Le PCI DSS Council est l’organisme en charge du standard PCI DSS. Il vient de publier un nouveau document précisant les règles de sécurité à appliquer dans un environnement virtualisé: de nouvelles et nombreuses obligations en perspective !
Source : https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
Il est à noter que la notion de virtualisation est prise dans un sens très large par le PCI DSS Council : Bien évidement cela concerne la Virtualisation des systèmes d’exploitation (OS) mais aussi des réseaux, des systèmes de stockage (NAS/SAN) et… de la mémoire ! Les recommandations devraient donc s’appliquer à tous ces types de virtualisation; cependant la virtualisation des OS semble plus particulièrement visée.
Voici un résumé du contenu :
Le document explique quels sont les critères qui permettent d’inclure (ou d’exclure) les environnements virtualisés dans (du) périmètre PCI DSS. Ensuite, il est précisé les « nouvelles obligations associées » à la sécurisation des technologies de virtualisation. D’après notre compréhension, Il semble notamment nécessaire :
- De faire une analyse de risque spécifique de vos environnements virtualisés
- De conduire une évaluation sécurité de la technologie de virtualisation que vous avez choisie (bilan des forces et faiblesses, capacité de la technologie à couvrir les menaces, choix des options de sécurisation à mettre en place, formalisation de ces choix…)
- De mettre en place des séances de formation de vos équipes de production/Sécurité pour les sensibiliser aux risques spécifiques associés à la virtualisation
- D’auditer les flux de communications interne à votre environnement virtualisé (sorte de matrice des flux virtualisés!)
- De créer des procédures de sécurisation renforcée de vos environnements virtualisés (Hôte, Hyperviseur, machine virtuelle, Console d’administration…)
- De mettre en place des autorisations d’accès renforcées sur ces environnements (Notamment pour respecter le principe de séparations des privilèges)
Nous restons à votre disposition pour vous accompagner dans le cadre de la sécurisation de vos environnements, notamment ceux soumis à PCI DSS.