Назад | Перейти на главную страницу

Соответствие SOC2 и оборудование

Тема - соответствие SOC2 в отношении серверного оборудования.

Проще говоря, у нас есть смешанный набор серверов, которые, хотя и идеально подходят для своей работы, имеют окончание срока службы и окончание поддержки производителя.

Например, один из серверов - Dell R710.

Этот сервер является хостом Hyper-V. Виртуальные машины на хосте работают под управлением новейшей / самой лучшей ОС, включая Windows 2019, CentOS 7/8 и т. Д. Dell заявляет, что она не поддерживается для Windows 2016 и более поздних версий.

Возникает вопрос: если драйверы больше не обновляются, но я могу установить Windows 2016/2019, пройдет ли это SOC2 (или PCI DSS)?

p.s. Я потратил много времени на ввод с клавиатуры в Google, здесь и в других местах, чтобы попытаться понять это перед публикацией - я предполагаю, что просто не использую правильную «ключевую» фразу, чтобы найти решение.

Это зависит. Откуда взялись драйверы, которые вы фактически используете? Часто драйверы для устаревшего оборудования обычно входят в состав самой Windows и получают все необходимые обновления от Microsoft. Если вы получили их от Dell, и они больше не обновляют их, у вас может возникнуть проблема, если позже в одном из этих драйверов будет обнаружена проблема безопасности. Вы можете сделать то же самое или лучше с хостом Linux, так как все драйверы, поставляемые с Linux, получают поддержку безопасности, и, AFAIK, все драйверы, необходимые этому серверу, связаны с Linux.

Однако действительно важным моментом является BIOS / прошивка. В классе недостатков Spectre / Meltdown ВСЕ ЕЩЕ возникают проблемы, и по-прежнему появляются обновления прошивки / BIOS и микрокода для каждой новой проблемы. Если Dell прекратила предоставлять обновления BIOS / микропрограмм для решения этих проблем, вам, вероятно, придется вывести оборудование из эксплуатации, поскольку меры по устранению этих проблем в ОС часто зависят от соответствующей поддержки BIOS / микропрограмм / микрокода, работающих в тандеме (хотя имейте в виду, ОС раздает обновления микрокода).

Однако в конечном итоге вам придется все это показать аудитору. Для любой заданной проблемы безопасности вам необходимо показать, что были применены соответствующие обновления или использовалось альтернативное решение. Это достаточно просто, поскольку ко всем обновлениям прилагаются сопроводительные документы, показывающие, какие проблемы безопасности они решают, но это бумажная работа. Если обновления существуют, вы можете оформить документы. В противном случае вам нечего показать, и вы, вероятно, провалите аудит.