PCI-DSS: segmentação de virtualização no ambiente ESXi

7

Já fiz esta pergunta em Segurança da Informação mas até agora não recebeu nenhum comentário. Eu estou pensando, talvez, é mais uma questão de infra-estrutura e configuração de servidor, em vez de uma questão de segurança em si.

Portanto, tentarei ser breve:

Somos compatíveis com o PCI-DSS 2.0. O PCI-DSS tem o conceito de sistemas / processos / dados / infra-estrutura dentro e fora do escopo etc. O escopo do aplicativo está sob escrutínio durante as auditorias PCI-DSS, os escopos fora de escopo são considerados não confiáveis e os segmentos de rede com firewall devem separe os dois escopos.

Portanto, é considerado um não-não se você tentar misturar sistemas dentro e fora do escopo, mas neste mundo de VMs, o conselho PCI-DSS divulgou diretrizes especificamente relacionadas à mistura de escopos no ambiente virtual. Eles afirmam que:

The level of segmentation required for in-scope and out-of-scope systems on the same host must be equivalent to a level of isolation achievable in the physical world; that is, segmentation must ensure that out-of-scope workloads or components cannot be used to access an in-scope component. Unlike separate physical systems, network-based segmentation alone cannot isolate in-scope from out-of-scope components in a virtual environment.

Portanto, minha pergunta é: é possível segmentar VMs em execução no ESXi 5.5 de forma que a segmentação atenda aos critérios descritos nas diretrizes acima?

As diretrizes são muito prescritivas, e de fato dizem:

Segmentation of virtual components must also be applied to all virtual communication mechanisms, including the hypervisor and underlying host, as well as any other common or shared component. In virtual environments, out-of-band communications can occur, often via a solution-specific communication mechanism, or through the use of shared resources such as file systems, processors, volatile and non-volatile memory, device drivers, hardware devices, APIs, and so on.

Métodos em que pensei:

  • Use diferentes adaptadores de rede física
  • Usar datastores físicos diferentes

Mas outras áreas em que estou preso incluem como segmentar processadores, RAM, etc.

Se você estiver interessado, as diretrizes completas de virtualização do PCI-DSS são aqui .

Obrigado pela leitura.

Atualização 21/11/2014: Este documento aqui foi passado para mim, Eu vou ler e digerir. Parece um título útil: 'Conformidade com PCI-DSS e VMWare'.

    
por chazjn 20.11.2014 / 12:45

1 resposta

2

Eu também vi o documento vinculado na sua pergunta. Infelizmente, ele se decompõe quando o VMware começa a empurrar seus módulos de design e segurança do vCloud.

Você pode nos falar sobre o seu ambiente do vSphere? Especificamente, gostaria de entender o nível de licenciamento e o design de alto nível da sua infraestrutura do vSphere (por exemplo, o cluster de três hosts que executa o vSphere Essentials Plus e um SAN iSCSI). Essas informações ajudarão a orientar a solução correta .

Geralmente, posso dizer:

  • VLANs não são suficientes para segmentação de rede. Se você estiver truncando as portas de volta para um switch, você realmente deseja fazer o trunk para um firewall com reconhecimento de VLAN. Você precisará de um firewall entre os portgroups / VLANs do vSphere.
  • Isso pode ser obtido com o produto de firewall do vSphere, dependendo de sua licença.
  • Os uplinks do vSwitch podem ser vinculados a zonas de rede distintas ou controlados com um firewall como acima.
  • Os datastores podem ser separados, mas não necessariamente precisam de hardware separado. Várias montagens de LUNs ou NFS foram satisfatórias em minha experiência.
  • Como você está lidando com segurança física?
  • Seu vCenter está vinculado ao Active Directory? Você pode aplicar a autenticação de dois fatores aos seus logons do AD?
  • O hipervisor do ESXi não foi um problema nas auditorias. Certifique-se de ter o vSphere Update Manager e um cronograma de patches estabelecido para lidar com as correções das vulnerabilidades do CVE.
  • Se você precisa garantir um determinado tipo de desempenho ou determinadas alocações de RAM / CPU, é possível estabelecer pools de recursos do vSphere.
  • Outras separações podem aproveitar o vSphere DRS e as regras de afinidade / antiafinidade, se a sua licença oferecer suporte a ele (por exemplo, certifique-se de que o DB de produção esteja sempre em um host diferente do DB de desenvolvimento ou sempre) esses componentes da pilha de aplicativos juntos ).
por 21.11.2014 / 14:10