¿Ejecutar diferentes funciones en máquinas virtuales en el mismo servidor me haría compatible con el requisito 2.2.1 de PCI DSS?

0

Actualmente estoy cumpliendo con los requisitos de PCI DSS y me pregunté si la ejecución de diferentes funciones en máquinas virtuales en el mismo servidor todavía me hace compatible con el siguiente requisito para PCI DSS.

  

2.2.1 Implemente solo una función principal por servidor para evitar que las funciones que requieren diferentes niveles de seguridad coexistan en   el mismo servidor (Por ejemplo, servidores web, servidores de bases de datos y DNS   debe implementarse en servidores separados.)

Tengo un pequeño presentimiento de que la respuesta podría ser no.

    
pregunta Alex Probert 09.08.2017 - 11:37
fuente

2 respuestas

0

Respuesta corta, sí, pero vms agrega una capa adicional de complejidad.

Respuesta larga:

Un hipervisor crea una superficie de ataque adicional. No solo tiene que preocuparse por los riesgos tradicionales que existen en un entorno físico, sino que ahora tiene que preocuparse por el hipervisor en sí. Si está comprometido, todos los componentes del sistema están comprometidos. La mala configuración del hipervisor podría dar lugar a un único punto de falla / compromiso que ahora afecta a todas las máquinas virtuales en él. Por lo tanto, debe asegurarse de que (como mínimo) lo restrinja de acuerdo con el menor privilegio, "necesita saber" y asegurarse de que lo supervise (pero ese es otro problema porque la supervisión de VM no es tan madura como la tradicional ...)

Las capas adicionales de complejidad que resultan de tratar con una VM (especialmente si colocas un firewall virtual) te brindan más oportunidades de cometer un error.

También debe asegurarse de configurar las cuentas de usuario correctamente. Configurando mal los usuarios de la VM y permitiendo accidentalmente demasiados privilegios para un usuario determinado, (potencialmente) les da acceso a LOTS más que su simple error.

Luego debe preocuparse por las máquinas virtuales antiguas que están "apagadas" y sin usar. Apague y encienda la caja, y olvide que está configurado para iniciarse automáticamente y ha agregado una máquina a la red que no se está manteniendo.

Las instantáneas agregan otro problema. Claro, es bueno hacer una instantánea de una actualización para evitar que la actualización destruya todo el sistema, pero debe tener cuidado de administrarla adecuadamente para no dejar accidentalmente la información de la tarjeta de pago vulnerable en la instantánea.

La información también puede filtrarse entre los componentes, por lo que también debes protegerte de eso.

Y, por supuesto, el hipervisor en sí mismo es otra cosa que debe actualizarse, mantenerse y asegurarse de manera regular.

Por lo tanto, existe un compromiso entre la conveniencia de usar una caja de vm para alojar sus componentes y la complejidad y las tareas adicionales necesarias para mantenerlo seguro.

Entonces, larga conclusión: claro. Puedes hacerlo compatible con PCI. Solo se necesita un poco más de esfuerzo para lidiar con las complejidades.

    
respondido por el DrDamnit 09.08.2017 - 13:12
fuente
0

Si aún no lo ha hecho, debe leer las Pautas de virtualización de PCI DSS . Dicho esto, la sección 2.2.1 de PCI DSS 3.2 aborda claramente su inquietud, allí mismo, en la columna de requisitos:

  

Nota: donde las tecnologías de virtualización están en uso, implemente solo una   Función principal por componente del sistema virtual.

Lo traduciría como "Las máquinas virtuales son como servidores, se limitan a una función en cada una".

Dicho esto, hay otras inquietudes con respecto a la virtualización que debe conocer, y lo más importante (desde un punto de vista de Cumplimiento) del alcance. Para citar el documento de directrices de virtualización:

  

Una máquina virtual (VM) es un entorno operativo autónomo que   se comporta como una computadora separada. También es conocido como el "Invitado", y   se ejecuta sobre un hipervisor.

     

Orientación del alcance : una VM completa estará dentro del alcance si almacena, procesa o transmite datos del titular de la tarjeta, o si se conecta o   Proporciona un punto de entrada en el CDE. Si una VM está en el alcance, tanto la   sistema host subyacente y el hipervisor también se consideraría en   alcance, ya que están directamente conectados y tienen un impacto fundamental   sobre la funcionalidad y seguridad de la máquina virtual.

    
respondido por el gowenfawr 09.08.2017 - 14:03
fuente

Lea otras preguntas en las etiquetas