¿Docker es una forma de virtualización compatible con PCI DSS?

5

Estoy pensando en la gran cantidad de máquinas virtuales de "función única por servidor" que realmente no hacen nada en términos de memoria y CPU que conlleva la certificación PCI DSS, el servidor NTP, la autenticación central, el DNS, el host de salto, el sistema operativo local. paquetes repos etc etc,

¿se pueden resumir en una caja de VMWare con un montón de contenedores? De manera muy análoga, ¿se pueden comprimir un montón de cajas VMWare en un solo hipervisor?

Sé que esto podría terminar profundamente "en el ojo del observador / QSA", pero espero descubrir que "no, porque ..." o "sí, lo he hecho "tipo de respuesta. Además, "no veo por qué no" de alguien que está profundamente en la ventana acoplable y con experiencia PCI también sería bueno ^ _ ^

ACTUALIZACIÓN 1, documentos de seguridad de Docker

pregunta bbozo 19.01.2017 - 11:22
fuente

1 respuesta

7

Una auto-respuesta después de una conversación en el #docker IRC,

PCI DSS v3.2 no indica nada sobre el tipo de virtualización que se requiere, nada indica que debe usar hardware en lugar de virtualización a nivel de sistema operativo (alguien me corrige si me equivoco).

Sin embargo, la virtualización tradicional (HW) es una pieza relativamente simple de código ~ 100k LOC (supuestamente) que es asistida por hardware y depende en gran medida del sistema operativo invitado para hacer la mayor parte del trabajo pesado.

La virtualización a nivel del sistema operativo reutiliza el espacio del kernel entre las máquinas virtuales, y el kernel es un mucho pedazo de código más complicado, dejando una superficie de ataque MUCHO más grande, básicamente lo mismo que hace que la ventana acoplable sea super Es agradable apilar un montón de máquinas virtuales con recursos limitados en un poco de memoria, lo que lo hace menos útil para el caso de uso de PCI DSS: la reutilización del kernel.

Entonces, aunque no hay nada sobre PCI DSS en el momento que le impide usar la virtualización a nivel de sistema operativo, como lo que proporciona Docker y probablemente pasaría el examen por parte de la mayoría de los QSA, siente como debería estar prohibido ya que te deja con una arquitectura más vulnerable.

Nuevamente, muchas personas utilizan y certifican con éxito los HSM basados en software para almacenar sus claves (JCEKS y otras cosas), aunque sienta que debería estar prohibido.

Supongo que la respuesta a mi pregunta sería "sí, podrías hacerlo, probablemente aprobaría la certificación, pero probablemente no deberías hacerlo" .

Convo completo del #docker irc channel

    
respondido por el bbozo 19.01.2017 - 13:09
fuente

Lea otras preguntas en las etiquetas