摘要：多年来，零售商、贸易商以及支付服务提供商一直在问这样的问题：虚拟化可以用在PCI兼容的持卡人数据环境(cardholder data environment，CDE)中吗?

第1页:PCI虚拟化SIG分析：持卡人数据环境指南 第2页:PCI虚拟化SIG分析：持卡人数据环境指南

　　一些合格的安全评估员(QSA)以及审核员认为，PCIDSS中“每个服务器一个功能”的要求(要求2.2.1)把虚拟化排除在了持卡人数据环境中可接受的技术之外。其他一些安全评估员、审计员以及架构师认为，这个“每个服务器一个功能”的要求，可以通过在每个虚拟机服务器上安装一个功能的方式来实现，而这些虚拟机服务器上一般运行在管理程序(hypervisor)之上。但是，目前还没有来自PCI安全标准委员会的官方规定，因此这个问题还未解决。
　　
　　当PCIDSSv2.0版文件在2011年1月1日开始启用时，这个争论的主要部分就被解决了：是的，在一个PCI兼容的持卡人数据环境中的虚拟化是可以接受的。但这只解决了一部分。更深层次的PCIDSS虚拟化问题是：那些虚拟化服务器和部件应该如何安装、配置以及管理，这些都是DSS2.0版本没有解决的。
　　
　　为了给这些问题提供答案，PCI安全标准委员会创建了一个委员会，称之为PCI虚拟化特别兴趣小组(Special Interest Group，SIG)，其成员包括来自各个行业的企业代表，有金融服务业、云服务提供商、虚拟化供应商以及零售商。SIG组的最大职权之一是起草并发布一个“定义并介绍了通用PCI虚拟化使用情况的白皮书”和一个“提供了关于虚拟化使用的详细指南，从而满足PCIDSS要求的制图工具，包括明确推荐、要求和可审查控制等要求。”
　　
　　2011年6月14日，这个指导意见作为补充信息对外发布，即《PCIDSS虚拟化指南》(PDF)。本文中，我们将分析PCI虚拟化特别兴趣小组的建议，并讨论在持卡人数据环境中，保持PCI兼容的情况下实施虚拟化的可行性。
　　
　　PCI虚拟化指南概览
　　
　　如果你对虚拟化技术很熟悉，那么请直接跳到该指南的15到29页，这部分具体讲的是在持卡人数据环境中该做什么。这个SIG指南(PDF)分为两个主要部分：正文和附录。正文部分中，有好几页用来分层对虚拟化的含义进行阐释。接着有大约5页来解释虚拟化特有的安全问题和风险，之后的10页内容是关于保护在混合模式(包括虚拟化)和云环境中持卡人数据的一般建议，然后是关于如何在这些环境中评估风险的指导。
　　
　　对于一个通晓虚拟化的实施者和评估员来讲，这个指南实质的内容在附录里。有10页的附录指出了“虚拟化注意事项”，并详细说明了虚拟化对其有影响的PCIDSS要求的“另外的最佳做法/建议”。例如，DSS的要求1适用于在持卡人数据环境中从外部/公共网络到服务器和系统的防火墙和连接。在要求1中，虚拟化指南添加了最佳做法/建议：“不要放置不信任的系统或者网络到同一个主机或者管理程序上，并将其作为持卡人数据环境中的系统。”如果你正在你的持卡人数据环境中使用虚拟化，请认真阅读这个附录，并将写在指南上的过程和控制与你自己的进行核对。
　　
　　尽管这个指南在附录里说明了具体的最佳做法和建议，但是它也谨慎地指出：它们“不会取代、替换和扩展PCIDSS的要求。这里包含的所有最佳做法和建议仅仅是作为指导意见”。换句话说，不要期望这个新的指南能平息评估员和执行者之间的所有争论。虽然这个指南提供了关于如何在持卡人数据环境中安全地实施虚拟化急需的内容扩展，但是PCIDSS仍然是最后拍板的遵从规则，尽管它很少提及虚拟化。