Лента
Форум
Файлы
О стандартах PCI
О проекте
Форумы|Пользователи|Поиск|Войти|Регистрация
Ответить
Подписаться   Версия для печати
Выполнение требований PCI DSS: На каждом сервере д.б. реализована только одна важная функция
Андрей

На форуме с:
29.10.2009
10.07.2009|12:17 Личное сообщение Инфо Ответить
Как консил смотрит в контексте требования 2.2.1 на применение технологии виртуализации?
Она получает всё большее распространение, но на одном сервере теперь "крутится" не то что "одна важная функция", а несколько ОС.

Что скажут уважаемые QSA'и и, может быть, участники форума? У кого-то был опыт прохождения сертификации в подобной конфигурации?
Казимиров Андрей, QSA
Информзащита

На форуме с:
01.07.2009
11.07.2009|11:40 Личное сообщение Инфо Ответить
К сожалению конкретного ответа от Консула нет и здесь решение принимается индивидуально.

Смысл 2.2.1 заключается в том, чтобы из-за различий к требованиям безопасности, предъявляемым к разным системам избежать конфликта между соответствующими настройками, если разные функции будут совмещены на одном сервере. Например, при совмещении на одном сервере функций БД (что требует усиленной защиты данных) и веб-приложения (для которого необходим доступ в интернет). Кроме того возникает сложность при установке обновлений (как безопасности, так и обычных патчей), когда установка заплатки для одной системы, может не учитывать особенности другой и привести к ее компрометации.

В принципе, использование виртуализации может быть допустимо, однако следует помнить, что для каждой ОС, работающей на виртуальном сервере необходимо выполнять все требования стандарта. То же самое касается и обеспечения безопасности самого сервера виртуализации, а также безопасности при взаимодействии виртуальных систем между собой. Т.е. нужно соблюсти все правила сегментации, изоляции ресурсов, организации доступа к ресурсам (в том числе логического, физического), протоколирования и мониторинга событий и т.д. Не всегда это проще реализовать, как технически, так и организационно, хотя очевидны плюсы компактности физического размещения и экономии средств на покупку оборудования.
Поскольку напрямую технология виртуализации не рассматривается PCI DSS, решение о допустимости ее применения принимается QSA в каждом конкретном случае – тут будут учитываться все факторы, перечисленные выше. Если Вы намерены использовать эту технологию, для того чтобы иметь уверенность что не будет проблем на аудите PCI DSS, желательно на этапе проектирования и внедрения проконсультироваться со своим QSA-аудитором.
PS: Кстати, VMware входит в PCI SSC: http://www.vmware.com/company/news/releases/compliance.html , http://www.vmware.com/technology/security/compliance/index.html
Ответить
Подписаться   Версия для печати
Сейчас на форуме человек: 1 (пользователей: 0, гостей: 1) | Форумов: 7, Тем: 34, Сообщений: 129, Участников: 125 | Рекорд посещаемости на 18.02.2010: всего человек: 547 (пользователей: 0, гостей: 547)