【51CTO 6月24日外電頭條】虛擬化環(huán)境能否通過規(guī)范化標(biāo)準(zhǔn)加以管理？這個(gè)問題可能很少被提及，但卻相當(dāng)值得深入討論：因?yàn)闊o章可循是非常危險(xiǎn)的——更可能帶來嚴(yán)重后果。

在PCI安全標(biāo)準(zhǔn)委員會(huì)（簡(jiǎn)稱PCI SSC）于去年十月公布的PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（簡(jiǎn)稱PCI DSS）v2.0中，第一次明確提及了我們所能使用的、符合PCI-DSS標(biāo)準(zhǔn)的虛擬化技術(shù)。在此之前，所有服務(wù)器虛擬化項(xiàng)目的實(shí)施都是由管理者或者其他與虛擬化項(xiàng)目相關(guān)的負(fù)責(zé)人員拍板；而現(xiàn)在，保守派的領(lǐng)導(dǎo)者再也不必?fù)?dān)心手下人判斷的準(zhǔn)確性。規(guī)范化標(biāo)準(zhǔn)業(yè)已公布，只需參考遵循即可。

但是這樣對(duì)虛擬化項(xiàng)目直接進(jìn)行硬性規(guī)定的做法實(shí)際上也捅出了不小的婁子。Ponemon Institute最近的一項(xiàng)研究報(bào)告發(fā)現(xiàn)，當(dāng)前大家普遍認(rèn)為PCI-DSS標(biāo)準(zhǔn)是一套比包括HIPAA、EU Privacy Directive、Sarbanes-Oxley以及美國(guó)州律法中關(guān)于數(shù)據(jù)泄露的內(nèi)容在內(nèi)的各項(xiàng)規(guī)范具備更高優(yōu)先級(jí)的方案，同時(shí)這也是條款最嚴(yán)格、最難以執(zhí)行的方案。正是因?yàn)镻CI-DSS標(biāo)準(zhǔn)中的要求很難完全滿足，所以我們無法直接裁撤以往的專業(yè)人士，轉(zhuǎn)而完全通過參照標(biāo)準(zhǔn)來部署虛擬化基礎(chǔ)設(shè)施。

好消息也是有的，共計(jì)39頁(yè)的PCI DSS虛擬化準(zhǔn)則已經(jīng)于本月早些時(shí)候由PCI SSC的Virtualization Special Interest團(tuán)隊(duì)正式發(fā)行。“虛擬化是歷史的必然，因此我們需要盡早直面它的利與弊，”Hemma Prafullchandra說道，她是標(biāo)準(zhǔn)化軟件評(píng)估供應(yīng)企業(yè)HyTrust的CTO，同時(shí)也是Special Interest團(tuán)隊(duì)的成員之一。

該文件強(qiáng)調(diào)了引入虛擬化技術(shù)可能帶來的一系列風(fēng)險(xiǎn)。文章指出，監(jiān)督管理器這一只存在于虛擬環(huán)境中的產(chǎn)物會(huì)成為新的攻擊目標(biāo)；而且另一方面，任何給定的系統(tǒng)上只有一項(xiàng)主要功能可以運(yùn)行，這也是需要關(guān)注的問題。每套虛擬機(jī)中可能只運(yùn)行著一項(xiàng)主要功能，但對(duì)于同時(shí)承載著多套虛擬機(jī)系統(tǒng)的物理主機(jī)來說，情況就完全不同了。

文章還提到了一些關(guān)于虛擬機(jī)處于休眠或是無人看管狀態(tài)下可能存在的風(fēng)險(xiǎn)。

處于未活動(dòng)狀態(tài)下的虛擬機(jī)（即休眠或未使用狀態(tài)）仍然能夠處理類似身份驗(yàn)證資料、加密密鑰或關(guān)鍵性配置信息這類敏感數(shù)據(jù)。未活動(dòng)的虛擬機(jī)中所包含的支付卡數(shù)據(jù)會(huì)以未知且缺乏安全保護(hù)的狀態(tài)進(jìn)行存儲(chǔ)，且往往只會(huì)在發(fā)生信息泄露之類的破壞性事件時(shí)得到恢復(fù)…也就是說，盡管處于休眠中，未活動(dòng)的虛擬機(jī)仍然有可能遭遇實(shí)實(shí)在在的安全威脅。因此我們必須對(duì)其進(jìn)行識(shí)別及追蹤，以保證必要的安全控制機(jī)制始終有效。

在這種情況下，我們?cè)撊绾尾扇∽罴咽侄螌?duì)虛擬化基礎(chǔ)設(shè)施進(jìn)行管理？

Prafullchandra警告說，許多傳統(tǒng)的管理工具恐怕無法勝任這一工作。“過去，大家可能使用來自IBM、CA或者是BMC的統(tǒng)一化管理系統(tǒng)。但這些相對(duì)陳舊的手段在虛擬化項(xiàng)目上很可能無法帶來預(yù)期的效果，尤其是在虛擬機(jī)周期化管理或者是物理主機(jī)間的實(shí)時(shí)切換能力方面。我們必須提前確認(rèn)自己的管理系統(tǒng)是否能夠搞定虛擬化技術(shù)所帶來的問題。”

Prafullchandra還說道，即使是Vmware自家的管理系統(tǒng)也無法完全達(dá)到規(guī)范要求的標(biāo)準(zhǔn)，因此企業(yè)用戶還必須想辦法借助第三方供應(yīng)商——例如她自己所在的HyTrust公司——的產(chǎn)品來彌合功能性方面的差異。舉例來說，HyTrust公司提供的軟件能夠確保特定的工作負(fù)載在指定的主機(jī)或集群中得以啟動(dòng)，這對(duì)于遵循PCI-DSS規(guī)范來說至關(guān)重要。目前Vmware的vCenter本身無法實(shí)現(xiàn)該功能，不過她非常坦誠(chéng)地表示，這類功能很可能會(huì)被Vmware公司在未來幾年中加入到其產(chǎn)品當(dāng)中。

該準(zhǔn)則針對(duì)那些應(yīng)用范圍最廣的領(lǐng)域提供了一些建議及最佳處理方式，以幫助大家的虛擬化環(huán)境盡可能滿足PCI DSS的相關(guān)要求。

對(duì)于任何打算將云計(jì)算引入持卡人數(shù)據(jù)環(huán)境（簡(jiǎn)稱CDE）的用戶，這里還有一些其它警示內(nèi)容。該文件指出，在公共云環(huán)境當(dāng)中必須采取額外的管制手段，以降低固有的風(fēng)險(xiǎn)及公共云架構(gòu)自身所帶來的監(jiān)控乏力。“要在公共云或者類似的環(huán)境中引入CDE實(shí)體，我們需要具備更嚴(yán)格的預(yù)防、檢測(cè)和糾錯(cuò)控制機(jī)制，以抵消隨之而來的高風(fēng)險(xiǎn)。這些挑戰(zhàn)可能會(huì)使一些基于去技術(shù)的服務(wù)無法在遵循PCI DSS規(guī)范的前提下繼續(xù)生效。”

因此讓我們回到問題的本源：“虛擬化環(huán)境能否通過規(guī)范化標(biāo)準(zhǔn)加以管理？”答案是肯定的——但推廣的過程仍然長(zhǎng)路漫漫，需要我們上下求索。大家已經(jīng)得到警示，當(dāng)然公共云也許會(huì)成為解決途徑之一。不過，將希望完全寄托在自己的云服務(wù)供應(yīng)商身上恐怕也不是太好的選擇。

原文鏈接：
http://www.serverwatch.com/trends/article.php/3936321/Can-a-Virtualized-Environment-Be-Regulation-Compliant.htm