geektimes

Руководство по виртуализации PCI DSS. Часть 1

  • четверг, 4 декабря 2014 г. в 02:11:54
http://habrahabr.ru/post/230965/

Стандарт: Стандарт безопасности данных PCI (PCI DSS)
Версия: 2.0
Дата: Июнь 2011
Автор: Специальная группа по Виртуализации Совет Стандартов Безопасности PCI
Дополнительная информация: Руководство по виртуализации PCI DSS

1 Введение


Виртуализация отделяет приложения, компьютеры, машины, сети, данные и сервисы от их физических ограничений. Виртуализация — это развивающееся понятие, охватывающее широкий круг технологий, инструментов и методов, которое может привести к значительным эксплуатационным преимуществам для организаций, которые решают использовать виртуализацию. Как и в любой развивающейся технологии, тем не менее, также по-прежнему продолжают развиваться и риски, которые зачастую менее понятны, чем риски, связанные с более традиционными технологиями.
Цель данного документа — предоставить руководство по вопросам использования виртуализации в соответствии со Стандартами Безопасности Данных в сфере платежных карт (PCI DSS). Для целей этого документа все ссылки приводятся на стандарт PCI DSS версии 2.0.
Существует четыре простых принципа, связанных с использованием виртуализации в средах с данными владельцев банковских карт:
  • a. Если технологии виртуализации используются в среде хранения данных о держателях карт, требования PCI DSS распространяются на эти технологии виртуализации.
  • b. Технология виртуализации представляет новые риски, которые не могут быть применены к другим технологиям, и которые необходимо оценивать при использовании виртуализации при работе с данными владельцев банковских карт.
  • c. Реализация виртуальных технологий может значительно отличаться, и организациям нужно выполнить тщательное исследование для выявления и документирования уникальных характеристик их особого применения виртуализации, включая все взаимодействия с процессами перевода платежей и с данными платежных карт.
  • d. Не существует единого метода или решения для настройки виртуализированных сред для удовлетворения требований стандарта PCI DSS. Конкретные средства управления и процедуры будут отличаться для каждой среды, в зависимости от того как выполнена и используется виртуализация.


1.1 Целевая аудитория

Этот информационный документ предназначен для оптовиков и поставщиков услуг, которые используют или рассматривают возможность использования технологий виртуализации в своей среде хранения данных о держателях карт (CDE). Это также может быть полезно для асессоров, рассматривающих среды с виртуализацией как часть оценки DSS.

Примечание: Этот документ предполагает наличие базового уровня понимания виртуализации, ее технологий и принципов. Тем не менее, требуется понимание архитектуры технологии виртуализации для оценки технического контроля в виртуализированных средах, так как характер этих сред, особенно в областях изоляции процесса и виртуальных сетей, может существенно отличаться от традиционных физических сред.

1.2 Область применения

Этот документ содержит дополнительные руководящие указания по использованию технологий виртуализации в средах по работе с данными владельцев банковских карт и не заменяет требований PCI DSS. Для конкретных критериев и требований в отношении ревизии, виртуализированные среды должны оцениваться на основе критериев, изложенных в PCI DSS.
Этот документ не предназначен как одобрение для каких-либо конкретных технологий, продуктов или услуг, а, скорее, как признание того, что эти технологии существуют, и могут оказывать влияние на безопасность с данными платежных карт.

2 Обзор виртуализации



2.1 Концепция и классы виртуализации

Виртуализация — это логическое отделение вычислительных ресурсов от физических ограничений. Одна из общих абстракций называется «виртуальная машина» или ВМ, которая берет содержимое физической машины и позволяет ему работать на разных физических аппаратных средствах и/или вместе с другими виртуальными машинами на одном физическом оборудовании. В дополнение к ВМ, виртуализация может быть выполнена на многих других вычислительных ресурсах, включая ОС, сети, память и системы хранения данных.
Термин «загруженность» все больше используется для описания большого количества виртуальных ресурсов. Например, виртуальная машина — это тип рабочей нагрузки (загруженности). В то время как виртуальные машины сегодня являются доминирующим способом применения технологии виртуализации, существует и ряд других рабочих нагрузок, включая прикладные системы, настольные ПК, сеть и виртуализированные модели хранения. Следующим типам виртуализации уделяется основное внимание в этом документе.

2.1.1 Операционная система
Виртуализация операционной системы (ОС) обычно используется чтобы брать ресурсы, запущенные на ОС на одном физическом сервере, и разделять их на несколько более маленьких разделов, таких как виртуальные среды, VPS, зоны, итп. При таком сценарии все разделы будут использовать ядро одной и той же ОС, но могут запускать разные библиотеки, дистрибутивы, итп.
Таким же образом виртуализация приложений разделяет индивидуальные инстанции приложения от основной операционной системы, предоставляя дискретные приложения — рабочую среду для каждого пользователя.

2.1.2 Оборудование / Платформа
Виртуализация оборудования достигается за счет аппаратного разбиения или технологии гипервизора. Гипервизор устанавливает доступ к железу для ВМ, запущенных на физической платформе. Существует два типа виртуализации оборудования:
  • Тип 1 Гипервизор – Гипервизор типа 1 (также известный как «родной» или «голый») — это фрагмент программного обеспечения или встроенной программы, который запускается непосредственно на оборудовании и отвечает за координацию доступа к аппаратным ресурсам, а также за хостинг и управление ВМ.
  • Тип 2 Гипервизор – Гипервизор типа 2 (также известный как «размещенный») работает в качестве приложения на существующей операционной системе. Этот тип гипервизора эмулирует физические ресурсы, необходимые каждой виртуальной машине, и считается только другим приложением, так же, как и основная ОС.


2.1.3 Сеть
Виртуализация сети отличает логические сети от физических. Почти для каждого типа физических сетевых компонентов (например, свичей, маршрутизаторов, межсетевых экранов, систем предотвращения вторжений, средств балансировки нагрузки, и т.д.) существует логическая сторона, доступная в качестве виртуального прибора.
В отличие от других автономных хостов (например, сервер, рабочая станция или другой тип системы), сетевые устройства работают в следующих логических «плоскостях»:
  • Плоскость данных: Пересылает данные сообщений между узлами в сети.
  • Плоскость управления: Управляет трафиком, сетевой информацией и информацией о маршрутизации; включая сообщение между сетевыми устройствами, связанное с топологией сети, состоянием и маршрутизацией.
  • Плоскость управления: Обрабатывает сообщения, адресованные непосредственно самому устройству для целей управления устройством (например, для настройки, мониторинга и технического обслуживания).


2.1.4 Хранение данных
Виртуализированное хранение данных — когда совмещено несколько физических устройств хранения в сети и представлено как единое устройство для хранения. Эта консолидация данных обычно используется в памяти локальной сети (SAN).
Один из плюсов виртуального хранения — сложность инфраструктуры хранения скрыта от глаз пользователей. Вместе с тем, это также представляет важную задачу для организаций, желающих задокументировать и управлять своими хранилищами данных, так как определенный набор данных может храниться в нескольких местоположениях одновременно.

2.1.5 Память
Виртуализация памяти заключается в консолидации физической памяти из нескольких отдельных систем для создания виртуализированного «пула» памяти, который затем делится между системными компонентами.
Аналогично виртуализированному хранению данных, объединение нескольких физических ресурсов памяти в один виртуальный ресурс может добавить уровни сложности в том, что касается маппинга и документирования местоположения данных.

2.2 Виртуальные системные компоненты и Руководство по определению сферы охвата
Этот раздел содержит некоторые из более общих виртуальных абстракций или компонентов виртуальной системы, которые могут присутствовать в множестве виртуальных сред, и предоставляет для каждого из них руководство по сфере охвата.
Обратите внимание, что определение задач, указанное в данном разделе, следует рассматривать как дополнительные к основному принципу, что PCI DSS распространяется на все компоненты системы, включая виртуализированные, включенные в или подключенные к среде данных о держателях карт. Определение того стоит ли рассматривать отдельный виртуальный компонент системы в сфере задач будет зависеть от конкретной технологии и того как она будет осуществляться в среде.

2.2.1 Гипервизор
Гипервизор — это ПО или встроенное ПО, отвечающее за хостинг и управление виртуальными машинами. Системный компонент гипервизора также может включать монитор виртуальных машин (VMM). VMM — это компонент программного обеспечения, который применяет и управляет аппаратной абстракцией ВМ и его можно рассматривать как управленческую функцию платформы гипервизора. VMM управляет системным процессором, памятью и другими ресурсами для выделения всего, что требует ОС каждой ВМ (также известная как «гость»). В некоторых случаях он обеспечивает эту функциональность в сочетании с аппаратной технологии виртуализации.
Сфера применения: Если какой-либо виртуальный компонент, подключенный к (или размещенный на) гипервизору находится в сфере PCI DSS, гипервизор сам по себе всегда будет входить в сферу действия. Для дополнительных указаний касательно наличия и входящих и не входящих в сферу охвата ВМ на одном и том же гипервизоре, смотрите раздел 4.2 Рекомендации для сред смешанного режима.

Примечание: Термин «смешанный режим» относится к конфигурации виртуализации, в которой и входящие, и не входящие в сферу охвата виртуальные компоненты запущены на одном и том же гипервизоре или хосте.

2.2.2 Виртуальная машина
Виртуальная машина (ВМ) — это независимая рабочая среда, которая ведет себя как отдельный компьютер. Она также известна как Гость и работает на гипервизоре.
Сфера применения: Целая ВМ будет входить в сферу действия, если она хранит, обрабатывает или передает данные о владельцах карт, либо если они подключается к или предоставляет точку входа в CDE. Если ВМ входит в сферу применения, то находящаяся в ее основе хост система и гипервизор тоже будут входить в сферу применения, так как они непосредственно подключены и имеют фундаментальное воздействие на функциональность и безопасность ВМ.

2.2.3 Виртуальное устройство
Виртуальные устройства могут быть описаны как упакованный образ программного обеспечения, предназначенный для использования внутри виртуальной машины. Каждое виртуальное устройство осуществляет определенную функцию, и обычно состоит из базовых компонентов операционной системы и одного приложения. Физические сетевые устройства, такие как роутеры, свитчи или межсетевые экраны можно виртуализировать и запускать как виртуальные устройства.
Виртуальное устройство безопасности (VSA или SVA) — виртуальное устройство, состоящее из укрепленной операционной системы и одного приложения. VSA, как правило, имеют более высокий уровень доверия, чем обычные виртуальные устройства (VA), включая привилегированный доступ к гипервизору и другим ресурсам. Для того чтобы VSA выполняла функции управления системой и сетью, у нее обычно повышенная видимость в гипервизоре и в любой из виртуальных сетей, запущенных на гипервизоре. Некоторые решения VSA можно подключать напрямую к гипервизору, предоставляя дополнительную безопасность всей платформе. Примеры аппаратных комплексов, которые имеют виртуальное применение, включают межсетевые экраны, IPD/IDS и антивирусы.
Сфера применения: Виртуальные устройства, используемые для подключения или для предоставления услуг системным компонентам, входящим в сферу применения, также считаются входящими в сферу применения. Любые VSA/SVA, которые могут оказывать влияние на CDE, тоже будут входить в сферу воздействия.

2.2.4 Виртуальный свитч или роутер
Виртуальный свитч или роутер — это программный компонент, который предоставляет функциональность роутинга и свитчинга данных на уровне сети. Виртуальный свитч часто является неотъемлемой частью платформы виртуализированного сервера — к примеру, как драйвер, модуль или плагин гипервизора. Виртуальный роутер может быть применен как отдельное виртуальное устройство, либо как компонент физического устройства. Дополнительно, виртуальные свитчи и роутеры можно использовать для генерации множественных устройств логической сети из единой физической платформы.
Сфера применения: Сети, настроенные на виртуальном свитче на основе гипервизора, будут входить в сферу охвата, если имеют входящий в сферу охвата компонент, или если они предоставляют услуги или подключены к входящему в сферу охвата компоненту. Физические устройства, на которых размещены виртуальные свитчи или роутеры, будут считаться входящими в сферу охвата, если любой из размещенных компонентов подключается к сети, входящей в сферу охвата.

2.2.5 Виртуальные приложения и рабочие столы
Индивидуальные приложения и настольные среды тоже можно виртуализировать, чтобы предоставить функциональность конечным пользователям. Виртуальные приложения и рабочие столы обычно устанавливаются в центральных местоположениях. К ним можно получить доступ через интерфейс удаленного рабочего стола. Виртуальные компьютеры можно настроить таким образом, чтобы разрешить доступ через несколько типов устройств, в том числе через тонкие клиенты и мобильные устройства, и могут работать, используя локальные или удаленные вычислительные ресурсы. Виртуальные приложения и компьютеры могут находиться в точке продажи, обслуживания клиентов, и в рамках других форм взаимодействия в цепочке оплаты.
Сфера применения: Виртуальные приложения и компьютеры будут входить в сферу охвата, если они вовлечены в процесс обработки, хранения или передачи данных владельцев банковских карт, или обеспечивают доступ к CDE. Если виртуальное приложение или рабочий стол выделяется на одном и том же физическом хосте или гипервизоре в качестве входящего в сферу компонента, виртуальное приложение/рабочий стол будет также входить в сферу охвата, если только не применена адекватная сегментация, которая изолирует все входящие в сферу охвата компоненты от не входящих. Дополнительные указания по наличию и входящих, и не входящих в сферу охвата компонентов на одном и том же хосте или гипервизоре, см. раздел 4.2 Рекомендации для сред смешанного режима.

2.2.6 Вычисления в облаке

Вычисления в облаке являются быстро развивающейся сферой использования виртуализации, которая предоставляет ресурсы для вычислений как сервис или утилиту через публичные, полу-публичные или частные инфраструктуры. Предложения облачных сервисов обычно предоставляются из пула или кластера подключенных систем и предоставляют доступ на основе сервиса к общим вычислительным ресурсам для нескольких пользователей, организаций или арендаторов.
Сфера применения: Использование облачных вычислений становится причиной некоторых проблем, нуждающихся в рассмотрении при определении границ. Организации, планирующие использовать облачные вычисления для своих PCI DSS сред, сначала должны убедиться в том, что они четко понимают подробности предлагаемых услуг, а также должны выполнить подробную оценку рисков, связанных с каждой услугой. Кроме того, как и в случае с любой управляемой услугой, крайне важно, чтобы организация и провайдер четко определили и задокументировали обязанности, возложенные на каждую из сторон для сохранения требования стандарта PCI DSS и любые другие меры, которые могут повлиять на безопасность данных владельцев банковских карт.
Поставщик облачного сервиса должен четко определить какие требования стандарта PCI DSS, компоненты системы и услуги покрываются его комплаенс-программой PCI DSS. Какие-либо аспекты обслуживания, не охватываемые провайдером облачных вычислений, должны быть определены и четко задокументировано в соглашении об обслуживании, что эти аспекты, компоненты системы и требования PCI DSS относятся к сфере ответственности заказывающей услуги хостинга организации. Провайдер облачного сервиса должен представить достаточные доказательства и заверения в том, что все процессы и компоненты под их контролем соответствуют требованиям PCI DSS.
Для получения дополнительного руководства по использованию облачных сред, см. Раздел 4.3 Рекомендации для сред облачных вычислений.