Я уже задавал этот вопрос Информационная безопасность но пока не получил комментариев. Я думаю, что, возможно, это скорее вопрос инфраструктуры и конфигурации сервера, чем вопрос безопасности как таковой.
Поэтому я постараюсь быть кратким:
Мы совместимы с PCI-DSS 2.0. PCI-DSS имеет концепцию входящих и выходящих за рамки систем / процессов / данных / инфраструктуры и т. Д. Входящие в сферу действия проверяются в ходе аудитов PCI-DSS, выходящие за рамки считаются ненадежными, и сегменты сети с брандмауэром должны разделите две области.
Поэтому считается недопустимым, если вы пытаетесь смешивать системы, входящие в область действия, и системы вне области действия, однако в этом мире виртуальных машин совет PCI-DSS выпустил рекомендации, конкретно касающиеся смешивания областей действия в виртуальной среде. Они заявляют, что:
Уровень сегментации, требуемый для систем в рамках и вне области действия на одном и том же хосте, должен быть эквивалентен уровню изоляции, достижимому в физическом мире; то есть сегментация должна гарантировать, что рабочие нагрузки или компоненты, не входящие в область действия, не могут быть использованы для доступа к компоненту, входящему в область действия. В отличие от отдельных физических систем, только сетевая сегментация не может изолировать компоненты, входящие в область действия, от компонентов, не входящих в область действия, в виртуальной среде.
Поэтому мой вопрос: Можно ли сегментировать виртуальные машины, работающие на ESXi 5.5, так, чтобы сегментация удовлетворяла критериям, изложенным в приведенных выше рекомендациях?
Руководящие принципы очень предписывающие, они действительно продолжают говорить:
Сегментация виртуальных компонентов также должна применяться ко всем механизмам виртуального взаимодействия, включая гипервизор и базовый хост, а также к любому другому общему или совместно используемому компоненту. В виртуальных средах может происходить внеполосная связь, часто через механизм связи, специфичный для решения, или за счет использования общих ресурсов, таких как файловые системы, процессоры, энергозависимая и энергонезависимая память, драйверы устройств, аппаратные устройства, API , и так далее.
Методы, о которых я подумал:
Но другие области, на которых я застрял, включают как сегментировать процессоры, оперативную память и т. Д.
Если вас интересует полное руководство по виртуализации PCI-DSS, Вот.
Спасибо за прочтение.
Обновление 21.11.2014: Этот документ Вот был передан мне, я буду читать и переваривать. Это похоже на полезное название: «Соответствие PCI-DSS и VMWare».
Я также видел документ, который вы связали в вашем вопросе. К сожалению, это выходит из строя, когда VMware начинает продвигать свой дизайн vCloud и модули безопасности.
Вы можете рассказать нам о ваш среда vSphere? В частности, я хотел бы понять уровень лицензий и структуру высокого уровня вашей инфраструктуры vSphere (например Кластер с 3 хостами под управлением vSphere Essentials Plus и iSCSI SAN) Эта информация поможет найти правильное решение.
В целом могу сказать: