PCI DSS-Virtualisierungshandbuch. Teil 1

Ursprünglicher Autor: Virtualization Special Interest Group, Rat für PCI-Sicherheitsstandards
  • Übersetzung
Standard: PCI-Datensicherheitsstandard (PCI DSS)
Version: 2.0
Datum: Juni 2011
Erstellt von: Task Force "Virtualisierung" PCI-Sicherheitsstandardrat PCI
Zusätzliche Informationen: PCI DSS-

Virtualisierungshandbuch PCI DSS-Virtualisierungshandbuch. Teil 2
PCI DSS-Virtualisierungshandbuch. Teil 3

1 Einleitung


Die Virtualisierung trennt Anwendungen, Computer, Maschinen, Netzwerke, Daten und Dienste von ihren physischen Einschränkungen. Virtualisierung ist ein sich weiterentwickelndes Konzept, das eine breite Palette von Technologien, Tools und Methoden umfasst, die Unternehmen, die sich für die Verwendung von Virtualisierung entscheiden, erhebliche betriebliche Vorteile bringen können. Wie bei jeder sich entwickelnden Technologie entwickeln sich jedoch auch weiterhin Risiken, die oft weniger klar sind als die Risiken, die mit traditionelleren Technologien verbunden sind.
In diesem Dokument werden Anleitungen zur Verwendung der Virtualisierung gemäß den PCI DSS- Standards (Payment Card Data Security Standards ) bereitgestellt . Für die Zwecke dieses Dokuments wird auf den PCI-DSS- Standard verwiesen .Version 2.0.
Es gibt vier einfache Prinzipien für die Verwendung der Virtualisierung in Umgebungen mit Bankkarteninhaberdaten:
  • a. Wenn Virtualisierungstechnologien in einer Karteninhaberspeicherumgebung verwendet werden, gelten für diese Virtualisierungstechnologien PCI-DSS- Anforderungen .
  • b. Die Virtualisierungstechnologie birgt neue Risiken, die nicht auf andere Technologien übertragen werden können und die bei der Verwendung der Virtualisierung bei der Arbeit mit Bankkarteninhaberdaten bewertet werden müssen.
  • c. Die Implementierung virtueller Technologien kann erheblich variieren, und Unternehmen müssen gründliche Nachforschungen anstellen, um die einzigartigen Merkmale ihrer jeweiligen Virtualisierungsanwendung zu identifizieren und zu dokumentieren, einschließlich aller Interaktionen mit Zahlungsübertragungsprozessen und Zahlungskartendaten.
  • d. Es gibt keine einzige Methode oder Lösung, um virtualisierte Umgebungen so zu konfigurieren, dass sie den PCI-DSS- Anforderungen entsprechen . Die spezifischen Steuerelemente und Verfahren variieren für jede Umgebung, je nachdem, wie die Virtualisierung implementiert und verwendet wird.


1.1 Zielgruppe

Dieses Whitepaper richtet sich an Großhändler und Dienstleister, die Virtualisierungstechnologien in ihrer CDE- Umgebung ( Cardholder Data Storage ) einsetzen oder in Betracht ziehen . Dies kann auch für Prüfer nützlich sein, die Virtualisierungsumgebungen als Teil ihrer DSS- Bewertung berücksichtigen .

Hinweis : In diesem Dokument wird ein grundlegendes Verständnis der Virtualisierung, ihrer Technologien und Prinzipien vorausgesetzt. Dennoch ist ein Verständnis der Architektur der Virtualisierungstechnologie erforderlich, um die technische Steuerung in virtualisierten Umgebungen zu bewerten, da sich die Art dieser Umgebungen, insbesondere in den Bereichen Prozessisolierung und virtuelle Netzwerke, erheblich von herkömmlichen physischen Umgebungen unterscheiden kann.

1.2 Geltungsbereich

Dieses Dokument enthält zusätzliche Anleitungen zur Verwendung von Virtualisierungstechnologien in Umgebungen mit Bankkarteninhaberdaten und ersetzt nicht die PCI-DSS- Anforderungen . Für bestimmte Prüfkriterien und -anforderungen sollten virtualisierte Umgebungen anhand der in PCI DSS beschriebenen Kriterien bewertet werden .
Dieses Dokument ist nicht als Werbung für eine bestimmte Technologie, ein bestimmtes Produkt oder eine bestimmte Dienstleistung gedacht, sondern als Bestätigung, dass diese Technologien existieren und sich auf die Sicherheit von Zahlungskartendaten auswirken können.

2 Virtualisierungsübersicht



2.1 Konzept- und Virtualisierungsklassen

Virtualisierung ist die logische Trennung von Computerressourcen von physischen Einschränkungen. Eine der gebräuchlichen Abstraktionen wird als „virtuelle Maschine“ oder VM bezeichnet, die den Inhalt einer physischen Maschine übernimmt und die Ausführung auf unterschiedlicher physischer Hardware und / oder zusammen mit anderen virtuellen Maschinen auf derselben physischen Ausrüstung ermöglicht. Zusätzlich zu VMs kann die Virtualisierung auf vielen anderen Computerressourcen ausgeführt werden, einschließlich Betriebssystem, Netzwerken, Speicher und Speichersystemen.
Der Begriff "Arbeitslast" wird zunehmend verwendet, um eine große Anzahl virtueller Ressourcen zu beschreiben. Eine virtuelle Maschine ist beispielsweise eine Art Arbeitslast (Workload). Während virtuelle Maschinen heute die vorherrschende Methode zur Anwendung der Virtualisierungstechnologie sind, gibt es eine Reihe anderer Workloads, darunter Anwendungssysteme, Desktop-PCs, das Netzwerk und virtualisierte Speichermodelle. Die folgenden Arten der Virtualisierung stehen im Mittelpunkt dieses Dokuments.

2.1.1 Betriebssystem
Die Virtualisierung des Betriebssystems (OS) wird normalerweise verwendet, um Ressourcen, die auf dem Betriebssystem auf einem physischen Server ausgeführt werden, in mehrere kleinere Abschnitte wie virtuelle Umgebungen, VPS , Zonen usw. zu unterteilen. In diesem Szenario verwenden alle Partitionen den Kernel desselben Betriebssystems, können jedoch unterschiedliche Bibliotheken, Distributionen usw. ausführen.
Ebenso trennt die Anwendungsvirtualisierung einzelne Anwendungsinstanzen vom Hauptbetriebssystem und stellt diskrete Anwendungen bereit - eine Arbeitsumgebung für jeden Benutzer.

2.1.2 Ausrüstung / Plattform
Die Virtualisierung der Geräte erfolgt durch Hardware-Partitionierung oder Hypervisor-Technologie. Der Hypervisor richtet den Zugriff auf Hardware für VMs ein, die auf einer physischen Plattform ausgeführt werden. Es gibt zwei Arten der Hardware-Virtualisierung:
  • Typ 1-Hypervisor - Ein Typ 1-Hypervisor (auch als "nativ" oder "nackt" bezeichnet) ist eine Software oder Firmware, die direkt auf dem Gerät ausgeführt wird und für die Koordination des Zugriffs auf Hardwareressourcen sowie für das Hosten und Verwalten der VM verantwortlich ist.
  • Typ 2-Hypervisor - Ein Typ 2-Hypervisor (auch als "gehostet" bezeichnet) funktioniert als Anwendung auf einem vorhandenen Betriebssystem. Dieser Hypervisortyp emuliert die von jeder virtuellen Maschine benötigten physischen Ressourcen und wird wie das Hauptbetriebssystem nur von einer anderen Anwendung berücksichtigt.


2.1.3 Netzwerk
Die Netzwerkvirtualisierung unterscheidet logische von physischen Netzwerken. Für nahezu alle Arten von physischen Netzwerkkomponenten (z. B. Switches, Router, Firewalls, Intrusion Prevention-Systeme, Load Balancer usw.) steht eine logische Seite als virtuelle Appliance zur Verfügung.
Im Gegensatz zu anderen eigenständigen Hosts (z. B. einem Server, einer Workstation oder einem anderen Systemtyp) arbeiten Netzwerkgeräte in den folgenden logischen Ebenen:
  • Datenebene: Leitet Nachrichtendaten zwischen Knoten in einem Netzwerk weiter.
  • Management-Ebene: Verwaltet Datenverkehr, Netzwerkinformationen und Routing-Informationen. einschließlich der Kommunikation zwischen Netzwerkgeräten in Bezug auf Netzwerktopologie, -status und -routing.
  • Steuerebene: Verarbeitet Nachrichten, die zu Zwecken der Geräteverwaltung direkt an das Gerät selbst gerichtet sind (z. B. zur Konfiguration, Überwachung und Wartung).


2.1.4 Datenspeicherung
Virtualisierte Datenspeicherung - wenn mehrere physische Speichergeräte in einem Netzwerk kombiniert und als ein einziges Speichergerät dargestellt werden. Diese Datenkonsolidierung wird normalerweise im SAN- Speicher (Local Area Network ) verwendet .
Ein Vorteil des virtuellen Speichers besteht darin, dass die Komplexität der Speicherinfrastruktur vor den Augen der Benutzer verborgen bleibt. Dies ist jedoch auch eine wichtige Aufgabe für Unternehmen, die ihre Data Warehouses dokumentieren und verwalten möchten, da ein bestimmter Datensatz gleichzeitig an mehreren Orten gespeichert werden kann.

2.1.5 Speicher
Die Speichervirtualisierung besteht aus der Konsolidierung des physischen Speichers mehrerer getrennter Systeme, um einen virtualisierten „Speicherpool“ zu erstellen, der dann von den Systemkomponenten gemeinsam genutzt wird.
Ähnlich wie bei der virtualisierten Datenspeicherung kann die Kombination mehrerer physischer Speicherressourcen zu einer virtuellen Ressource zu einer höheren Komplexität bei der Zuordnung und Dokumentation des Speicherorts von Daten führen.

2.2 Komponenten des virtuellen Systems und Richtlinien zum Gültigkeitsbereich
Dieser Abschnitt enthält einige der allgemeineren virtuellen Abstraktionen oder Komponenten des virtuellen Systems, die in vielen virtuellen Umgebungen vorhanden sein können, und bietet Richtlinien zum Gültigkeitsbereich.
Bitte beachten Sie, dass die in diesem Abschnitt angegebene Definition von Aufgaben als Ergänzung des Grundprinzips betrachtet werden sollte, dass PCI DSS für alle Komponenten des Systems gilt, einschließlich virtualisierter, in die Umgebungsdaten der Karteninhaber integrierter oder damit verbundener Daten. Die Entscheidung, ob eine separate virtuelle Komponente des Systems im Aufgabenbereich berücksichtigt werden soll, hängt von der spezifischen Technologie ab und davon, wie sie in der Umgebung implementiert wird.

2.2.1 Hypervisor
Ein Hypervisor ist eine Software oder Firmware, die für das Hosten und Verwalten von virtuellen Maschinen verantwortlich ist. Die Systemkomponente des Hypervisors kann auch einen Virtual Machine Monitor ( VMM ) enthalten. VMM ist eine Softwarekomponente, die die VM-Hardwareabstraktion anwendet und verwaltet und als Verwaltungsfunktion der Hypervisor-Plattform betrachtet werden kann. VMM verwaltet den Systemprozessor, den Arbeitsspeicher und andere Ressourcen, um alles zuzuweisen, was das Betriebssystem jeder VM erfordert (auch als "Gast" bezeichnet). In einigen Fällen wird diese Funktionalität in Kombination mit der Hardware-Virtualisierungstechnologie bereitgestellt.
Geltungsbereich: Wenn eine virtuelle Komponente mit dem Hypervisor verbunden ist (oder auf ihm gehostet wird), befindet sie sich im GeltungsbereichPCI DSS , der Hypervisor selbst, ist immer im Geltungsbereich. Weitere Anleitungen zum Vorhandensein von eingehenden und ausgehenden VMs auf demselben Hypervisor finden Sie in Abschnitt 4.2, Empfehlungen für Umgebungen im gemischten Modus.

Hinweis: Der Begriff „gemischter Modus“ bezieht sich auf eine Virtualisierungskonfiguration, bei der sowohl eingehende als auch nicht im Bereich befindliche virtuelle Komponenten auf demselben Hypervisor oder Host ausgeführt werden.

2.2.2 virtuelle Maschine
Eine virtuelle Maschine (VM) ist eine unabhängige Arbeitsumgebung, die sich wie ein separater Computer verhält. Sie ist auch als Gast bekannt und arbeitet am Hypervisor.
Bereich: Eine gesamte VM wird in den Bereich aufgenommen, wenn sie Daten über die Karteninhaber speichert, verarbeitet oder überträgt oder wenn sie eine Verbindung zum CDE herstellt oder einen Einstiegspunkt für das CDE bereitstellt . Befindet sich eine VM im Geltungsbereich, werden das Hostsystem und der darauf basierende Hypervisor ebenfalls in den Geltungsbereich aufgenommen, da sie direkt verbunden sind und grundlegende Auswirkungen auf die Funktionalität und Sicherheit der VM haben.

2.2.3 Virtuelles Gerät
Virtuelle Geräte können als gepacktes Software-Image zur Verwendung in einer virtuellen Maschine beschrieben werden. Jedes virtuelle Gerät führt eine bestimmte Funktion aus und besteht normalerweise aus den Grundkomponenten des Betriebssystems und einer Anwendung. Physische Netzwerkgeräte wie Router, Switches oder Firewalls können virtualisiert und als virtuelle Geräte ausgeführt werden.
Virtual Security Appliance ( VSA oder SVA ) - Eine virtuelle Appliance, die aus einem gehärteten Betriebssystem und einer Anwendung besteht. VSAs verfügen in der Regel über ein höheres Vertrauensniveau als herkömmliche virtuelle Geräte ( VA), einschließlich des privilegierten Zugriffs auf den Hypervisor und andere Ressourcen. Damit VSA System- und Netzwerkverwaltungsfunktionen ausführen kann, ist die Sichtbarkeit im Hypervisor und in allen auf dem Hypervisor ausgeführten virtuellen Netzwerken in der Regel erhöht. Einige VSA- Lösungen können direkt mit dem Hypervisor verbunden werden und bieten zusätzliche Sicherheit für die gesamte Plattform. Beispiele für Hardwaresysteme mit virtuellen Anwendungen sind Firewalls, IPD / IDS und Antivirenprogramme.
Geltungsbereich: Virtuelle Geräte, die zum Verbinden oder Bereitstellen von Diensten für Systemkomponenten verwendet werden, die im Geltungsbereich der Anwendung liegen, gelten ebenfalls als im Geltungsbereich der Anwendung befindlich. Beliebige VSA / SVADies kann sich auch auf CDE auswirken .

2.2.4 Virtueller Switch oder Router
Ein virtueller Switch oder Router ist eine Softwarekomponente, die Funktionen zum Weiterleiten und Umschalten von Daten auf Netzwerkebene bereitstellt. Ein virtueller Switch ist häufig ein integraler Bestandteil einer virtualisierten Serverplattform - beispielsweise als Treiber-, Modul- oder Hypervisor-Plug-In. Ein virtueller Router kann als separates virtuelles Gerät oder als Komponente eines physischen Geräts verwendet werden. Darüber hinaus können virtuelle Switches und Router verwendet werden, um mehrere logische Netzwerkgeräte von einer einzigen physischen Plattform aus zu generieren.
Anwendungsbereich:Auf einem virtuellen Hypervisor-basierten Switch konfigurierte Netzwerke werden in den Bereich aufgenommen, wenn sich eine Komponente im Bereich befindet oder wenn sie Dienste bereitstellen oder mit einer Komponente im Bereich verbunden sind. Physische Geräte, die virtuelle Switches oder Router hosten, werden als in den Geltungsbereich einbezogen, wenn eine der gehosteten Komponenten eine Verbindung zu einem Netzwerk im Geltungsbereich herstellt.

2.2.5 Virtuelle Anwendungen und Desktops
Einzelne Anwendungen und Desktop-Umgebungen können auch virtualisiert werden, um Endbenutzern Funktionen bereitzustellen. Virtuelle Anwendungen und Desktops werden normalerweise an zentralen Orten installiert. Sie können über die Remote-Desktop-Oberfläche aufgerufen werden. Virtuelle Computer können so konfiguriert werden, dass der Zugriff über verschiedene Arten von Geräten möglich ist, einschließlich Thin Clients und Mobilgeräten. Sie können auch lokale oder Remote-Computerressourcen verwenden. Virtuelle Anwendungen und Computer können sich am Point of Sale, im Kundenservice und in anderen Formen der Interaktion in der Zahlungskette befinden.
Anwendungsbereich:Virtuelle Anwendungen und Computer werden erfasst, wenn sie an der Verarbeitung, Speicherung oder Übertragung von Daten von Karteninhabern beteiligt sind oder Zugriff auf CDE gewähren . Wenn eine virtuelle Anwendung oder ein virtueller Desktop auf demselben physischen Host oder Hypervisor wie eine Komponente des Bereichs zugeordnet ist, wird die virtuelle Anwendung / der virtuelle Desktop ebenfalls in den Bereich aufgenommen, sofern keine angemessene Segmentierung angewendet wird, die alle Komponenten des Bereichs isoliert von nicht betreten. Weitere Anleitungen zum Vorhandensein von eingehenden und ausgehenden Komponenten auf demselben Host oder Hypervisor finden Sie in Abschnitt 4.2, Empfehlungen für Umgebungen im gemischten Modus.

2.2.6 Cloud Computing

Computing in der Cloud ist ein schnell wachsendes Feld der Virtualisierung, das Ressourcen für Computing als Dienst oder Dienstprogramm über öffentliche, halböffentliche oder private Infrastrukturen bereitstellt. Cloud-Serviceangebote werden in der Regel aus einem Pool oder Cluster verbundener Systeme bereitgestellt und bieten mehreren Benutzern, Organisationen oder Mandanten dienstbasierten Zugriff auf gemeinsam genutzte Computerressourcen.
Anwendungsbereich: Die Verwendung von Cloud Computing verursacht einige Probleme, die beim Definieren von Grenzen berücksichtigt werden müssen. Unternehmen, die Cloud Computing für ihr PCI-DSS verwenden möchtenUmwelten müssen sie zunächst sicherstellen, dass sie die Details der angebotenen Dienste klar verstehen, und eine detaillierte Bewertung der mit jedem Dienst verbundenen Risiken vornehmen. Wie bei jedem verwalteten Dienst ist es auch bei jedem verwalteten Dienst unerlässlich, dass die Organisation und der Anbieter die Verantwortlichkeiten der einzelnen Parteien zur Einhaltung des PCI-DSS- Standards und anderer Maßnahmen, die sich auf die Sicherheit der Daten von Bankkarteninhabern auswirken können, eindeutig identifizieren und dokumentieren .
Der Cloud-Diensteanbieter muss klar identifizieren, welche PCI-DSS- Anforderungen , -Systemkomponenten und -Dienste von seinem PCI-DSS- Konformitätsprogramm abgedeckt werden .. Alle Aspekte des Service, die nicht vom Cloud-Anbieter abgedeckt werden, müssen in der Servicevereinbarung definiert und klar dokumentiert werden, dass diese Aspekte, Systemkomponenten und PCI-DSS- Anforderungen in der Verantwortung der Organisation liegen, die den Hosting-Service hostet. Der Cloud-Dienstanbieter muss ausreichende Nachweise erbringen und sicherstellen, dass alle von ihm kontrollierten Prozesse und Komponenten den PCI DSS- Anforderungen entsprechen .
Weitere Anleitungen zur Verwendung von Cloud-Umgebungen finden Sie in Abschnitt 4.3, Empfehlungen für Cloud-Computing-Umgebungen.

Jetzt auch beliebt: