Conformidade com o PCI DSS em um servidor virtualizado que executa o Xen

Navegue suas respostas
4

Eu tenho um servidor rodando xen com HVM e gostaria de fazer um VM PCI compatível. Eu li o guia de virtualização PCI e ele diz que preciso ter certeza de que não há vazamento de informações entre as VMs. Como posso ter certeza de que cada SO não é capaz de interceptar dados de outros Domus?

    
por devnill 14.01.2012 / 03:30

1 resposta

5

Eu não sou um Especialista em PCI e sugiro que você consulte um deles, mas aqui está meu entendimento sobre as Diretrizes de Virtualização do PCI:

A principal preocupação, como em todos os aspectos da conformidade com a PCI, é a proteção de dados confidenciais (informações do portador do cartão). Em termos de problemas de vazamento de informações, há três áreas principais que parecem surgir:

  1. Information Leakage that lets you get access to the hypervisor's controls
    ("vazamento no plano de controle ou no plano de gerenciamento" da rede).
    Você evitaria isso protegendo as redes de controle do hipervisor (aquelas que permitem que você chegue ao dom0 no Xen) e certificando-se de que:
    1. Você só pode acessar os IPs de gerenciamento de redes autorizadas.
    2. Você não pode acessar os IPs de gerenciamento das máquinas virtuais (ou, alternativamente, "Nenhuma rede autorizada contém máquinas virtuais").
  2. Information leakage between the VMs over the network.
    Este é o seu material típico de segurança de rede: isole as redes em vLANs apropriadas, configure boas regras de firewall e, idealmente, use um IDS / IPS para alertá-lo se algo estiver acontecendo.
  3. Information leakage through the hypervisor.
    Este é o mais difícil de quantificar - particularmente com hipervisores como o Xen ou o FreeBSD Jails, que não emulam até "bare hardware", mas estão "dentro" de outro sistema operacional dom0 que tem acesso a todas as VMs

    Você deseja garantir que não haja uma maneira de uma VM acessar dados dentro de outra VM. Ao fazer isso, você precisa considerar as próprias VMs, mas também precisa ficar de olho no hipervisor e certificar-se de que não há nada lá que copie os dados entre as VMs, ou se algo assim faz existe por qualquer motivo que exista uma razão bem documentada ee o software foi projetado para evitar vazamentos e ser cuidadosamente monitorado.

Como você implementa mecanismos para proteger contra esses problemas é provável que seja hipervisor específico - Infelizmente eu não estou muito familiarizado com o Xen (eu usei isso, mas a maior parte da minha experiência é com VMWare), então não posso dar qualquer conselho prático a esse respeito.

    
por 14.01.2012 / 05:34

Tags

Forçando o SSL no Apache sem codificar o hostname Para onde o e-mail é enviado? Para o @ domínio ou para o IP que o enviou?