Стандарт: Стандарт безопасности данных PCI (PCI DSS) Версия: 2.0 Дата: июнь 2011 г.
Автор: Рабочая группа по виртуализации Совет по стандартам безопасности PCI Дополнительная информация: Руководство по виртуализации PCI DSS Руководство по виртуализации PCI DSS. Часть 2 Руководство по виртуализации PCI DSS. Часть 3
1. Введение
Виртуализация отделяет приложения, компьютеры, машины, сети, данные и службы от их физических ограничений.Виртуализация — это развивающаяся концепция, охватывающая широкий спектр технологий, инструментов и методов, которые могут привести к значительным эксплуатационным преимуществам для организаций, решивших использовать виртуализацию.
Однако, как и в случае с любой развивающейся технологией, риски также продолжают развиваться и зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Целью этого документа является предоставление рекомендаций по использованию виртуализации в соответствии со Стандартами безопасности данных индустрии платежных карт ( PCI DSS ).
Для целей настоящего документа все ссылки относятся к стандарту.
PCI DSS версия 2.0. Существует четыре простых принципа, связанных с использованием виртуализации в средах данных держателей карт: а.
Если в среде хранения данных о держателях карт используются технологии виртуализации, требования PCI DSS применить к этим технологиям виртуализации.
б.
Технология виртуализации привносит новые риски, которые невозможно применить к другим технологиям и которые необходимо оценивать при использовании виртуализации при работе с данными держателей карт. в.
Реализации виртуализации могут сильно различаться, и организациям необходимо провести тщательное исследование, чтобы определить и задокументировать уникальные характеристики своего конкретного приложения виртуализации, включая все взаимодействия с процессами перевода платежей и данными платежных карт. д. Не существует единого метода или решения для настройки виртуализированных сред в соответствии с требованиями стандарта.
PCI DSS .
Конкретные элементы управления и процедуры будут различаться для каждой среды в зависимости от того, как реализована и используется виртуализация.
1.1 Целевая аудитория
Этот технический документ предназначен для оптовиков и поставщиков услуг, которые используют или планируют использовать технологии виртуализации в своей среде хранения данных о держателях карт ( CDE ).Это также может быть полезно для экспертов, рассматривающих среды виртуализации как часть оценки.
ДСС .
Примечание : Этот документ предполагает базовый уровень понимания виртуализации, ее технологий и принципов.
Однако для оценки технических средств управления в виртуализированных средах необходимо понимание архитектуры технологии виртуализации, поскольку природа этих сред, особенно в области изоляции процессов и виртуальных сетей, может существенно отличаться от традиционных физических сред.
1.2 Область применения
Этот документ содержит дополнительные рекомендации по использованию технологий виртуализации в средах данных держателей карт и не заменяет требований.PCI DSS .
По конкретным критериям и требованиям аудита виртуализированные среды следует оценивать на основе критериев, изложенных в PCI DSS .
Этот документ не предназначен для одобрения каких-либо конкретных технологий, продуктов или услуг, а скорее как признание того, что эти технологии существуют и могут оказывать влияние на безопасность данных платежных карт.
2 Обзор виртуализации
2.1 Понятие и классы виртуализации
Виртуализация — это логическое отделение вычислительных ресурсов от физических ограничений.Одна из распространенных абстракций называется «виртуальной машиной» или виртуальной машиной, которая принимает содержимое физической машины и позволяет ей работать на другом физическом оборудовании и/или вместе с другими виртуальными машинами на одном и том же физическом оборудовании.
Помимо виртуальных машин, виртуализация может выполняться на многих других вычислительных ресурсах, включая ОС, сети, память и системы хранения.
Термин «перегрузка» все чаще используется для описания большого количества виртуальных ресурсов.
Например, виртуальная машина — это тип рабочей нагрузки (нагрузки).
Хотя виртуальные машины сегодня являются доминирующим вариантом использования технологии виртуализации, существует ряд других рабочих нагрузок, включая системы приложений, настольные компьютеры, сети и модели виртуализированных хранилищ.
В этом документе рассматриваются следующие типы виртуализации.
2.1.1 Операционная система Виртуализация операционной системы (ОС) обычно используется для выделения ресурсов, работающих в ОС на одном физическом сервере, и разделения их на несколько более мелких разделов, таких как виртуальные среды.
VPS , зоны и т. д. В этом сценарии все разделы будут использовать ядро одной и той же ОС, но могут запускать разные библиотеки, дистрибутивы и т. д. Таким же образом виртуализация приложений отделяет отдельные экземпляры приложений от базовой операционной системы, предоставляя каждому пользователю отдельное рабочее пространство приложений.
2.1.2 Аппаратное обеспечение/Платформа Аппаратная виртуализация достигается за счет аппаратного разделения или технологии гипервизора.
Гипервизор обеспечивает доступ к оборудованию для виртуальных машин, работающих на физической платформе.
Существует два типа аппаратной виртуализации: Гипервизор типа 1 – Гипервизор типа 1 (также известный как собственный или базовый) — это часть программного обеспечения или микропрограммы, которая работает непосредственно на оборудовании и отвечает за координацию доступа к аппаратным ресурсам, а также за размещение и управление виртуальными машинами.
Гипервизор типа 2 – Гипервизор типа 2 (также известный как «размещенный») работает как приложение в существующей операционной системе.
Гипервизор этого типа эмулирует физические ресурсы, необходимые каждой виртуальной машине, и считается просто еще одним приложением, таким же, как и ОС хоста.
2.1.3 Сеть Виртуализация сети отличает логические сети от физических сетей.
Практически для каждого типа физического сетевого компонента (например, коммутаторов, маршрутизаторов, межсетевых экранов, систем предотвращения вторжений, балансировщиков нагрузки и т. д.) существует логическая сторона, доступная в виде виртуального устройства.
В отличие от других автономных хостов (таких как сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»: Плоскость данных: пересылает данные сообщения между узлами в сети.
Плоскость управления: управляет трафиком, сетью и информацией о маршрутизации; включая связь между сетевыми устройствами, связанную с топологией сети, состоянием и маршрутизацией.
Плоскость управления: обрабатывает сообщения, адресованные непосредственно самому устройству, в целях управления устройством (например, настройки, мониторинга и обслуживания).
2.1.4 Хранение данных Виртуализированное хранилище данных — это когда несколько физических устройств хранения данных объединяются в сети и представляются как одно устройство хранения данных.
Такая консолидация данных обычно используется в локальной сетевой памяти ( САН ).
Одним из преимуществ виртуального хранилища является то, что сложность инфраструктуры хранения скрыта от глаз пользователей.
Однако это также представляет собой важную проблему для организаций, желающих документировать свои хранилища данных и управлять ими, поскольку определенный набор данных может храниться в нескольких местах одновременно.
2.1.5 Память Виртуализация памяти предполагает объединение физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем распределяется между компонентами системы.
Подобно виртуализированному хранилищу данных, объединение нескольких ресурсов физической памяти в один виртуальный ресурс может усложнить отображение и документирование местоположения данных.
2.2 Компоненты виртуальной системы и рекомендации по определению области действия В этом разделе представлены некоторые более общие виртуальные абстракции или компоненты виртуальной системы, которые могут присутствовать во многих виртуальных средах, а также даны рекомендации по области применения для каждой из них.
Обратите внимание, что определение целей в этом разделе следует рассматривать как дополнение к основному принципу, согласно которому PCI DSS применяется ко всем компонентам системы, включая те, которые виртуализированы, включены в среду данных держателей карт или подключены к ней.
Решение о том, стоит ли рассматривать отдельный компонент виртуальной системы в предметной области, будет зависеть от конкретной технологии и того, как она будет реализована в среде.
2.2.1 Гипервизор Гипервизор — это программное обеспечение или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами.
Компонент системы гипервизора также может включать в себя монитор виртуальной машины ( ВММ ).
ВММ — это программный компонент, который применяет и управляет аппаратной абстракцией виртуальной машины и может рассматриваться как функция управления платформой гипервизора.
ВММ управляет системным процессором, памятью и другими ресурсами для распределения всего, что требуется ОС каждой виртуальной машины (также известной как «гостевая»).
В некоторых случаях эта функциональность обеспечивается в сочетании с технологией аппаратной виртуализации.
Область применения: Если какой-либо виртуальный компонент, подключенный к гипервизору (или размещенный на нем), находится в сфере PCI DSS , сам гипервизор всегда будет в области видимости.
Дополнительные рекомендации по размещению виртуальных машин, как входящих, так и вне области действия, на одном и том же гипервизоре см.
в разделе 4.2 «Рекомендации для сред со смешанным режимом».
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой виртуальные компоненты как внутри, так и вне области видимости выполняются на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машина Виртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер.
Он также известен как Guest и работает на гипервизоре.
Область применения: Вся виртуальная машина будет находиться в зоне действия, если она хранит, обрабатывает или передает данные о держателях карт, или если она подключается или предоставляет точку входа для CDE .
Если виртуальная машина находится в области действия, то базовый хост и гипервизор также будут в области действия, поскольку они напрямую связаны и оказывают фундаментальное влияние на функциональность и безопасность виртуальной машины.
2.2.3 Виртуальное устройство Виртуальные устройства можно описать как упакованный образ программного обеспечения, предназначенный для использования на виртуальной машине.
Каждое виртуальное устройство выполняет определенную функцию и обычно состоит из основных компонентов операционной системы и одного приложения.
Физические сетевые устройства, такие как маршрутизаторы, коммутаторы или межсетевые экраны, можно виртуализировать и использовать как виртуальные устройства.
Устройство виртуальной безопасности ( ВСА или СВА ) — это виртуальное устройство, состоящее из защищенной операционной системы и одного приложения.
ВСА , обычно имеют более высокий уровень доверия, чем обычные виртуальные устройства ( В.
А.
), включая привилегированный доступ к гипервизору и другим ресурсам.
Для того, чтобы ВСА выполняет функции управления системой и сетью, обычно имеет повышенную видимость в гипервизоре и в любой из виртуальных сетей, работающих на гипервизоре.
Некоторые решения ВСА может подключаться напрямую к гипервизору, обеспечивая дополнительную безопасность всей платформы.
Примеры аппаратных систем с виртуальными приложениями включают межсетевые экраны, ИПД/ИДС и антивирусы.
Область применения: Виртуальные устройства, используемые для подключения или предоставления услуг рассматриваемым системным компонентам, также считаются рассматриваемыми.
Любой ВСА/СВА , что может повлиять CDE , также войдет в сферу влияния.
2.2.4 Виртуальный коммутатор или маршрутизатор Виртуальный коммутатор или маршрутизатор — это программный компонент, обеспечивающий функции маршрутизации и коммутации данных на сетевом уровне.
Виртуальный коммутатор часто является неотъемлемой частью виртуализированной серверной платформы — например, в виде драйвера, модуля или плагина гипервизора.
Виртуальный маршрутизатор можно использовать как отдельное виртуальное устройство или как компонент физического устройства.
Кроме того, виртуальные коммутаторы и маршрутизаторы можно использовать для создания нескольких логических сетевых устройств на одной физической платформе.
Область применения: Сети, настроенные на виртуальном коммутаторе на основе гипервизора, будут находиться в области действия, если они имеют соответствующий компонент, или если они предоставляют услуги или подключены к соответствующему компоненту.
Физические устройства, на которых размещены виртуальные коммутаторы или маршрутизаторы, будут считаться входящими в область действия, если какой-либо из размещенных компонентов подключается к рассматриваемой сети.
2.2.5 Виртуальные приложения и рабочие столы Пользовательские приложения и среды рабочего стола также могут быть виртуализированы, чтобы обеспечить функциональность конечным пользователям.
Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местах.
Доступ к ним можно получить через интерфейс удаленного рабочего стола.
Виртуальные рабочие столы можно настроить для обеспечения доступа через несколько типов устройств, включая тонкие клиенты и мобильные устройства, и они могут работать с использованием локальных или удаленных вычислительных ресурсов.
Виртуальные приложения и рабочие столы могут быть расположены в точках продаж, обслуживания клиентов и других формах взаимодействия в платежной цепочке.
Область применения: Виртуальные приложения и компьютеры будут включены в объем, если они участвуют в обработке, хранении или передаче данных о держателях карт или предоставляют доступ к CDE .
Если виртуальное приложение или рабочий стол предоставляются на том же физическом хосте или гипервизоре, что и компонент, входящий в область действия, виртуальное приложение/рабочий стол также будет в области, если не будет применена адекватная сегментация, которая изолирует все компоненты, входящие в область действия, от не включенных.
Дополнительные рекомендации по размещению компонентов, входящих и выходящих за рамки области применения, на одном хосте или гипервизоре см.
в разделе 4.2 «Рекомендации для сред со смешанным режимом».
2.2.6 Облачные вычисления Облачные вычисления — это быстро растущий вариант использования виртуализации, который предоставляет вычислительные ресурсы в качестве услуги или утилиты через общедоступные, полугосударственные или частные инфраструктуры.
Предложения облачных услуг обычно предоставляются из пула или кластера подключенных систем и обеспечивают доступ на основе услуг к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Область применения: Использование облачных вычислений поднимает некоторые проблемы, которые необходимо учитывать при определении границ.
Организации, планирующие использовать облачные вычисления для своих PCI DSS среды должны сначала убедиться, что они четко понимают детали предлагаемых услуг, а также должны выполнить детальную оценку рисков каждой услуги.
Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и поставщик четко определяли и документировали обязанности, возложенные на каждую сторону, для поддержания соответствия стандарту.
PCI DSS и любые другие меры, которые могут повлиять на безопасность данных держателей банковских карт. Поставщик облачных услуг должен четко определить, чего требует стандарт. PCI DSS , системные компоненты и услуги подпадают под действие программы соответствия PCI DSS .
Любые аспекты услуг, не охваченные поставщиком облачных услуг, должны быть определены и четко задокументированы в соглашении об обслуживании, в котором указаны эти аспекты, системные компоненты и требования.
PCI DSS являются обязанностью организации, заказывающей услуги хостинга.
Поставщик облачных услуг должен предоставить достаточные доказательства и гарантии того, что все процессы и компоненты, находящиеся под его контролем, соответствуют требованиям.
PCI DSS .
Дополнительные рекомендации по использованию облачных сред см.
в разделе 4.3 «Рекомендации по использованию облачных сред».
Теги: #безопасность #стандарты #виртуализация #pci dss #информационная безопасность
-
Обзор Elevationdock Для Iphone
19 Oct, 24 -
Радио Ю #64
19 Oct, 24
