服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 运行Xen的虚拟化服务器上​​的PCI DSS合规性
Intereting Posts
在多租户设置中通过EWS和MAPI交换自动发现 安装特定的更新并通过活动目录更改所有域用户的时区 从8.3-RELEASE到9.0-RELEASE的freebsd-update:如何处理数十个差异? 我如何创build一个Linux下的用户和一个X509'pem'文件来使用它们? Ubuntu 12.10似乎无法获得add-apt-repository 为什么syslog-ng在远程login时会抛出debugging消息? 关键问题 疑难解答shinken 这些结果是否适用于RAID 10中的4xSATA? 写入比读取更快? 无法让摩托罗拉MC3190与WiFi接入点相关联 为什么iptables不阻塞任何端口? 从非pipe理员用户重新启动服务 Apache2保持redirect 我可以在没有Apache的情况下在服务器上安装MRTG吗? 4服务器scheme的故障转移策略

运行Xen的虚拟化服务器上​​的PCI DSS合规性

我有一个服务器与HVM运行xen,并希望使一个VM PCI兼容。 我已经阅读了PCI虚拟化指南,并且说我需要确保虚拟机之间没有信息泄漏。 我怎样才能确保每个操作系统无法拦截其他DomU的数据?

我不是PCI专家,我强烈build议您咨询一下,但是这里是我对PCI虚拟化指南的理解:

与PCI合规性的所有方面一样,主要关心的是保护敏感数据(持卡人信息)。 就信息泄漏问题而言,似乎有三个主要方面出现:

  1. Information Leakage that lets you get access to the hypervisor's controls
    (networking的“控制平面或pipe理平面的泄漏”)。
    你可以通过保护虚拟机pipe理控制networking(可以让你在Xen中使用dom0)来确保:
    1. 您只能从授权networking访问pipe理IP。
    2. 无法从虚拟机访问pipe理IP(或者“没有授权的networking包含虚拟机”)。
  2. Information leakage between the VMs over the network.
    这是你典型的networking安全的东西:将networking隔离到适当的vLAN中,build立良好的防火墙规则,理想情况下使用IDS / IPS提醒你,如果有什么奇怪的事情发生。
  3. Information leakage through the hypervisor.
    这是最难量化的 – 特别是像Xen或者FreeBSD Jails这样的虚拟机pipe理程序,它们并没有一直模仿到“裸机”,而是在另一个可以访问所有虚拟机的dom0操作系统“内部”。
    您希望确保一台虚拟机无法访问另一台虚拟机中的数据。 在这样做的时候,你需要考虑虚拟机本身,但是你还需要关注虚拟机pipe理程序,确保在虚拟机之间没有任何复制数据,或者如果这样的事情确实存在,logging的原因和和软件的目的是防止泄漏,并仔细监控。

如何实施防止这些问题的机制可能是pipe理程序特定的 – 不幸的是,我对Xen不是很熟悉(我已经使用了它,但是我的大部分经验都是在VMWare中),所以我不能给你任何实际的在这方面的build议。