28/06/2010

PCI DSS et virtualisation


PCI DSS et virtualisation

Une interrogation qui revient très souvent lors de mes missions sur le PCI DSS, c'est : "s'il faut un serveur par fonction, alors nous ne pouvons pas utiliser notre serveur Vmware pour les serveurs monétiques? Nous avons beaucoup investi dans la virtualisation..."

En effet, l'interprétation de l'exigence 2.2.1 "Implement only one primary function per server" est parfois difficile.

Ce qu'il faut comprendre avant tout c'est l'objectif de cette exigence, objectif qui est de ne pas avoir un serveur exposé sur Intenet qui expose en même temps également des services tiers (DNS, FTP, CFT, VNC, VPN..) qui pourront être sujets à des vulnérabilités. Car dans ce cas, la probabilité de découverte d'une faille sur ce serveur augmente et met en danger l'ensemble de l'environnement.

Pour autant, l'exigence 2.2.1 ne demande pas que chaque serveur soit "physique". Si le serveur de virtualisation (l'hyperviseur) est dédié à l'environnement monétique, pas de problème pour la certification PCI DSS.

Les choses se compliquent lorsque cet hyperviseur héberge aussi des serveurs virtuels qui ne sont pas dans le périmètre PCI DSS. Dans ce cas, l'entreprise doit assurer l'étanchéité entre les machines virtuelles PCI DSS et les autres. La configuration de l'hyperviseur doit donc impérativement rentrer dans le périmètre d'audit et l'étanchéité testée et argumentée (partages, failles de l'éditeur, étanchéité réseau...).La gestion des comptes d'administration de l'hyperviseur rentrera également dans le périmètre.

Le risque principal dans ce cas est un utilisateur de l'une des machines virtuels "hors-scope" qui arriverait à sniffer (ou par un autre moyen) des données de carte sur les machines virtuelles du scope.

VMware doit certainement faire du lobbying auprès du PCI Council, il est possible que la future version du PCI DSS mette les choses au clair.

2 commentaires:

  1. Oui, l'autre problème qui se pose, c'est que si on virtualise a outrance, on ne sépare plus les DMZ entre elles ni avec le LAN....

    En tout cas, VMWare/Xen/Microsoft va mettre les points sur les I en disant que c'est OK non ? :p

    RépondreSupprimer
  2. - Les solutions de virtualisation proposent des VLANs, switch et même firewall virtuels. Ces moyens peuvent être accepté sdu point de vue du QSA si la preuve de l'étanchéité est faite. En effet, la virtualisation risque de mettre toutes les machines sur le même LAN, et là, les besoins de zonage du PCI DSS ne sont pas respectés.

    - Oui, je pense bien qu'ils font pressions pour que les exigences PCI soient compatibles avec leurs technologies. Ils font partis des task forces du PCI Council..

    RépondreSupprimer