运行 Xen 的虚拟化服务器上​​的 PCI DSS 合规性

Question

我有一台运行带有 HVM 的 xen 的服务器，并且想让一台 VM 符合 PCI 标准。我已经阅读了 PCI 虚拟化指南，它说我需要确保 VM 之间没有信息泄漏。如何确保每个操作系统都无法拦截来自其他 DomU 的数据？

Answer 1

我不是 PCI 专家，我强烈建议您咨询专家，但这是我对 PCI 虚拟化指南的理解：

与 PCI 合规性的所有方面一样，主要关注的是敏感数据（持卡人信息）的保护。就信息泄漏问题而言，似乎出现了三个主要领域：

1. Information Leakage that lets you get access to the hypervisor's controls
   （网络的“控制平面或管理平面泄漏”）。
   您可以通过保护管理程序控制网络（让您在 Xen 中访问 dom0 的网络）并确保：
   1. 您只能从授权网络访问管理 IP。
   2. 您无法从虚拟机访问管理 IP（或者“没有授权的网络包含虚拟机”）。
2. Information leakage between the VMs over the network.
   这是您典型的网络安全问题：将网络隔离到适当的 vLAN 中，设置良好的防火墙规则，最好使用 IDS/IPS 来提醒您是否有任何问题发生。
3. Information leakage through the hypervisor.
   这是最难量化的——尤其是像 Xen 或 FreeBSD Jails 这样的虚拟机管理程序，它们不会一直模拟到“裸硬件”，而是“内部”另一个dom0可以访问所有 VM 的操作系统。
   您希望确保一个 VM 无法访问另一个 VM 中的数据。在执行此操作时，您需要考虑 VM 本身，但您还需要密切关注虚拟机管理程序并确保没有任何东西可以在 VM 之间复制数据，或者是否确实存在类似的东西，无论出于何种原因，有一个井记录原因和软件旨在防止泄漏，并仔细监控。

您如何实现防止这些问题的机制可能是特定于虚拟机管理程序的 - 不幸的是我对 Xen 不是很熟悉（我已经使用过它，但我的大部分经验是在 VMWare 上的）所以我不能给你任何实用的这方面的建议。