🔧 🐜 💪🏻 PCI DSS仮想化ガイド。パート3 👊🏻 ⛲️ 🥧

標準： PCIデータセキュリティ標準（ PCI DSS ）

バージョン： 2.0

日付： 2011年6月

投稿者：仮想化タスクフォースPCIセキュリティ標準会議

追加情報： PCI DSS Virtualization Guide

PCI DSS仮想化ガイド。パート1

PCI DSS仮想化ガイド。パート2

4推奨事項

このセクションで概説する手段は、仮想環境でのPCI DSS要件を満たすのに役立つ推奨事項と有用な経験です。

4.1一般的な推奨事項

4.1.1仮想テクノロジーに関連するリスクの評価

組織は、特定の仮想化ソリューションを選択または実装する前に、システムコンポーネントの仮想化に関連するリスクを慎重かつ包括的に評価する必要があります。カード所有者データのフローと保存は、このリスク評価プロセスの一環として慎重に文書化され、すべてのリスク領域が特定され、適切な措置が講じられていることを確認する必要があります。仮想化は、データ、アプリケーション、および環境全体をすぐに監視するための包括的なシステムとともに、そのすべての利点とリスクを十分に考慮して展開する必要があります。

仮想環境とシステムコンポーネントは、毎年のリスク評価プロセスに引き続き含める必要があります。リスク評価と管理の決定は、詳細なビジネスと技術の専門知識によって完全に文書化され、サポートされる必要があります。

4.1.2 CDE仮想化の影響を理解する

仮想化を使用して1つまたは複数の物理ハードウェアプラットフォームで環境を統合する組織は、 CDEの境界またはスコープを決定するのが困難な仮想システム構成の複雑なセットがある状況に陥ることがあります。

物理システムと同様に、仮想コンポーネントでのPCI DSS標準の適用は、徹底的にテストおよび文書化する必要があります。仮想環境は、 PCI DSS標準のPCI DSSコンプライアンス評価セクションで提供されるガイダンスを使用して評価する必要があります。同じハイパーバイザーで実行されているコンポーネントがスコープ内にある場合、仮想マシン、仮想デバイス、ハイパーバイザープラグインを含むがこれらに限定されない、このハイパーバイザー上のすべてのコンポーネントもスコープ内にあると見なすことをお勧めします。 PCI DSS要件に従って、範囲外のものも含めてすべての仮想化コンポーネントを設計すると、仮想環境全体の安全な基盤が提供されるだけでなく、複数のセキュリティプロファイルの管理に関連する複雑さとリスクも軽減されます。スコープ内のコンポーネントのコンプライアンスを維持および確認するために必要なオーバーヘッドと労力を削減します。

4.1.3物理的アクセスを制限する

このドキュメントで前述したように、同じ物理システムに複数のコンポーネントを配置すると、攻撃者がそのシステムにアクセスした場合の影響が大幅に増加する可能性があります。

したがって、物理アクセス制御は仮想化環境では特に重要であり、関連するリスクを軽減するために必要に応じて強化する必要があります。物理的手段を使用してアクセス対策を評価する場合、権限のないユーザーまたは攻撃者がすべてのVM、ネットワーク、セキュリティデバイス、アプリケーション、およびハイパーバイザーに同時にアクセスした場合の潜在的な損害を考慮してください。

1つの物理ホストが提供できるもの。すべての未使用の物理インターフェイスが無効になっており、物理レベルまたはコンソールレベルのアクセスが制限および監視されていることを確認してください。

4.1.4多層防御の実装

物理環境では、予防、検出、および対応策を含む多層防御アプローチが、データやその他の価値を保護するためのベストプラクティスです。通常、論理セキュリティツールはネットワーク、ホスト、アプリケーション、およびデータレベルで使用されますが、物理セキュリティはメディア、システム、およびオブジェクトを不正な物理アクセスから保護するために使用されます。対策の有効性と潜在的な違反に迅速かつ効果的に対応する可能性を監視することも非常に重要です。多層防御のアプローチには、重要なリソースの適切な使用に関する従業員のトレーニングと教育、潜在的なセキュリティの脅威の特定、および違反の場合に取られる適切な措置も含まれます。さらに、階層化された環境には、すべての従業員が理解および実装するポリシー、プロセス、および手順が明確に文書化されています。

仮想化環境では、適切なセキュリティ対策を定義して実装する必要があります。これは、物理環境で達成できるセキュリティと同じレベルと深さを提供します。たとえば、物理デバイス、ハイパーバイザー、ホストプラットフォーム、ゲストオペレーティングシステム、VM、境界ネットワーク、ホスト内のネットワーク、アプリケーション、データレイヤーなど、各技術レベルを保護するためにセキュリティを適用する方法を検討します。物理的対策、文書化されたポリシーと手順、およびスタッフのトレーニングも、仮想環境のセキュリティに対する多層防御アプローチの一部である必要があります。

4.1.5セキュリティ機能の分離

仮想マシンが提供するセキュリティ機能は、物理的な世界と同じ分離プロセスで実行する必要があります。仮想化システムでは、この要件をさらに厳密に実施することをお勧めします。これにより、複数のCDEシステムコンポーネントをクラックすることを決定した攻撃者が必要とする作業が非常に複雑になるためです。たとえば、ネットワークファイアウォールなどの予防制御は、保護する必要のある支払いカードデータと同じ論理ホスト上で組み合わせないでください。同様に、ネットワークセグメンテーションを制御するプロセスと、ネットワークセグメンテーションの改ざんを検出するログ集約機能を混在させないでください。このようなセキュリティ機能を同じハイパーバイザーまたはホストでホストする必要がある場合、セキュリティ機能の分離レベルは、別のマシンにインストールされていると表示できるレベルでなければなりません。

4.1.6最小限の特権と職務分離の提供

ハイパーバイザーへの管理アクセスのための資格情報とデータは慎重に監視する必要があり、リスクのレベルに応じて、ハイパーバイザーへのアクセスに大きな制限を使用することがしばしば正当化されます。組織は、2要素認証の実装や、複数の管理者間での管理パスワードの二重管理または分割管理の作成など、管理アクセスを保護するための追加の方法を検討する必要があります。ハイパーバイザーと管理システムへのローカルアクセスとリモートアクセスの両方について、アクセス制御を評価する必要があります。適切な役割ベースのアクセス（ RBAC ）を確保するために、仮想コンポーネントの個々の機能に特に注意を払う必要があります。これにより、リソースへの不必要なアクセスが回避され、職務分離が維持されます。

管理権限も適切に共有する必要があります。たとえば、同じ管理者がファイアウォールおよびこれらのファイアウォールの監視サーバーへの特権アクセスを提供しないでください。このレベルのアクセスは、検出されない改ざんとデータの損失につながる可能性があり、職務の分離があった場合は回避できたはずです。特定のVM機能、仮想ネットワーク、ハイパーバイザー、ハードウェア、アプリケーション、およびデータウェアハウスへの管理アクセスを制限することをお勧めします。

4.1.7ハイパーバイザーテクノロジーの評価

展開前にハイパーバイザーのセキュリティが徹底的にテストされていること、および脅威と脆弱性に対応するための適切なパッチ管理およびその他の制御があることを確認します。すべてのハイパーバイザーまたはVMMが適切なセキュリティ対策をサポートする機能を備えているわけではないため、信頼性の高い保護を促進するテクノロジを特定して実装することが重要です。

4.1.8ハイパーバイザーセキュリティの強化

ハイパーバイザープラットフォームは、業界の推奨事項とセキュリティガイドラインに従って安全な場所に配置する必要があります。ハイパーバイザーに対するすべての変更が監視され、承認後にのみ実行され、完全に検証され、注意深く監視されることを確認するため、仮想システム構成の慎重な管理、パッチのインストール、および変更の制御が不可欠です。ハイパーバイザーハッキングの潜在的な重大性のため、新しいセキュリティ脆弱性が発見され、危険性を確認するためのプロセスに即時の脆弱性テストが含まれる場合は、できるだけ早くパッチおよびその他のリスク軽減アクションを展開する必要があります。

ハイパーバイザーは単一障害点であるため、無許可または悪意のある変更は、環境内のすべてのシステムの整合性を脅かす可能性があります。ハイパーバイザーおよび重要な管理ツールには、次の追加の手段が推奨されます。

特定のラップトップやデスクトップコンピューターなど、特定のエンドネットワークおよびデバイスで、そのようなアクセスが承認されている管理機能の使用を制限します。
すべての管理機能を実行するには、多要素認証が必要です。
すべての変更が適切に実行およびテストされていることを確認してください。通常の変更管理プロセスで必要とされるよりも広い境界を持つ追加の管理監督の必要性を考慮してください。
個別の管理機能。つまり、ハイパーバイザー管理者は、ハイパーバイザー監査ログを変更、削除、または無効にできないようにする必要があります。
ハイパーバイザーログ（ログ）をリアルタイムに最も近いモードで物理的に分離された安全なストレージシステムに送信します。
監査証跡を追跡して、セグメンテーションの整合性、セキュリティ制御、またはワークロード間の通信チャネルの違反を示す可能性のあるアクティビティを特定します。
ハイパーバイザーアクセス資格情報などの管理機能に対する個別の責任により、アプリケーション、データ、または個々の仮想コンポーネントへのアクセスが防止されます。
仮想化ソリューションを実装する前に、セキュリティ制御ソリューションがサポートされていることと、ハイパーバイザーへの侵入のリスクを最小限に抑える方法を確認してください。

ハイパーバイザーと管理ツールは仮想コンポーネントのセキュリティに直接影響を与える可能性があるため、常にPCI DSSの一部と見なされることに注意してください。

4.1.9仮想マシンおよびその他のコンポーネントのセキュリティを強化する

また、業界をリードするセキュリティソリューションとガイドラインに従って、個々の仮想マシンをすべて確実にインストールおよび構成することも重要です。ハイパーバイザー保護を強化するための上記の推奨事項は、VMおよび仮想コンポーネントにも適用されます。

これらのガイドラインは、仮想マシンまたはコンポーネントの種類ごとに適用できない場合があることに注意してください。実装を個別に評価して、以下が考慮されていることを確認する必要があります。

不要なインターフェイス、ポート、デバイス、およびサービスをすべて無効にするか削除します。
すべての仮想ネットワークインターフェイスとストレージエリアを安全に構成します。
VMリソースの使用に制限を設定します。
仮想マシンで実行されているすべてのオペレーティングシステムとアプリケーションも強化されていることを確認してください。
リアルタイムに最も近いモードで、ログを個別の安全なストレージに送信します。
暗号化キー管理操作の整合性を確認します。
個々のVMハードウェアとコンテナーのセキュリティを強化します。
必要に応じて、その他のセキュリティ対策。

セキュリティ要件は、各仮想コンポーネントで実行されている特定のサービスまたはアプリケーションによって異なる場合があります。したがって、適切なセキュリティ設定を個別に決定する必要があります。

4.1.10管理ツールの適切な使用を決定する

管理ツールを使用すると、管理者はシステムのバックアップ、リカバリ、リモート接続、移行、仮想システム構成の変更などの機能を実行できます。スコープの範囲内にあるコンポーネントの管理ツールもスコープの一部と見なされます。これらのツールはコンポーネントの安全性とパフォーマンスに直接影響するためです。これらの管理ツールへのアクセスは、職務を遂行するためにそのようなアクセスが必要な従業員のみに制限する必要があります。管理ツールの機能には役割と責任の分離が推奨され、管理ツールの使用はすべて監視および記録する必要があります。

4.1.11仮想マシンの動的な性質を認識する

仮想マシンは、実際にはアクティブ状態（ハイパーバイザー上）または非アクティブ状態（どこでも）に存在できるデータです。非アクティブな仮想マシンは、仮想デバイスに関する機密情報と構成情報を含むことができる保存されたデータセットです。非アクティブなVMにアクセスできる人は、コピーして他の場所で有効にすることができます。また、非アクティブなファイルをペイメントカードデータやその他の機密情報でスキャンすることもできます。したがって、非アクティブなVMへのアクセスは制限、監視、および綿密に監視する必要があります。

支払いカードデータを含む非アクティブなVMは、同じレベルの機密性で扱われる必要があり、プラスチックカード所有者の他のデータウェアハウスと同じ保証が必要です。非アクティブなVMの移行パスは、追加のシステムをスコープに追加する可能性があるため、慎重に評価する必要があります。 VM、アクティブなVM、および非アクティブなVMのバックアップは常に保護し、それらに保存されたデータが不要になった場合は安全に削除または消去する必要があります。承認されたVMのみが環境に追加および環境から削除され、すべてのアクションとアクセスが記録されるように、慎重な変更管理、監視、および通知プロセスが重要です。

4.1.12仮想化ネットワークのセキュリティ機能を評価する

理想的には、仮想ネットワークインフラストラクチャの展開には、データプレーン、コントロールプレーン、およびコントロールプレーンでの効果的なセキュリティ対策を含める必要があります。これにより、直接および間接的な脆弱性が1つのプレーンから別のプレーンに移動する可能性、および仮想ネットワークデバイスの損傷を最小限に抑えることができます。これらは理想的ですが、3つの作業面すべてで効果的な安全対策が常に可能であるとは限りません。このような場合、すべての主要な物理コンポーネントが適切に分離および保護され、仮想ネットワークデバイス間にパスが作成されないようにすることがますます重要になっています。仮想ネットワークデバイス間の分離は、仮想システムを効果的に個別のパーツと見なせるようにする必要があります。

仮想化された各デバイスは、個別のアクセス構成をサポートする必要があります。仮想インフラストラクチャの監査パスは、特定の各仮想コンポーネントで実行される個々のアクセスとアクティビティを決定するために、十分に詳細かつ詳細である必要があります。アクセス制限は、各デバイスに対して個別に、およびプラットフォーム全体の両方で、最小限の権利の遵守を保証する必要があります。

4.1.13ホストされているすべての仮想サービスを明確に識別する

共有ホスティングプロバイダーは、個別の物理システムを割り当てるのではなく、提供物を仮想化して、個々のリソースを顧客に割り当てることがあります。仮想ホスティングサービスを検討している組織は、この提供が各ホスティング組織の環境を別のホスティング組織の環境から分離するために、管理、手続き、および技術のセグメンテーションを適用することを確認する必要があります。このような分離には、少なくとも、セグメント化された認証、ネットワークとアクセスの制限、暗号化とロギングを含むがこれらに限定されないすべてのPCI DSS対策を含める必要があります。

さらに、データのセキュリティと整合性に悪影響を与える可能性がある、またはPCI DSSコンプライアンスに影響を与える可能性のある対策を維持する義務を含め、このサービスのすべての詳細が、正式な契約で明確に定義および記述されていることを確認することが重要です。

4.1.14テクノロジーの理解

仮想環境は、従来の物理環境とは大きく異なります。環境内の効果的な評価とセキュリティを確保するには、仮想化技術を完全に理解することが不可欠です。 , . , , :

- ( CIS )
( ISO )
ISACA ( )
( NIST )
SysAdmin Audit Network Security ( SANS ) Institute

4.2

異なるセキュリティレベルのVMを同じハイパーバイザーまたは物理ホストに配置しないことを強くお勧めします（これが基本的なセキュリティ原則です）。主な問題は、セキュリティ要件が低いVMのアクセスセキュリティが低くなり、同じシステム上のより機密性の高いVMへのアクセスを攻撃または作成するために使用できることです。

この原則は、受信および範囲外のVMを同じホストまたはハイパーバイザーにインストールする必要がある場合に適用する必要があります。通常、スコープ内のコンポーネントと同じハードウェアまたはハイパーバイザー上にあるVMまたはその他の仮想コンポーネントも、PCI DSSのスコープに含まれます。、ハイパーバイザーと基礎となるホストの両方が仮想デバイス間の接続（物理、論理、または両方）を提供し、同じボリューム上にあるカバレッジの範囲に含まれないコンポーネント間で適切なレベルの分離またはセグメンテーションを達成できない可能性があるため同じサーバーまたはハイパーバイザー。

このドキュメントで前述したように、スコープ内の仮想コンポーネントをホストするハイパーバイザーまたはホストシステムもPCI DSSのスコープ内にあります。。連携するVMと非連携のVMを同じホストまたはハイパーバイザーに共存させるには、仮想マシンを互いに分離して、互いに接続せずに異なるネットワークセグメントの個別のハードウェアとして効果的に扱うことができるようにする必要があります。ハイパーバイザーや基盤となるホストシステムなど、VMで共有されるシステムコンポーネントは、仮想マシン間のアクセスパスを表すものではありません。

仮想コンポーネント間で適切なセグメンテーションが行われたとしても、セグメンテーションを実行し、各コンポーネントのセキュリティレベルを維持するために必要な労力と管理費用は、システム全体にPCI DSSを使用するよりも煩わしい場合があります。

4.2.1 , ; , . , .

, , , . , , , , , , , , , API . , . , , , . .

, , . , , , , .

. . , , , .

, , .

適用される特定の構成と手段によっては、スコープ内のすべてのシステムとデータウェアハウジングがスコープ外のシステムとデータウェアハウジングから分離されていない限り、SAN全体がスコープ内になる可能性があります。

PCI DSS仮想化ガイド。 パート3