Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4710 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Как надежно и экономно выполнить требования PCI DSS в среде виртуализации Hyper-V.

Как надежно и экономно выполнить требования PCI DSS в среде виртуализации Hyper-V.

Как надежно и экономно выполнить требования PCI DSS в среде виртуализации Hyper-V.

Автор: 5nine
Дата: 05/03/2016

Быстрый рост числа кибератак и нарушений конфиденциальности персональных данных делает критически важной защиту финансовых операций. Все помнят недавнюю громкую историю с хищением $300 млн со счетов клиентов в России, Китае и Европе группировкой хакеров Carbanak и многие другие. Ведущие мировые операторы платежных систем: Visa, MasterCard, American Express, JCB и Discover совместно установили «Стандарт безопасности данных индустрии платежных карт» (PCI DSS), чтобы повысить надежность финансовых транзакций. Хотя, требования стандарта PCI DSS не являются законом, его соблюдение значительно повышает защищенность финансовых операций и данных клиентов. В ситуации жесткой конкуренции, несоответствие финансового учреждения требованиям PCI DSS может привести к потере клиентской базы.

Сегодня банки, конкурирующие в борьбе за клиентов сталкиваются с противоречием: нужно повышать защищенность платежей и при этом уменьшать стоимость услуг. Использование виртуализации при создании банковских ИС помогает разрешить это противоречие. Но применение этой технологии, помимо экономии средств, гибкости и масштабируемости несет в себе новые угрозы, неизвестные при построении ИС на базе аппаратных решений: динамическое изменение ресурсов и конфигураций виртуальной среды, необходимость изоляции виртуальных машин и сетей, атаки на уровне гипервизора и виртуальных сетей и многое другое.

Обеспечить выполнение этих противоречивых требований можно только при помощи современных средств защиты информации, интегрированных в операционную систему на уровне гипервизора. Это единственный путь закрыть уязвимости виртуальной среды без понижения ее производительности и управляемости. Такой подход позволит снизить стоимость средств защиты и ускорить отдачу вложений в виртуализацию, что в нынешнее время является ключевым фактором внедрения современных информационных технологий.

Microsoft Windows Server является одной из самых распространённых ОС в корпоративном и финансовом секторе. В ее состав входит платформа виртуализации Hyper-V, которая стала широко применяться после выхода последней версии Windows Server 2012R2. При помощи этой ОС, гипервизора, входящего в ее состав и расширения виртуального коммутатора Hyper-V Extensible Switch - 5nine Cloud Security, можно выполнить большинство требований PCI DSS и защитить виртуальную среду на уровне гипервизора.

Hyper-V Extensible Switch является открытой платформой, позволяющей разрабатывать расширения стандартного интерфейса Windows (API). Это позволило разработчикам-партнерам: Cisco, Huawei, NEC, InMon, 5nine, Iron Networks добавить такие функции как мониторинг, переадресация и фильтрация в виртуальном коммутаторе. Расширения реализуются путем использования спецификации фильтра драйверов интерфейса интернет-устройств (NDIS) и драйверов вызова Windows Filtering Platform (WFP).

Драйверы WFP позволили партнерам разработчикам (ISV) создавать драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов IPsec для защиты трафика и фильтрации удаленного вызова процедур (RPC). Фильтрация и модификация пакетов TCP/IP предоставляют доступ к обработке пакетов TCP/IP. Таким образом появилась возможность при помощи специализированных продуктов проверять или изменять исходящие и входящие пакеты перед выполнением дополнительной обработки.

Эти возможности используются в 5nine Cloud Security, при помощи которого реализованы многопользовательский межсетевой экран, антивирус и система обнаружения вторжений на уровне приложений (IDS) для виртуальной платформы Hyper-V. Решение реализует мониторинг и логирование событий безопасности и интегрируется с SC VMM и Azure Pack. Централизованное управление упрощает администрирование безопасности и обеспечивает возможность аудита на соответствие требованиям PCI DSS и законов РФ, таких как 152-ФЗ «О персональных данных», Приказов ФСТЭК №17, 21 и других.

В стандарте PCI DSS, приведены 12 требований и описаны соответствующие процедуры проведения оценки соответствия. Давайте посмотрим, как эти требования выполняются при помощи стандартных средств Windows Server и 5nine Cloud Security в среде Hyper-V:

Цели контроля

Требования PCI DSS

Реализация при помощи Windows Server и 5nine Cloud Security

Построение и сопровождение защищённой сети

1. Установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт

5nine Cloud Security обеспечивает защиту при помощи многопользовательского межсетевого экрана, который встроен в виртуальный коммутатор Hyper-V и позволяет контролировать любой тип трафика (внутренний, внешний, частные виртуальные сети), изолировать как отдельные ВМ, так и их группы. Возможна настройка расписания применения правил межсетевого экрана.

2. Неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности

Управление доступом пользователей и паролями в многопользовательской среде реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory. При этом не используются пароли по умолчанию, чтобы уменьшить возможность ошибки администраторов.

Защита данных держателей карт

3. Обеспечение защиты данных держателей карт в ходе их хранения.

Это требование относится к ограничению физического доступа и не относятся к защите среды виртуализации.

4. Обеспечение шифрования данных держателей карт при их передаче через общедоступные сети

5nine Cloud Security не имеет функции криптографии, однако он поддерживает передачу шифрованного трафика по виртуальной сети, защищая его, как любой другой вид трафика.

Поддержка программы управления уязвимостями

5. Использование и регулярное обновление антивирусного программного обеспечения

5nine Cloud Security является единственным безагентным антивирусным решением для Hyper-V, созданным для увеличения производительности виртуальной платформы. Продукт обеспечивает защиту ВМ и сетей от вирусов без установки агента в ВМ в базовом сценарии, обеспечивая скорость сканирования до 70 раз быстрее стандартных антивирусов, устанавливаемых в ВМ. Безагентный антивирус не может быть отключен или удален пользователем. Предлагаются на выбор антивирусные ядра от Лаборатории Касперского, Bitdefender или ThreatTrack, которые дают максимальное покрытие уязвимостей. Сигнатуры могут обновляться как с ресурсов производителя, так и с локального сервера обновлений для увеличения защищенности в соответствии с рекомендациями PCI DSS на ежедневном базисе.

6. Разработка и поддержка безопасных систем и приложений

5nine Cloud Security обладает механизмом контроля целостности компонентов безопасности и дает возможность изолировать среду разработки/тестирования и производственного функционирования за счет использования групп безопасности. Защита веб приложений осуществляется с помощью 5nine Web Application Firewall. Логирование операций позволяет администратору безопасности отслеживать угрозы и попытки неавторизованного доступа к управлению системами защиты. В составе продукта есть Система обнаружения вторжений (IDS) на уровне приложений, которая отслеживает весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort для проверки сетевых пакетов на предмет наличия потенциальных атак.

Реализация мер по строгому контролю доступа

7. Ограничение доступа к данным держателей карт в соответствии со служебной необходимостью

Реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory

8. Идентификация и аутентификация доступа к системным компонентам

Реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory

9. Ограничение физического доступа к данным держателей карт

Это требование относится к ограничению физического доступа и не относятся к защите среды виртуализации

Регулярный мониторинг и тестирование сети

10. Контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.

Реализуется при помощи стандартных средств контроля доступа Windows Server и системы логирования событий безопасности 5nine Cloud Security. Система обнаружения аномалий 5nine Cloud Security позволяет отследить потенциально опасные и подозрительные активности на сетевом уровне. Все операции и события логируются в неизменяемом и не редактируемом виде для последующего анализа. Интеграция с централизованными системами сбора данных позволяет обеспечить необходимую длительность хранения информации.

11. Регулярное тестирование систем и процессов обеспечения безопасности

5nine Cloud Security постоянно регистрирует и контролирует статистические данные о сетевом трафике, пакетах и их размерах. Затем, используя эвристический подход, он создает базовую модель вашего нормального рабочего трафика в течение дня. После этого он постоянно следит за средой, и, если изменения значений превышают установленные пороги чувствительности, немедленно оповещают вас о возможной атаке или злонамеренном сканировании сети. В качестве системы обнаружения вторжений используется Cisco Snort, что в комбинации с эвристическим алгоритмом позволяет успешно проходить тесты на проникновение в систему.

Поддержка политики информационной безопасности

12. Разработка, поддержка и исполнение политики информационной безопасности

Это требование относится к администрированию процессов объекта защиты.

Подводя итог: 8 требований PCI DSS из 12 относятся к безопасности виртуальной среды и могут быть выполнены внедрением 5nine Cloud Security и стандартных средств Microsoft Windows Server 2012 R2, а остальные требования могут быть удовлетворены с помощью физических ограничений и корпоративных политик.

Посетите официальный сайт 5nine или напишите на info@5nine.ru для получения дополнительной информации о решениях 5nine для реализации требований стандарта PCI DSS и защите виртуальной среды Hyper-V для других отраслей экономики.

Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

31/01/2019:  Бизнес и ИТ. Вокруг ЦОД (Ростов-на-Дону)
14/02/2019:  Облака 2019: бурный рост в цифровую эпоху
14/03/2019:  Информационная безопасность бизнеса и госструктур

Быстрый переход:
VMware IT-Grad PowerCLI Offtopic Gartner Citrix VSAN StarWind Veeam 5nine Hardware VeeamON Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Tools Labs VVols Workstation vCloud VCP vRNI Workspace ONE Update UEM App Volumes DR Horizon Networking vSAN Cache Storage DRS VMworld HA Workspace Backup vROPs DRS Fusion Lifecycle Visio SRM Log Insight Operations Manager SDDC Virtual Appliance OpenStack Forum PowerShell LSFS Client vCSA Datacenter NSX Intel Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Performance Nested AWS XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers Converter XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP Video SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor Update Manager vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Upgrade VDS Bug Migration Director Stencils Memory API Android Graphics Diagram Air CLI Plugin DPM SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Сравнение Oracle VirtualBox и VMware Workstation.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Работа с дисками виртуальных машин VMware.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2019, Александр Самойленко. Правила перепечатки материалов.