する3ホストクラスター)この情報は、適切なソリューションへのガイドに役立ちます。

一般的に、私は言うことができます:

  • ネットワークのセグメンテーションにはVLANだけでは不十分です。ポートをスイッチにトランキングして戻す場合は、VLAN対応ファイアウォールにトランキングする必要があります。 vSphereポートグループ/ VLAN間のファイアウォールが必要になります。
  • これは、ライセンスに応じて、vSphereのファイアウォール製品を使用して実現できます。
  • vSwitchアップリンクは、個別のネットワークゾーンにリンクするか、上記のようにファイアウォールで制御できます。
  • データストアは個別にすることができますが、必ずしも個別のハードウェアは必要ありません。私の経験では、複数のLUNまたはNFSマウントで十分でした。
  • 物理的なセキュリティをどのように処理していますか?
  • VCenterはActiveDirectoryにリンクされていますか? ADログオンに2要素認証を適用できますか?
  • ESXiハイパーバイザーは監査では問題になりませんでした。 vSphere Update Managerと、CVEの脆弱性の修正に対処するためのパッチ適用スケジュールが確立されていることを確認してください。
  • 特定のタイプのパフォーマンスまたは特定のRAM/CPU割り当てを保証する必要がある場合は、vSphereリソースプールを確立できます。
  • ライセンスでサポートされている場合は、vSphere DRSとアフィニティ/非アフィニティルールをさらに分離できます(。たとえば、本番DBが常に開発DBとは異なるホスト上にあることを確認してくださいまたはアプリケーションスタックのこれらのコンポーネントを常に一緒に保持します)。
2
ewwhite