我已经在信息安全上问过这个问题,但到目前为止还没有得到任何评论。我在想,这可能更像是服务器基础设施和配置问题,而不是安全问题本身。
因此,我将尽量简短:
我们符合 PCI-DSS 2.0。PCI-DSS 具有范围内和范围外的系统/流程/数据/基础设施等概念。范围内在 PCI-DSS 审计期间受到审查,范围外被视为不受信任,防火墙网段应将两个作用域分开。
因此,如果您尝试混合范围内和范围外系统,但在这个 VM 世界中,PCI-DSS 委员会发布了专门针对虚拟环境中混合范围的指南。他们指出:
同一主机上的范围内和范围外系统所需的分段级别必须与物理世界中可实现的隔离级别相同;也就是说,分段必须确保范围外的工作负载或组件不能用于访问范围内的组件。与单独的物理系统不同,仅基于网络的分段无法将虚拟环境中的范围内组件与范围外组件隔离开来。
因此,我的问题是,是否可以对在 ESXi 5.5 上运行的 VM 进行分段,以便分段满足上述指南中概述的标准?
指导方针非常规范,实际上他们继续说:
虚拟组件的分段还必须应用于所有虚拟通信机制,包括管理程序和底层主机,以及任何其他公共或共享组件。在虚拟环境中,通常通过特定于解决方案的通信机制或通过使用共享资源(例如文件系统、处理器、易失性和非易失性存储器、设备驱动程序、硬件设备、API),会发生带外通信, 等等。
我想到的方法:
但我坚持的其他领域包括如何对处理器、RAM 等进行分段。
如果您对完整的 PCI-DSS 虚拟化指南感兴趣,请点击此处。
谢谢阅读。
更新21/11/2014: 该文档在这里已经被转嫁到我,我会阅读和消化。它看起来像一个有用的标题:“PCI-DSS 合规性和 VMWare”。
我正在将一些 Active Directory 任务委派给一组用户。这些用户没有域管理权限,只会执行诸如在单个 OU 中创建/禁用帐户之类的任务。我有两个问题:
a) 为了让用户能够从他们的工作站执行这些操作,除了安装远程服务器和管理工具之外还有其他方法吗?我可以以某种方式只安装“Active Directory 用户和计算机”管理单元吗?
b) 尽管使用 mmc.exe 创建自定义 AD 管理单元,因此要管理的单个 OU 位于根目录,但我惊讶地发现用户仍然对整个 AD 域结构具有读取访问权限。这是设计使然还是我的权限在某处出错了?
非常感谢!
permissions active-directory windows-7 domain-controller windows-server-2008-r2