| 摘要:多年来,零售商、贸易商以及支付服务提供商一直在问这样的问题:虚拟化可以用在PCI兼容的持卡人数据环境(cardholder data environment,CDE)中吗? |
管理程序不适应?
有一个概念反复出现在PCI虚拟化特别兴趣小组的指南注意事项和最佳做法中——运行在单个管理程序上的虚拟机是处于一个相同的信任区域,并且它们全都可以被视为存在于持卡人数据环境的内部。换句话说,“如果运行在一个特定管理程序、或主机上的任何部件是在PCIDSS的范围内,那么我们建议在这个管理程序和主机上的所有部件也都应该被视为是在其范围内。”沿着这条相同的架构思想路线,这个指南还建议将运行在同一个管理程序上的更不安全的服务器虚拟机换成一个更安全的,因为“如果将其视为更低安全性的部件而被托管在同一个系统或管理程序上,那么要求更高安全性的虚拟部件则会在无意中承担额外的风险。”
这一点表面上听起来似乎相当简单,但是在实践中会有大的问题。数据中心虚拟化的一个好处是:在单个虚拟机上建立多个服务器的灵活性,以及当需要更多(或更少)处理能力时将虚拟机从一个硬件组件转移到另一个的灵活性。但是,考虑到在单个管理程序上的所有部件都要在PCI范围内的这个要求,把一个非PCI部件放到该管理程序上会使持卡人数据环境不再兼容,否则就会把持卡人数据置于风险之中。
这个指南还指出了一些对虚拟机之间进行监控的问题。传统的网络监控设备监测从管理程序流向有线或无线网络的流量。但是,在同一个管理程序上从虚拟机到虚拟机的内部流量又应该怎样监测呢?正如这个指南所指出的那样,虚拟的“防火墙和路由器可以被嵌入到管理程序中”,从而解决虚拟机内部“盲点”问题,但这又可能意味着需要采购新的软件。
最后一点值得注意的是,如何在支付生态系统内使用虚拟桌面基础设施(VDI)以及应用程序。根据这个指南,“如果它们与处理、存储或者持卡人数据传输,或者提供访问持卡人数据环境等有关的话,那么它们就是在范围内的。”对于广泛使用VDI的公司来讲,对该架构的一个重新评估是为了确保PCI审核范围属于被正确定义。为了减小范围,额外的网络分段、甚至限制访问某些设备可能是必要的。
它仍然是你的数据
虽然云和虚拟化技术不是紧密相连的(你可以拥有其中一个,而没有另一个),但在实际的架构上这两种技术通常一起部署。这个指南意识到了这一点,同时也提供了一些关于在云上进行持卡人数据保护的指导。这个指南涉及了三个主要云模型:基础设施、平台以及软件即服务(SaaS)。在所有情况下,它们指出数据保护组件,即持卡人数据驻留的那层,是由云客户所负责的。同时,不要认为有PCI认可的服务提供商协助你,你就可以不用负责数据的管理了。无论你正在把持卡人数据存储在本地或者在公共云里,数据保护的责任都是你的,除非你已经清楚明确地以具有法律约束力的方式把这个责任转移了。
结论
是的,简而言之,你的企业可以使用虚拟化技术并维护PCI兼容的持卡人数据环境,但是要安全地设置和部署这个技术并不容易,这个指南里包含了许多重要的理由。如果你的企业还没有对风险模型化的虚拟环境进行广泛的研究,那么这个指南在如何实施正确的控制来保证持卡人的数据安全方面可以很好的帮助你。如果你是一个在虚拟化风险方面经验丰富的人,那么你也许可以跳过介绍和背景部分,但是不要忽略那些建议和最佳做法以及附录A,尤其是关于管理程序分离和云中数据保护责任的要点。
责任编辑:Lily
本文来源:http://www.searchsecurity.com.cn/showcontent_50320.htm
评论表单加载中...
