【51CTO 6月24日外电头条】虚拟化环境能否通过规范化标准加以管理?这个问题可能很少被提及,但却相当值得深入讨论:因为无章可循是非常危险的——更可能带来严重后果。
在PCI安全标准委员会(简称PCI SSC)于去年十月公布的PCI数据安全标准(简称PCI DSS)v2.0中,第一次明确提及了我们所能使用的、符合PCI-DSS标准的虚拟化技术。在此之前,所有服务器虚拟化项目的实施都是由管理者或者其他与虚拟化项目相关的负责人员拍板;而现在,保守派的领导者再也不必担心手下人判断的准确性。规范化标准业已公布,只需参考遵循即可。
但是这样对虚拟化项目直接进行硬性规定的做法实际上也捅出了不小的娄子。Ponemon Institute最近的一项研究报告发现,当前大家普遍认为PCI-DSS标准是一套比包括HIPAA、EU Privacy Directive、Sarbanes-Oxley以及美国州律法中关于数据泄露的内容在内的各项规范具备更高优先级的方案,同时这也是条款最严格、最难以执行的方案。正是因为PCI-DSS标准中的要求很难完全满足,所以我们无法直接裁撤以往的专业人士,转而完全通过参照标准来部署虚拟化基础设施。
好消息也是有的,共计39页的PCI DSS虚拟化准则已经于本月早些时候由PCI SSC的Virtualization Special Interest团队正式发行。“虚拟化是历史的必然,因此我们需要尽早直面它的利与弊,”Hemma Prafullchandra说道,她是标准化软件评估供应企业HyTrust的CTO,同时也是Special Interest团队的成员之一。
该文件强调了引入虚拟化技术可能带来的一系列风险。文章指出,监督管理器这一只存在于虚拟环境中的产物会成为新的攻击目标;而且另一方面,任何给定的系统上只有一项主要功能可以运行,这也是需要关注的问题。每套虚拟机中可能只运行着一项主要功能,但对于同时承载着多套虚拟机系统的物理主机来说,情况就完全不同了。
文章还提到了一些关于虚拟机处于休眠或是无人看管状态下可能存在的风险。
处于未活动状态下的虚拟机(即休眠或未使用状态)仍然能够处理类似身份验证资料、加密密钥或关键性配置信息这类敏感数据。未活动的虚拟机中所包含的支付卡数据会以未知且缺乏安全保护的状态进行存储,且往往只会在发生信息泄露之类的破坏性事件时得到恢复…也就是说,尽管处于休眠中,未活动的虚拟机仍然有可能遭遇实实在在的安全威胁。因此我们必须对其进行识别及追踪,以保证必要的安全控制机制始终有效。
在这种情况下,我们该如何采取最佳手段对虚拟化基础设施进行管理?
Prafullchandra警告说,许多传统的管理工具恐怕无法胜任这一工作。“过去,大家可能使用来自IBM、CA或者是BMC的统一化管理系统。但这些相对陈旧的手段在虚拟化项目上很可能无法带来预期的效果,尤其是在虚拟机周期化管理或者是物理主机间的实时切换能力方面。我们必须提前确认自己的管理系统是否能够搞定虚拟化技术所带来的问题。”
Prafullchandra还说道,即使是Vmware自家的管理系统也无法完全达到规范要求的标准,因此企业用户还必须想办法借助第三方供应商——例如她自己所在的HyTrust公司——的产品来弥合功能性方面的差异。举例来说,HyTrust公司提供的软件能够确保特定的工作负载在指定的主机或集群中得以启动,这对于遵循PCI-DSS规范来说至关重要。目前Vmware的vCenter本身无法实现该功能,不过她非常坦诚地表示,这类功能很可能会被Vmware公司在未来几年中加入到其产品当中。
该准则针对那些应用范围最广的领域提供了一些建议及最佳处理方式,以帮助大家的虚拟化环境尽可能满足PCI DSS的相关要求。
对于任何打算将云计算引入持卡人数据环境(简称CDE)的用户,这里还有一些其它警示内容。该文件指出,在公共云环境当中必须采取额外的管制手段,以降低固有的风险及公共云架构自身所带来的监控乏力。“要在公共云或者类似的环境中引入CDE实体,我们需要具备更严格的预防、检测和纠错控制机制,以抵消随之而来的高风险。这些挑战可能会使一些基于去技术的服务无法在遵循PCI DSS规范的前提下继续生效。”
因此让我们回到问题的本源:“虚拟化环境能否通过规范化标准加以管理?”答案是肯定的——但推广的过程仍然长路漫漫,需要我们上下求索。大家已经得到警示,当然公共云也许会成为解决途径之一。不过,将希望完全寄托在自己的云服务供应商身上恐怕也不是太好的选择。