PCI-DSS：ESXi 环境中的虚拟化分段

Question

我已经在信息安全上问过这个问题，但到目前为止还没有得到任何评论。我在想，这可能更像是服务器基础设施和配置问题，而不是安全问题本身。

因此，我将尽量简短：

我们符合 PCI-DSS 2.0。PCI-DSS 具有范围内和范围外的系统/流程/数据/基础设施等概念。范围内在 PCI-DSS 审计期间受到审查，范围外被视为不受信任，防火墙网段应将两个作用域分开。

因此，如果您尝试混合范围内和范围外系统，但在这个 VM 世界中，PCI-DSS 委员会发布了专门针对虚拟环境中混合范围的指南。他们指出：

同一主机上的范围内和范围外系统所需的分段级别必须与物理世界中可实现的隔离级别相同；也就是说，分段必须确保范围外的工作负载或组件不能用于访问范围内的组件。与单独的物理系统不同，仅基于网络的分段无法将虚拟环境中的范围内组件与范围外组件隔离开来。

因此，我的问题是，是否可以对在 ESXi 5.5 上运行的 VM 进行分段，以便分段满足上述指南中概述的标准？

指导方针非常规范，实际上他们继续说：

虚拟组件的分段还必须应用于所有虚拟通信机制，包括管理程序和底层主机，以及任何其他公共或共享组件。在虚拟环境中，通常通过特定于解决方案的通信机制或通过使用共享资源（例如文件系统、处理器、易失性和非易失性存储器、设备驱动程序、硬件设备、API），会发生带外通信， 等等。

我想到的方法：

• 使用不同的物理网络适配器
• 使用不同的物理数据存储

但我坚持的其他领域包括如何对处理器、RAM 等进行分段。

如果您对完整的 PCI-DSS 虚拟化指南感兴趣，请点击此处。

谢谢阅读。

更新21/11/2014： 该文档在这里已经被转嫁到我，我会阅读和消化。它看起来像一个有用的标题：“PCI-DSS 合规性和 VMWare”。

Answer 1

我也看到了您在问题中链接的文档。不幸的是，当VMware开始推出他们的vCloud设计和安全模块时，它就崩溃了。

您能给我们介绍一下您的vSphere 环境吗？具体来说，我想了解 vSphere 基础架构的许可证层和高级设计（例如，运行 vSphere Essentials Plus 和 iSCSI SAN 的 3 主机集群）。此信息将有助于指导找到正确的解决方案。

一般来说，我可以说：

• VLAN 不足以进行网络分段。如果您要将端口中继回交换机，那么您确实希望将其中继到支持 VLAN 的防火墙。您需要在 vSphere 端口组/VLAN 之间设置防火墙。
• 这可以通过 vSphere 的防火墙产品来完成，具体取决于您的许可证。
• vSwitch 上行链路可以链接到离散的网络区域或使用上述防火墙进行控制。
• 数据存储可以是单独的，但不一定需要单独的硬件。根据我的经验，多个 LUN 或 NFS 挂载是令人满意的。
• 您如何处理物理安全？
• 您的 vCenter 是否链接到 Active Directory？您可以对 AD 登录应用双因素身份验证吗？
• ESXi 虚拟机管理程序在审核中并未出现问题。确保您拥有 vSphere Update Manager 和既定的修补计划来修复 CVE 漏洞。
• 如果需要保证某种类型的性能或某些 RAM/CPU 分配，可以建立 vSphere 资源池。
• 如果您的许可证支持，则可以利用 vSphere DRS 和关联性/反关联性规则进行进一步分离（例如，确保生产数据库始终位于与开发数据库不同的主机上，或者始终将应用程序堆栈的这些组件放在一起）。