PCI: ESXi环境下的虚拟化分割

Question

我已经在信息安全上问过这个问题了，但到目前为止还没有得到任何评论。我在想，也许更多的是服务器基础设施和配置问题，而不是安全问题本身。

因此，我将尽量简短：

我们是符合PCI 2.0的.PCI-DSS有范围内和范围外系统/进程/数据/基础设施等概念。在PCI-DSS审核过程中，范围内被审查，范围外被认为是不可信的，防火墙网络段应该将这两个范围分开。

因此，如果您试图将范围内和范围外的系统混合在一起，那么在VMs的这个世界中，PCI理事会发布了专门关于虚拟环境中的混合作用域的指导方针。他们说：

同一主机上的作用域内系统和范围外系统所需的分段级别必须等同于物理世界中可实现的隔离级别；也就是说，分段必须确保范围外的工作负载或组件不能用于访问作用域中组件。与单独的物理系统不同，单独基于网络的分段不能将虚拟环境中的范围内组件与范围外组件隔离开来。

因此，我的问题是，是否有可能分割运行在ESXi 5.5上的VM，从而使分段满足上述准则中概述的标准？

这些指导方针是非常具有指令性的，实际上，它们还说：

虚拟组件的分割还必须应用于所有虚拟通信机制，包括管理程序和基础主机，以及任何其他公共或共享组件。在虚拟环境中，带外通信可以发生，通常是通过特定于解决方案的通信机制，或者通过共享资源，如文件系统、处理器、易失性和非易失性内存、设备驱动程序、硬件设备、APIs等。

方法我想到：

• 使用不同的物理网络适配器
• 使用不同的物理数据存储

但其他领域，我被困在包括如何分割处理器，RAM等。

如果您感兴趣，完整的PCI虚拟化指导方针是这里。

感谢您的阅读。

更新21/11/2014:这个医生这里已经传给我，我会阅读和消化。它看起来像是一个有用的标题：“PCI法规和VMWare”。

Answer 1

我也在你的问题中看到了把你链接的文件。不幸的是，当VMware开始推动他们的vCloud设计和安全模块时，它就崩溃了。

你能告诉我们你的vSphere环境吗？具体来说，我想了解vSphere基础结构的许可层和高级设计(例如，运行vSphere Essentials和iSCSI SAN的3主机集群)--这些信息将有助于指导正确的解决方案。

一般说来，我可以说：

• VLAN不足以进行网络分割。如果您将中继端口传输回交换机，那么您确实希望将其中继到VLAN感知的防火墙上。您将需要在vSphere portgroups/VLAN之间设置防火墙。
• 这可以通过vSphere的防火墙产品来实现，这取决于您的许可证。
• vSwitch上行可以链接到离散的网络区域，也可以像上面那样通过防火墙进行控制。
• 数据存储可以是独立的，但不一定需要单独的硬件。在我的经验中，多个LUN或NFS坐骑是令人满意的。
• 你是如何处理人身安全的？
• 您的vCenter是否链接到？您能对您的AD登录应用双因素身份验证吗？
• ESXi管理程序在审计中并不是一个问题。确保您有vSphere更新管理器和已建立的修补计划来处理修复的CVE漏洞。
• 如果您需要保证某种类型的性能或特定的RAM/CPU分配，则可以建立vSphere资源池。
• 进一步的分离可以利用vSphere DRS和亲和/反关联规则，如果您的许可证支持它(例如，确保生产DB总是在与开发DB不同的主机上，或者始终将应用程序堆栈的这些组件放在一起)。