L'esecuzione di diverse funzioni su macchine virtuali sullo stesso server mi rende compatibile con il requisito 2.2.1 PCI DSS?

0

Attualmente sto esaminando i requisiti PCI DSS e mi chiedevo se l'esecuzione di diverse funzioni su macchine virtuali sullo stesso server mi rendesse ancora conforme ai requisiti seguenti per PCI DSS.

2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

Ho la sensazione che la risposta potrebbe essere no.

    
posta Alex Probert 09.08.2017 - 11:37
fonte

2 risposte

0

Risposta breve sì, ma vms aggiunge un ulteriore livello di complessità.

Risposta lunga:

Un hypervisor crea una superficie di attacco aggiuntiva. Non solo devi preoccuparti dei rischi tradizionali che esistono in un ambiente fisico, ma ora devi preoccuparti dell'hypervisor stesso. Se è compromesso, tutti i componenti del sistema sono quindi compromessi. L'errata configurazione dell'hypervisor potrebbe comportare un singolo punto di errore / compromesso che ora interessa ogni VM su di esso. Quindi, devi assicurarti di (almeno) limitarlo secondo il minimo privilegio, "devi sapere" e assicurarti che sia monitorato (ma questo è un altro problema perché il monitoraggio VM non è maturo come tradizionale ...)

Gli ulteriori livelli di complessità che derivano dall'affrontare una VM (specialmente se inserisci un firewall virtuale) ti offrono più opportunità di sbagliare.

Devi anche assicurarti di configurare correttamente gli account utente. Configurare erroneamente gli utenti di macchine virtuali e consentire troppi privilegi a un dato utente, (potenzialmente) dà loro accesso a LOTS più del semplice errore.

Quindi devi preoccuparti delle vecchie macchine virtuali che sono "disattivate" e non utilizzate. Spegni e riaccendi la scatola, dimenticando che è impostata per l'avvio automatico e hai aggiunto una macchina alla rete che non viene mantenuta.

Le istantanee aggiungono un altro problema. Certo, è bello fare un'istantanea per un aggiornamento per impedire che l'aggiornamento abbatta l'intero sistema, ma devi fare attenzione a gestirlo correttamente in modo da non lasciare le immagini della carta di pagamento vulnerabili nello snapshot.

Anche le informazioni potrebbero trapelare tra i componenti, quindi devi anche tener conto di ciò.

E, naturalmente, l'hypervisor stesso è un'altra cosa che deve essere aggiornata, mantenuta e protetta regolarmente.

Quindi, c'è un compromesso tra la convenienza dell'uso di un vm box per ospitare i componenti e la complessità e le attività aggiuntive necessarie per mantenerlo sicuro.

Quindi, conclusione lunga: certo. Puoi renderlo conforme PCI. Ci vuole solo un piccolo sforzo per affrontare le complessità.

    
risposta data 09.08.2017 - 13:12
fonte
0

Se non lo hai già fatto, devi leggere le Linee guida per la virtualizzazione PCI DSS . Detto questo, la sezione 2.2.1 PCI DSS 3.2 risolve chiaramente la tua preoccupazione, proprio nella colonna dei requisiti:

Note: Where virtualization technologies are in use, implement only one primary function per virtual system component.

Lo tradurrei come "le macchine virtuali sono come server, limitati a una funzione su ciascuna."

Detto questo, ci sono altri problemi con la virtualizzazione di cui devi essere a conoscenza, soprattutto (da un punto di vista della conformità). Per citare il documento delle linee guida sulla virtualizzazione:

A Virtual Machine (VM) is a self-contained operating environment that behaves like a separate computer. It is also known as the "Guest", and runs on top of a hypervisor.

Scope Guidance: An entire VM will be in scope if it stores, processes or transmits cardholder data, or if it connects to or provides an entry point into the CDE. If a VM is in scope, both the underlying host system and the hypervisor would also be considered in scope, as they are directly connected to and have a fundamental impact on the functionality and security of the VM.

    
risposta data 09.08.2017 - 14:03
fonte

Leggi altre domande sui tag