我已经就信息安全问题提出过这个问题,但到目前为止还没有得到任何意见。 我想也许这是更多的服务器基础设施和configuration问题,而不是本身的安全问题。
所以我会尽量简短一点:
我们符合PCI-DSS 2.0标准。 PCI-DSS具有范围内和范围外的系统/stream程/数据/基础设施等概念。在PCI-DSS审计过程中,范围内正在审查中,超出范围被认为是不可信的,且防火墙网段应该分开两个范围。
因此,如果您尝试将范围内和范围之外的系统混合在一起,那么在这个虚拟环境中,PCI-DSS委员会发布了关于混合范围的准则。 他们指出:
同一主机上的范围内和范围外系统所需的分割级别必须等同于物理世界中可实现的隔离级别; 也就是说,分段必须确保超出范围的工作负载或组件不能用于访问范围内的组件。 与单独的物理系统不同,单独的基于networking的分段无法在范围内与虚拟环境中的范围外组件隔离。
因此,我的问题是, 是否有可能对运行在ESXi 5.5上的虚拟机进行细分,使细分满足上述指南中列出的标准?
指导方针是非常具有说服力的,事实上他们继续说:
虚拟组件的分割还必须应用于所有虚拟通信机制,包括pipe理程序和底层主机,以及任何其他公共或共享组件。 在虚拟环境中,通常可以通过特定于解决scheme的通信机制,或通过使用诸如文件系统,处理器,易失性和非易失性存储器,设备驱动程序,硬件设备,API等共享资源来进行带外通信, 等等。
方法我想过:
但其他领域我坚持包括如何分割处理器,RAM等
如果您有兴趣,可以在这里find完整的PCI-DSS虚拟化指南。
谢谢阅读。
更新21/11/2014:这里的文档已经传递给我,我会阅读和消化。 它看起来像一个有用的标题:“PCI-DSS合规性和VMWare”。
我也看到了你在你的问题中链接的文件 。 不幸的是,当VMware开始推出他们的vClouddevise和安全模块时,它就会崩溃。
你能介绍一下你的 vSphere环境吗? 具体来说,我想了解vSphere基础架构的许可证层和高级devise( 例如,运行vSphere Essentials Plus的3主机群集和iSCSI SAN )。此信息将有助于指导正确的解决scheme。
一般来说,我可以说: