Комментарии 14
Зачем это здесь? Стандарт версии 3.0 найти в сети не проблема…
Вы имеете ввиду это: www.pcisecuritystandards.org/documents/PCI_DSS_v3_05Nov13_Final_RU-RU.PDF?
Да, это. При сертификации специалисты работают напрямую с первоисточником, это единственное, что является авторитетом для аудиторов. Любительский перевод при прохождении сертификации никто всерьез воспринимать не будет. А почитать на досуге — сомнительное удовольствие, ничего сильно увлекательного имхо в этих документах нет.
Это разные документы. На хабре перевод PCI DSS Virtualization Guidelines
Самое интересное они в разделе «2.2.6 Вычисления в облаке» не пишут:
как использовать HSM в облаке?
как использовать HSM в облаке?
Начиная с 8000-го все Thales работают по TCP/IP. В private VLAN его и порядок.
Но, сегодня на хост-машине наша виртуалка работает, завтра — другая.
И получается, что к HSM имеют доступ все.
Плюс, как отследить в облаке, что расшифрованные карточные данные передаются по защищенному каналу.
И получается, что к HSM имеют доступ все.
Плюс, как отследить в облаке, что расшифрованные карточные данные передаются по защищенному каналу.
Наша виртуалка работает в нашем private vlan, чужая виртуалка — в своем. Если оператор облака создает чужие клиентские машины в частном vlan — это прямое нарушение контракта. Между хостами траффик можно дополнительно шифровать, c HSM, конечно, фокус не пройдет, по крайней мере с восьмитысячниками, что поновее, возможно, уже поддерживает SSL/TLS.
Правильно ли я понимаю, что в этом случае вся хост-машина оказывается в одной private vlan и тогда легче арендовать выделенный сервер и на нем размещать свои виртуалки.
В терминологии vSphere хост-машина имеет доступ к транковому порту с тегированным траффиком, через distributed switch создаются port group на каждый vlan, виртуальной машине назначается ее port group(vlan) на каждый ее ethernet контроллер, возможность назначить чужой vlan ограничивается правами доступа. Полную админку на хост-машину клиент не получает.
Получается, что хост-машина выполняет сразу две роли:
1. Firewall уровня L2
2. Хост-машина для виртуалок
А по правилам должна выполнять только одну роль.
К тому же, физически host-машина будет входить в разные зоны: зона с хранением карточных данных, зона без передачи карточных данных и др. И при уязвимости хост-машины открывает доступ сразу к нескольким зонам и к HSM.
1. Firewall уровня L2
2. Хост-машина для виртуалок
А по правилам должна выполнять только одну роль.
К тому же, физически host-машина будет входить в разные зоны: зона с хранением карточных данных, зона без передачи карточных данных и др. И при уязвимости хост-машины открывает доступ сразу к нескольким зонам и к HSM.
Я бы не стал говорить, что хост машина это «Firewall уровня L2», так можно любую железку с более чем одним сетевым интерфейсом в разных vlan назвать файрволом. У аудиторов, по крайней мере, претензий таких не было.
Что же касается возможной уязвимости хост-машины, то она входит в сегмент сети, имеющий настройки безопасности как минимум не ниже, чем для любой из виртуальных машин, которые на ней размещены. Да и размещение машин, относящихся к разным зонам, лучше делать на разных хост-машинах, а еще лучше — на разных кластерах.
Что же касается возможной уязвимости хост-машины, то она входит в сегмент сети, имеющий настройки безопасности как минимум не ниже, чем для любой из виртуальных машин, которые на ней размещены. Да и размещение машин, относящихся к разным зонам, лучше делать на разных хост-машинах, а еще лучше — на разных кластерах.
Да, это больше похоже не на firewall, а на switch.
Полностью согласен, что нельзя смешивать зоны c разными уровнями на одной host-машине.
В документе несколько раз об этом упоминается.
А также нельзя недоверенные компоненты располагать на одной хост-машине. К недоверенным могут относится виртуальные машины других клиентов.
Тогда это уже не назовешь облаком.
Нужно ставить для каждой зоны отдельную host-машину или кластер.
Да еще и только для одного клиента.
Полностью согласен, что нельзя смешивать зоны c разными уровнями на одной host-машине.
В документе несколько раз об этом упоминается.
А также нельзя недоверенные компоненты располагать на одной хост-машине. К недоверенным могут относится виртуальные машины других клиентов.
Тогда это уже не назовешь облаком.
Нужно ставить для каждой зоны отдельную host-машину или кластер.
Да еще и только для одного клиента.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Руководство по виртуализации PCI DSS. Часть 1