Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

Руководство по виртуализации PCI DSS. Часть 2
Руководство по виртуализации PCI DSS. Часть 3

1 Введение

Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:

• a. Если технологии виртуализации используются в среде хранения данных о держателях карт, требования PCI DSS распространяются на эти технологии виртуализации.
• b. Технология виртуализации представляет новые риски, которые не могут быть применены к другим технологиям, и которые необходимо оценивать при использовании виртуализации при работе с данными владельцев банковских карт.
• c. Реализация виртуальных технологий может значительно отличаться, и организациям нужно выполнить тщательное исследование для выявления и документирования уникальных характеристик их особого применения виртуализации, включая все взаимодействия с процессами перевода платежей и с данными платежных карт.
• d. Не существует единого метода или решения для настройки виртуализированных сред для удовлетворения требований стандарта PCI DSS. Конкретные средства управления и процедуры будут отличаться для каждой среды, в зависимости от того как выполнена и используется виртуализация.

Продолжение перевода статьи «Virtualization Security» за авторством Terry Komperda.

Безопасность Виртуализации. Часть 1

7. РЕКОМЕНДАЦИИ И ОПТИМАЛЬНЫЕ МЕТОДЫ ПО БЕЗОПАСНОЙ ВИРТУАЛИЗАЦИИ

7.1 Доступ Администратора и Разделение Обязанностей

• Предоставьте администраторам серверов права на включение/выключение только своего сервера.
• Возможно вы захотите дать администраторам права на развертывание новых ВМ, а не на редактирование уже существующих виртуальных машин. Другие администраторы, в свою очередь, будут иметь права только на изменение уже существующих ВМ, а не на создание новых.
• Отдельная аутентификация должна присутствовать для каждой гостевой ОС, если только нет веских оснований, чтобы два или более гостей могли использовать одни и те же данные.
• Это может показаться противоречащим общей мысли, но чем больше среда, тем проще разделять права по функциям. Один администратор не может одновременно управлять и хранением, и доменами, и виртуализированной инфраструктурой и сетями.

Перевод статьи «Virtualization Security» за авторством Terry Komperda.

Безопасность Виртуализации. Часть 2

1. КРАТКИЙ ОБЗОР

За короткое время виртуализация оказала огромное влияние на сферу IT и сетевые технологии, она уже поспособствовала огромной экономии затрат и окупаемости вложений для дата-центров, предприятий и Облака. Что кажется менее значительным и сильно отстает от реальности — это понимание виртуализации и виртуализированных сред с точки зрения безопасности. Некоторые люди считают, что виртуализация является более безопасной, чем традиционные среды, так как они слышали об изоляция между виртуальными машинами (ВМ) и потому что они раньше не слышали о каких-либо успешных атаках на гипервизоры. Другие считают, что новые виртуальные среды нуждаются в безопасности так же, как традиционные физические среды, поэтому применяют тот же многолетний подход к безопасности. Наиболее важным фактором является то, что новая среда более сложная. Виртуальные подходы, добавленные к уже существующим сетям, создают новую сеть, которая требует иного подхода к безопасности. Помимо обычных мер следует применять и специальные меры безопасности для виртуализации. В этом документе мы рассмотрим различия, проблемы, трудности, риски, вызванные применением виртуализации, а также предоставим дельные рекомендации и практические советы, чтобы убедиться, что после применения виртуализации сеть останется такой же защищенной.

2. ВВЕДЕНИЕ

Виртуализация развивается и планирует задержаться здесь надолго. Хотя ее концепция известна уже более пятидесяти лет, эта технология будет по-прежнему расти и совершенствоваться в сферах, существующих повсеместно и планирующих развивать себя и дальше. Более того, половина всех серверов сегодня работают на Виртуальных Машинах. IDC предсказывает, что 70% всех рабочих нагрузок будет работать и на ВМ к 2014 году. Что действительно должно идти в ногу с технологическим прогрессом из-за широкомасштабного применения — это обеспечение безопасности компонентов виртуализации и виртуальных сред. Давайте рассмотрим некоторые выгоды в плане безопасности, существующие благодаря использованию виртуализации.

Статья является переводом двух статей AJ Cruz:
Nexus 1000v Part 1 of 2 (Theory)
Nexus 1000v Part 2 of 2 (Installation & Operation)

Частично пересекается со статьями:
Установка Nexus 1000V на vSphere 5.1 (Часть первая)
Установка Nexus 1000V на vSphere 5.1 (Часть вторая)
Но там другой стиль изложения и другие особенности, например установка VEM в ядро гипервизора через VMware Update Manager.

Nexus 1000v Часть 1 из 2 (Теория)
Это будет первая из двух публикаций о моем исследовании свича Nexus 1000v.
Здесь я расскажу о теории Nexus 1000v. А во второй части опишу установку и эксплуатацию.

В то время как я буду продолжать свой пост, я могу упоминать различную терминологию, которая нуждается в определении. Поэтому я сразу обозначу некоторые термины:

• vDS
• vSphere Distributed Switch (vSphere Распределенный Свич)
• Virtual Distributed Switch (Виртуальный Распределенный Свич)
• DVS
• Distributed Virtual Switch (Распределенный Свич)

Все вышеуказанное — это как vSphere Distributed Switch обычно упоминается в интернете и в разного рода документации.
Они все означают одно и то же и относятся к виртуальному свичу в целом.
Cisco Nexus 1000v — это один из вариантов реализации vDS. vSphere также имеет встроенный vDS, с которым у меня не много опыта в обращении.