PCI DSS vs VMware part 2

В прошлый раз я попробовал описать свой взгляд и понимание стандарта безопасности PCI DSS. Сейчас постараюсь взглянуть на стандарт сквозь призму виртуализации.

Открываем стандарт, запускаем поиск, вбиваем virtualization  и получаем:


The PCI DSS security requirements apply to all system components. In the context of PCI DSS, ―system components are defined as any network component, server, or application that is included in or connected to the cardholder data environment. ―System components also include any virtualization components such as virtual machines, virtual switches/routers, virtual appliances, virtual applications/desktops, and hypervisors.

Where virtualization technologies are in use, implement only one primary function per virtual system component.
Это ровно два раза и совсем малоинформативно.


Вероятно, Payment Card Industry Security Standart Council понимая отставание требований описанных в стандарте от ситуации в IT примерно год назад дополнила требования PCI DSS выпустив замечательный документ - Information supplement: PCI DSS Virtualization Guidelines. Запускать поиск по этому документу бесполезно - весь документ о виртуализации. С документом разберемся позже, а теперь посмотрим, что есть по поводу безопасности у VMware:


В первую очередь это: VMware vSphere 5 Security Hardening Guide и vSphere Hardening Guide: 4.1 and 5.0 comparison., а также vSphere Security, который доступен кроме pdf в форматах mobi и epub.

У CIS тоже есть свое задокументированное мнение по этому поводу CIS VMware ESX Server 4 Benchmark v1.1.0, немного опаздывают с версией, но это все таки "другой" взгляд на безопасность.


Комментариев нет:

Отправить комментарий