Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS
Руководство по виртуализации PCI DSS. Часть 2
Руководство по виртуализации PCI DSS. Часть 3
Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:
Этот информационный документ предназначен для оптовиков и поставщиков услуг, которые используют или рассматривают возможность использования технологий виртуализации в своей среде хранения данных о держателях карт (CDE). Это также может быть полезно для асессоров, рассматривающих среды с виртуализацией как часть оценки DSS.
Примечание: Этот документ предполагает наличие базового уровня понимания виртуализации, ее технологий и принципов. Тем не менее, требуется понимание архитектуры технологии виртуализации для оценки технического контроля в виртуализированных средах, так как характер этих сред, особенно в областях изоляции процесса и виртуальных сетей, может существенно отличаться от традиционных физических сред.
Этот документ содержит дополнительные руководящие указания по использованию технологий виртуализации в средах по работе с данными владельцев банковских карт и не заменяет требований PCI DSS. Для конкретных критериев и требований в отношении ревизии, виртуализированные среды должны оцениваться на основе критериев, изложенных в PCI DSS.
Этот документ не предназначен как одобрение для каких-либо конкретных технологий, продуктов или услуг, а, скорее, как признание того, что эти технологии существуют, и могут оказывать влияние на безопасность с данными платежных карт.
Виртуализация — это логическое отделение вычислительных ресурсов от физических ограничений. Одна из общих абстракций называется «виртуальная машина» или ВМ, которая берет содержимое физической машины и позволяет ему работать на разных физических аппаратных средствах и/или вместе с другими виртуальными машинами на одном физическом оборудовании. В дополнение к ВМ, виртуализация может быть выполнена на многих других вычислительных ресурсах, включая ОС, сети, память и системы хранения данных.
Термин «загруженность» все больше используется для описания большого количества виртуальных ресурсов. Например, виртуальная машина — это тип рабочей нагрузки (загруженности). В то время как виртуальные машины сегодня являются доминирующим способом применения технологии виртуализации, существует и ряд других рабочих нагрузок, включая прикладные системы, настольные ПК, сеть и виртуализированные модели хранения. Следующим типам виртуализации уделяется основное внимание в этом документе.
2.1.1 Операционная система
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS
Руководство по виртуализации PCI DSS. Часть 2
Руководство по виртуализации PCI DSS. Часть 3
1 Введение
Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:
- a. Если технологии виртуализации используются в среде хранения данных о держателях карт, требования PCI DSS распространяются на эти технологии виртуализации.
- b. Технология виртуализации представляет новые риски, которые не могут быть применены к другим технологиям, и которые необходимо оценивать при использовании виртуализации при работе с данными владельцев банковских карт.
- c. Реализация виртуальных технологий может значительно отличаться, и организациям нужно выполнить тщательное исследование для выявления и документирования уникальных характеристик их особого применения виртуализации, включая все взаимодействия с процессами перевода платежей и с данными платежных карт.
- d. Не существует единого метода или решения для настройки виртуализированных сред для удовлетворения требований стандарта PCI DSS. Конкретные средства управления и процедуры будут отличаться для каждой среды, в зависимости от того как выполнена и используется виртуализация.
1.1 Целевая аудитория
Этот информационный документ предназначен для оптовиков и поставщиков услуг, которые используют или рассматривают возможность использования технологий виртуализации в своей среде хранения данных о держателях карт (CDE). Это также может быть полезно для асессоров, рассматривающих среды с виртуализацией как часть оценки DSS.
Примечание: Этот документ предполагает наличие базового уровня понимания виртуализации, ее технологий и принципов. Тем не менее, требуется понимание архитектуры технологии виртуализации для оценки технического контроля в виртуализированных средах, так как характер этих сред, особенно в областях изоляции процесса и виртуальных сетей, может существенно отличаться от традиционных физических сред.
1.2 Область применения
Этот документ содержит дополнительные руководящие указания по использованию технологий виртуализации в средах по работе с данными владельцев банковских карт и не заменяет требований PCI DSS. Для конкретных критериев и требований в отношении ревизии, виртуализированные среды должны оцениваться на основе критериев, изложенных в PCI DSS.
Этот документ не предназначен как одобрение для каких-либо конкретных технологий, продуктов или услуг, а, скорее, как признание того, что эти технологии существуют, и могут оказывать влияние на безопасность с данными платежных карт.
2 Обзор виртуализации
2.1 Концепция и классы виртуализации
Виртуализация — это логическое отделение вычислительных ресурсов от физических ограничений. Одна из общих абстракций называется «виртуальная машина» или ВМ, которая берет содержимое физической машины и позволяет ему работать на разных физических аппаратных средствах и/или вместе с другими виртуальными машинами на одном физическом оборудовании. В дополнение к ВМ, виртуализация может быть выполнена на многих других вычислительных ресурсах, включая ОС, сети, память и системы хранения данных.
Термин «загруженность» все больше используется для описания большого количества виртуальных ресурсов. Например, виртуальная машина — это тип рабочей нагрузки (загруженности). В то время как виртуальные машины сегодня являются доминирующим способом применения технологии виртуализации, существует и ряд других рабочих нагрузок, включая прикладные системы, настольные ПК, сеть и виртуализированные модели хранения. Следующим типам виртуализации уделяется основное внимание в этом документе.
2.1.1 Операционная системаВиртуализация операционной системы (ОС) обычно используется чтобы брать ресурсы, запущенные на ОС на одном физическом сервере, и разделять их на несколько более маленьких разделов, таких как виртуальные среды, VPS, зоны, итп. При таком сценарии все разделы будут использовать ядро одной и той же ОС, но могут запускать разные библиотеки, дистрибутивы, итп.
Таким же образом виртуализация приложений разделяет индивидуальные инстанции приложения от основной операционной системы, предоставляя дискретные приложения — рабочую среду для каждого пользователя.
2.1.2 Оборудование / ПлатформаВиртуализация оборудования достигается за счет аппаратного разбиения или технологии гипервизора. Гипервизор устанавливает доступ к железу для ВМ, запущенных на физической платформе. Существует два типа виртуализации оборудования:
- Тип 1 Гипервизор – Гипервизор типа 1 (также известный как «родной» или «голый») — это фрагмент программного обеспечения или встроенной программы, который запускается непосредственно на оборудовании и отвечает за координацию доступа к аппаратным ресурсам, а также за хостинг и управление ВМ.
- Тип 2 Гипервизор – Гипервизор типа 2 (также известный как «размещенный») работает в качестве приложения на существующей операционной системе. Этот тип гипервизора эмулирует физические ресурсы, необходимые каждой виртуальной машине, и считается только другим приложением, так же, как и основная ОС.
2.1.3 СетьВиртуализация сети отличает логические сети от физических. Почти для каждого типа физических сетевых компонентов (например, свичей, маршрутизаторов, межсетевых экранов, систем предотвращения вторжений, средств балансировки нагрузки, и т.д.) существует логическая сторона, доступная в качестве виртуального прибора.
В отличие от других автономных хостов (например, сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»:
- Плоскость данных: Пересылает данные сообщений между узлами в сети.
- Плоскость управления: Управляет трафиком, сетевой информацией и информацией о маршрутизации; включая сообщение между сетевыми устройствами, связанное с топологией сети, состоянием и маршрутизацией.
- Плоскость управления: Обрабатывает сообщения, адресованные непосредственно самому устройству для целей управления устройством (например, для настройки, мониторинга и технического обслуживания).
2.1.4 Хранение данныхВиртуализированное хранение данных — когда совмещено несколько физических устройств хранения в сети и представлено как единое устройство для хранения. Эта консолидация данных обычно используется в памяти локальной сети (SAN).
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.
2.1.5 ПамятьВиртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.
2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.
2.2.1 ГипервизорГипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машинаВиртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.
2.2.3 Виртуальное устройствоВиртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.
2.2.4 Виртуальный свитч или роутерВиртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.
2.2.5 Виртуальные приложения и рабочие столыИндивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.
2.2.6 Вычисления в облаке
Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.
Таким же образом виртуализация приложений разделяет индивидуальные инстанции приложения от основной операционной системы, предоставляя дискретные приложения — рабочую среду для каждого пользователя.
2.1.2 Оборудование / ПлатформаВиртуализация оборудования достигается за счет аппаратного разбиения или технологии гипервизора. Гипервизор устанавливает доступ к железу для ВМ, запущенных на физической платформе. Существует два типа виртуализации оборудования:
- Тип 1 Гипервизор – Гипервизор типа 1 (также известный как «родной» или «голый») — это фрагмент программного обеспечения или встроенной программы, который запускается непосредственно на оборудовании и отвечает за координацию доступа к аппаратным ресурсам, а также за хостинг и управление ВМ.
- Тип 2 Гипервизор – Гипервизор типа 2 (также известный как «размещенный») работает в качестве приложения на существующей операционной системе. Этот тип гипервизора эмулирует физические ресурсы, необходимые каждой виртуальной машине, и считается только другим приложением, так же, как и основная ОС.
2.1.3 СетьВиртуализация сети отличает логические сети от физических. Почти для каждого типа физических сетевых компонентов (например, свичей, маршрутизаторов, межсетевых экранов, систем предотвращения вторжений, средств балансировки нагрузки, и т.д.) существует логическая сторона, доступная в качестве виртуального прибора.
В отличие от других автономных хостов (например, сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»:
- Плоскость данных: Пересылает данные сообщений между узлами в сети.
- Плоскость управления: Управляет трафиком, сетевой информацией и информацией о маршрутизации; включая сообщение между сетевыми устройствами, связанное с топологией сети, состоянием и маршрутизацией.
- Плоскость управления: Обрабатывает сообщения, адресованные непосредственно самому устройству для целей управления устройством (например, для настройки, мониторинга и технического обслуживания).
2.1.4 Хранение данныхВиртуализированное хранение данных — когда совмещено несколько физических устройств хранения в сети и представлено как единое устройство для хранения. Эта консолидация данных обычно используется в памяти локальной сети (SAN).
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.
2.1.5 ПамятьВиртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.
2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.
2.2.1 ГипервизорГипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машинаВиртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.
2.2.3 Виртуальное устройствоВиртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.
2.2.4 Виртуальный свитч или роутерВиртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.
2.2.5 Виртуальные приложения и рабочие столыИндивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.
2.2.6 Вычисления в облаке
Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.
- Тип 1 Гипервизор – Гипервизор типа 1 (также известный как «родной» или «голый») — это фрагмент программного обеспечения или встроенной программы, который запускается непосредственно на оборудовании и отвечает за координацию доступа к аппаратным ресурсам, а также за хостинг и управление ВМ.
- Тип 2 Гипервизор – Гипервизор типа 2 (также известный как «размещенный») работает в качестве приложения на существующей операционной системе. Этот тип гипервизора эмулирует физические ресурсы, необходимые каждой виртуальной машине, и считается только другим приложением, так же, как и основная ОС.
2.1.3 СетьВиртуализация сети отличает логические сети от физических. Почти для каждого типа физических сетевых компонентов (например, свичей, маршрутизаторов, межсетевых экранов, систем предотвращения вторжений, средств балансировки нагрузки, и т.д.) существует логическая сторона, доступная в качестве виртуального прибора.
В отличие от других автономных хостов (например, сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»:
- Плоскость данных: Пересылает данные сообщений между узлами в сети.
- Плоскость управления: Управляет трафиком, сетевой информацией и информацией о маршрутизации; включая сообщение между сетевыми устройствами, связанное с топологией сети, состоянием и маршрутизацией.
- Плоскость управления: Обрабатывает сообщения, адресованные непосредственно самому устройству для целей управления устройством (например, для настройки, мониторинга и технического обслуживания).
2.1.4 Хранение данныхВиртуализированное хранение данных — когда совмещено несколько физических устройств хранения в сети и представлено как единое устройство для хранения. Эта консолидация данных обычно используется в памяти локальной сети (SAN).
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.
2.1.5 ПамятьВиртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.
2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.
2.2.1 ГипервизорГипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машинаВиртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.
2.2.3 Виртуальное устройствоВиртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.
2.2.4 Виртуальный свитч или роутерВиртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.
2.2.5 Виртуальные приложения и рабочие столыИндивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.
2.2.6 Вычисления в облаке
Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.
В отличие от других автономных хостов (например, сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»:
- Плоскость данных: Пересылает данные сообщений между узлами в сети.
- Плоскость управления: Управляет трафиком, сетевой информацией и информацией о маршрутизации; включая сообщение между сетевыми устройствами, связанное с топологией сети, состоянием и маршрутизацией.
- Плоскость управления: Обрабатывает сообщения, адресованные непосредственно самому устройству для целей управления устройством (например, для настройки, мониторинга и технического обслуживания).
2.1.4 Хранение данныхВиртуализированное хранение данных — когда совмещено несколько физических устройств хранения в сети и представлено как единое устройство для хранения. Эта консолидация данных обычно используется в памяти локальной сети (SAN).
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.
2.1.5 ПамятьВиртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.
2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.
2.2.1 ГипервизорГипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машинаВиртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.
2.2.3 Виртуальное устройствоВиртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.
2.2.4 Виртуальный свитч или роутерВиртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.
2.2.5 Виртуальные приложения и рабочие столыИндивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.
2.2.6 Вычисления в облаке
Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.
2.1.5 ПамятьВиртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.
2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.
2.2.1 ГипервизорГипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.
Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.
2.2.2 Виртуальная машинаВиртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.
2.2.3 Виртуальное устройствоВиртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.
2.2.4 Виртуальный свитч или роутерВиртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.
2.2.5 Виртуальные приложения и рабочие столыИндивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.
2.2.6 Вычисления в облаке
Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.