PCI DSS仮想化ガイド。 パート1

標準： PCIデータセキュリティ標準（PCI DSS）

バージョン： 2.0

日付： 2011年6月

投稿者：仮想化タスクフォースPCIセキュリティ標準会議

追加情報： PCI DSS Virtualization Guide



PCI DSS仮想化ガイド。 パート2

PCI DSS仮想化ガイド。 パート3

1はじめに

仮想化は、アプリケーション、コンピューター、マシン、ネットワーク、データ、およびサービスを物理的な制限から分離します。 仮想化は、仮想化の使用を決定した組織に大きな運用上の利点をもたらす可能性のある、広範な技術、ツール、および方法を含む進化する概念です。 ただし、開発中のテクノロジーと同様に、リスクも引き続き発生します。これは、従来のテクノロジーに関連するリスクよりも明確ではないことがよくあります。

このドキュメントの目的は、Payment Card Data Security Standards（ PCI DSS ）に準拠した仮想化の使用に関するガイダンスを提供することです。 このドキュメントの目的上、すべての参照はPCI DSSバージョン2.0に対して行われます 。

銀行カード名義人のデータがある環境で仮想化を使用する場合、4つの簡単な原則があります。

• a。 カード所有者のストレージ環境で仮想化テクノロジーが使用されている場合、これらの仮想化テクノロジーにはPCI DSS要件が適用されます。
• b。 仮想化技術は、他の技術には適用できない新しいリスクを提示し、銀行カード名義人のデータを操作するときに仮想化を使用する場合に評価する必要があります。
• c。 仮想テクノロジーの実装は大きく異なる可能性があり、組織は徹底的な調査を行って、特定の仮想化アプリケーションの固有の特性を特定し、文書化する必要があります。
• d。 PCI DSS要件を満たすように仮想化環境を構成するための単一の方法やソリューションはありません。 特定の制御と手順は、仮想化の実装方法と使用方法に応じて、環境ごとに異なります。

1.1対象読者

このホワイトペーパーは、カード会員データストレージ（ CDE ）環境で仮想化技術を使用している、または使用を検討している卸売業者およびサービスプロバイダを対象としています。 また、 DSS評価の一部として仮想化環境を検討する評価者にとっても役立ちます。



注 ：このドキュメントは、仮想化、そのテクノロジー、および原理の基本的な理解を前提としています。 それにもかかわらず、仮想化環境の技術的制御を評価するには、仮想化技術のアーキテクチャを理解する必要があります。これらの環境の性質、特にプロセス分離と仮想ネットワークの領域は、従来の物理環境とは大きく異なるためです。

1.2範囲

このドキュメントは、銀行カード所有者のデータ環境での仮想化技術の使用に関する追加のガイダンスを提供するものであり、 PCI DSS要件に代わるものではありません。 特定の監査基準と要件については、 PCI DSSで概説されている基準に基づいて仮想化環境を評価する必要があります。

この文書は、特定の技術、製品、またはサービスを推奨するものではなく、これらの技術が存在し、支払いカードデータのセキュリティに影響を与える可能性があることを認めるものです。

2仮想化の概要

2.1概念と仮想化クラス

仮想化は、物理的な制約からコンピューティングリソースを論理的に分離することです。 一般的な抽象化の1つは「仮想マシン」またはVMと呼ばれ、物理マシンのコンテンツを取得し、異なる物理ハードウェア上で、および/または同じ物理機器上の他の仮想マシンとともに動作できるようにします。 VMに加えて、OS、ネットワーク、メモリ、ストレージシステムなど、他の多くのコンピューティングリソースで仮想化を実行できます。

「ワークロード」という用語は、多数の仮想リソースを表すためにますます使用されています。 たとえば、仮想マシンはワークロード（ワークロード）の一種です。 仮想マシンは現在、仮想化テクノロジーを適用する主要な方法ですが、アプリケーションシステム、デスクトップPC、ネットワーク、仮想化ストレージモデルなど、他にも多くのワークロードがあります。 次のタイプの仮想化がこのドキュメントの焦点です。

2.1.1オペレーティングシステム

オペレーティングシステム（OS）の仮想化は通常、単一の物理サーバー上のOSで実行されているリソースを取得し、それらを仮想環境、 VPS 、ゾーンなどのいくつかの小さなセクションに分割するために使用されます。 このシナリオでは、すべてのパーティションが同じOSのカーネルを使用しますが、異なるライブラリ、ディストリビューションなどを実行できます。

同様に、アプリケーション仮想化は、個々のアプリケーションインスタンスをメインオペレーティングシステムから分離し、個々のアプリケーション（各ユーザーの作業環境）を提供します。

2.1.2機器/プラットフォーム

機器の仮想化は、ハードウェアパーティショニングまたはハイパーバイザーテクノロジーによって実現されます。 ハイパーバイザーは、物理プラットフォームで実行されているVMのハードウェアへのアクセスを確立します。 ハードウェア仮想化には2つのタイプがあります。

• タイプ1ハイパーバイザー-タイプ1ハイパーバイザー（「ネイティブ」または「ベア」とも呼ばれる）は、ハードウェア上で直接実行されるソフトウェアまたはファームウェアの一部であり、ハードウェアリソースへのアクセスを調整し、VMをホストおよび管理します。
• タイプ2ハイパーバイザー - タイプ2ハイパーバイザー （「ホスト」とも呼ばれる）は、既存のオペレーティングシステム上のアプリケーションとして機能します。 このタイプのハイパーバイザーは、各仮想マシンが必要とする物理リソースをエミュレートし、メインOSと同様に別のアプリケーションによってのみ考慮されます。

2.1.3ネットワーク

ネットワーク仮想化は、論理ネットワークと物理ネットワークを区別します。 ほぼすべての種類の物理ネットワークコンポーネント（たとえば、スイッチ、ルーター、ファイアウォール、侵入防止システム、ロードバランサーなど）には、仮想アプライアンスとして利用可能な論理的な側面があります。

他のスタンドアロンホスト（サーバー、ワークステーション、または他のタイプのシステムなど）とは異なり、ネットワークデバイスは次の論理的な「プレーン」で動作します。

• データプレーン：ネットワーク上のノード間でメッセージデータを転送します。
• 管理プレーン：トラフィック、ネットワーク情報、ルーティング情報を管理します。 ネットワークトポロジ、状態、およびルーティングに関連するネットワークデバイス間の通信を含みます。
• コントロールプレーン：デバイス管理目的（たとえば、構成、監視、および保守）のためにデバイス自体に直接アドレス指定されたメッセージを処理します。

2.1.4データ保存

仮想化データストレージ-ネットワーク上の複数の物理ストレージデバイスを組み合わせて、単一のストレージデバイスとして提供する場合。 このデータ統合は通常、ローカルエリアネットワーク（ SAN ）メモリで使用されます。

仮想ストレージの利点の1つは、ストレージインフラストラクチャの複雑さがユーザーの目に見えないことです。 ただし、特定のデータセットを複数の場所に同時に保存できるため、データウェアハウスの文書化と管理を希望する組織にとっても重要なタスクです。

2.1.5メモリ

メモリの仮想化は、いくつかの個別のシステムの物理メモリを統合して、メモリの仮想化された「プール」を作成し、システムコンポーネント間で共有することにあります。

仮想化データストレージと同様に、複数の物理メモリリソースを1つの仮想リソースに結合すると、データの場所のマッピングと文書化に関して複雑さが増します。

2.2仮想システムのコンポーネントと範囲のガイドライン

このセクションには、多くの仮想環境に存在する可能性のある仮想システムのより一般的な仮想抽象化またはコンポーネントの一部が含まれており、それぞれのスコープガイダンスを提供します。

このセクションで指定されたタスクの定義は、環境に含まれる、または接続される仮想化されたカード会員データを含む、PCI DSSがすべてのシステムコンポーネントに適用される基本原則を補完するものと見なされることに注意してください。 タスクの分野でシステムの個別の仮想コンポーネントを検討するかどうかの決定は、特定の技術と環境での実装方法によって異なります。

2.2.1ハイパーバイザー

ハイパーバイザーは、仮想マシンのホスティングと管理を担当するソフトウェアまたはファームウェアです。 ハイパーバイザーのシステムコンポーネントには、仮想マシンモニター（ VMM ）も含まれる場合があります。 VMMは、VMハードウェアの抽象化を適用および管理するソフトウェアコンポーネントであり、ハイパーバイザープラットフォームの管理機能と見なすことができます。 VMMは、システムプロセッサ、メモリ、その他のリソースを管理して、各VMのOSを必要とするすべてのもの（「ゲスト」とも呼ばれる）を割り当てます。 場合によっては、ハードウェア仮想化技術と組み合わせてこの機能を提供します。

スコープ：ハイパーバイザーに接続された（またはホストされた）仮想コンポーネントがPCI DSSスコープ内にある場合、ハイパーバイザー自体は常にスコープ内にあります。 同じハイパーバイザー上のインバウンドとアウトバウンドの両方のVMの存在に関する追加ガイダンスについては、セクション4.2混在モード環境の推奨事項を参照してください。



注： 「混合モード」という用語は、インバウンドとスコープ外の両方の仮想コンポーネントが同じハイパーバイザーまたはホストで実行されている仮想化構成を指します。

2.2.2仮想マシン

仮想マシン（VM）は、独立したコンピューターのように動作する独立した作業環境です。 彼女はゲストとしても知られており、ハイパーバイザーで働いています。

スコープ：カード所有者に関するデータを保存、処理、または転送する場合、またはCDEに接続またはエントリポイントを提供する場合、VM全体がスコープに含まれます。 VMがスコープ内にある場合、ホストシステムとそれに基づくハイパーバイザーもスコープに含まれます。これらは直接接続され、VMの機能とセキュリティに基本的な影響を与えるからです。

2.2.3仮想デバイス

仮想デバイスは、仮想マシン内で使用するためのパッケージ化されたソフトウェアイメージとして説明できます。 各仮想デバイスは特定の機能を実行し、通常はオペレーティングシステムの基本コンポーネントと1つのアプリケーションで構成されます。 ルーター、スイッチ、ファイアウォールなどの物理ネットワークデバイスを仮想化し、仮想デバイスとして実行できます。

仮想セキュリティアプライアンス （ VSAまたはSVA ）-強化されたオペレーティングシステムと単一のアプリケーションで構成される仮想アプライアンス。 VSAは一般に、ハイパーバイザーやその他のリソースへの特権アクセスを含め、従来の仮想デバイス（ VA ）よりも高いレベルの信頼を持っています。 VSAがシステムおよびネットワーク管理機能を実行するために、通常、ハイパーバイザーおよびハイパーバイザーで実行されている仮想ネットワークの可視性が向上しています。 一部のVSAソリューションは、ハイパーバイザーに直接接続でき、プラットフォーム全体に追加のセキュリティを提供します。 仮想アプリケーションを持つハードウェアシステムの例には、ファイアウォール、 IPD / IDS、およびウイルス対策が含まれます。

範囲：アプリケーションの範囲内にあるシステムコンポーネントへの接続またはサービスの提供に使用される仮想デバイスも、アプリケーションの範囲内にあると見なされます。 CDEに影響を与える可能性のあるVSA / SVAも対象になります。

2.2.4仮想スイッチまたはルーター

仮想スイッチまたはルーターは、ネットワークレベルでデータをルーティングおよびスイッチングする機能を提供するソフトウェアコンポーネントです。 仮想スイッチは、多くの場合、仮想化されたサーバープラットフォームの不可欠な部分です。たとえば、ドライバー、モジュール、ハイパーバイザープラグインなどです。 仮想ルーターは、個別の仮想デバイスとして、または物理デバイスのコンポーネントとして使用できます。 さらに、仮想スイッチとルーターを使用して、単一の物理プラットフォームから複数の論理ネットワークデバイスを生成できます。

スコープ：スコープ内にコンポーネントがある場合、またはサービスを提供するか、スコープ内のコンポーネントに接続されている場合、仮想ハイパーバイザーベースのスイッチで構成されたネットワークはスコープに含まれます。 ホストされたコンポーネントのいずれかがスコープ内のネットワークに接続する場合、仮想スイッチまたはルーターをホストする物理デバイスはスコープ内にあると見なされます。

2.2.5仮想アプリケーションとデスクトップ

個々のアプリケーションとデスクトップ環境を仮想化して、エンドユーザーに機能を提供することもできます。 仮想アプリケーションとデスクトップは通常、中央の場所にインストールされます。 リモートデスクトップインターフェイスからアクセスできます。 仮想コンピュータは、シンクライアントやモバイルデバイスなど、いくつかのタイプのデバイスを介したアクセスを許可するように構成でき、ローカルまたはリモートのコンピューティングリソースを使用して動作できます。 仮想アプリケーションおよびコンピューターは、販売時点、顧客サービス、および支払いチェーンにおける他の形式の相互作用内に存在できます。

スコープ：仮想アプリケーションとコンピューターがカード所有者からのデータの処理、保存、転送に関与する場合、またはCDEへのアクセスを提供する場合、仮想アプリケーションとコンピューターはスコープに含まれます。 仮想アプリケーションまたはデスクトップがスコープのコンポーネントと同じ物理ホストまたはハイパーバイザーに割り当てられている場合、スコープのすべてのコンポーネントを分離する適切なセグメンテーションが適用されない限り、仮想アプリケーション/デスクトップもスコープに含まれます入らないから。 同じホストまたはハイパーバイザー上のインバウンドとアウトバウンドの両方のコンポーネントの存在に関する追加ガイダンスについては、セクション4.2混在モード環境の推奨事項を参照してください。

2.2.6クラウドコンピューティング

クラウドでのコンピューティングは、パブリック、セミパブリック、またはプライベートインフラストラクチャを通じて、サービスまたはユーティリティとしてコンピューティングのリソースを提供する、急速に成長している仮想化分野です。 クラウドサービスは通常、接続されたシステムのプールまたはクラスターから提供され、複数のユーザー、組織、またはテナントに共有コンピューティングリソースへのサービスベースのアクセスを提供します。

範囲：クラウドコンピューティングの使用は、境界を定義するときに考慮する必要があるいくつかの問題を引き起こしています。 PCI DSS環境にクラウドコンピューティングを使用することを計画している組織は、提供されるサービスの詳細を最初に明確に理解し、各サービスに関連するリスクの詳細な評価を実行する必要があります。 さらに、マネージドサービスの場合と同様に、 PCI DSS標準および銀行カード所有者のデータのセキュリティに影響を与える可能性のあるその他の手段を維持するために、組織とプロバイダーが各当事者に割り当てられた責任を明確に特定して文書化することが不可欠です。

クラウドサービスプロバイダーは、 PCI DSSコンプライアンスプログラムの対象となるPCI DSS要件、システムコンポーネント、およびサービスを明確に識別する必要があります。 クラウドプロバイダーによってカバーされないサービスの側面は、これらの側面、システムコンポーネント、およびPCI DSS要件がホスティングサービスをホストする組織の責任であることを定義し、サービス契約に明確に文書化する必要があります。 クラウドサービスプロバイダーは、管理下にあるすべてのプロセスとコンポーネントがPCI DSS要件に準拠していることを示す十分な証拠と保証を提供する必要があります。

クラウド環境の使用に関する詳細なガイダンスについては、セクション4.3クラウドコンピューティング環境の推奨事項を参照してください。