虛擬化環(huán)境能否通過規(guī)范化標(biāo)準(zhǔn)加以管理?
【51CTO 6月24日外電頭條】虛擬化環(huán)境能否通過規(guī)范化標(biāo)準(zhǔn)加以管理?這個問題可能很少被提及,但卻相當(dāng)值得深入討論:因為無章可循是非常危險的——更可能帶來嚴(yán)重后果。
在PCI安全標(biāo)準(zhǔn)委員會(簡稱PCI SSC)于去年十月公布的PCI數(shù)據(jù)安全標(biāo)準(zhǔn)(簡稱PCI DSS)v2.0中,第一次明確提及了我們所能使用的、符合PCI-DSS標(biāo)準(zhǔn)的虛擬化技術(shù)。在此之前,所有服務(wù)器虛擬化項目的實施都是由管理者或者其他與虛擬化項目相關(guān)的負(fù)責(zé)人員拍板;而現(xiàn)在,保守派的領(lǐng)導(dǎo)者再也不必?fù)?dān)心手下人判斷的準(zhǔn)確性。規(guī)范化標(biāo)準(zhǔn)業(yè)已公布,只需參考遵循即可。
但是這樣對虛擬化項目直接進(jìn)行硬性規(guī)定的做法實際上也捅出了不小的婁子。Ponemon Institute最近的一項研究報告發(fā)現(xiàn),當(dāng)前大家普遍認(rèn)為PCI-DSS標(biāo)準(zhǔn)是一套比包括HIPAA、EU Privacy Directive、Sarbanes-Oxley以及美國州律法中關(guān)于數(shù)據(jù)泄露的內(nèi)容在內(nèi)的各項規(guī)范具備更高優(yōu)先級的方案,同時這也是條款最嚴(yán)格、最難以執(zhí)行的方案。正是因為PCI-DSS標(biāo)準(zhǔn)中的要求很難完全滿足,所以我們無法直接裁撤以往的專業(yè)人士,轉(zhuǎn)而完全通過參照標(biāo)準(zhǔn)來部署虛擬化基礎(chǔ)設(shè)施。
好消息也是有的,共計39頁的PCI DSS虛擬化準(zhǔn)則已經(jīng)于本月早些時候由PCI SSC的Virtualization Special Interest團(tuán)隊正式發(fā)行。“虛擬化是歷史的必然,因此我們需要盡早直面它的利與弊,”Hemma Prafullchandra說道,她是標(biāo)準(zhǔn)化軟件評估供應(yīng)企業(yè)HyTrust的CTO,同時也是Special Interest團(tuán)隊的成員之一。
該文件強(qiáng)調(diào)了引入虛擬化技術(shù)可能帶來的一系列風(fēng)險。文章指出,監(jiān)督管理器這一只存在于虛擬環(huán)境中的產(chǎn)物會成為新的攻擊目標(biāo);而且另一方面,任何給定的系統(tǒng)上只有一項主要功能可以運行,這也是需要關(guān)注的問題。每套虛擬機(jī)中可能只運行著一項主要功能,但對于同時承載著多套虛擬機(jī)系統(tǒng)的物理主機(jī)來說,情況就完全不同了。
文章還提到了一些關(guān)于虛擬機(jī)處于休眠或是無人看管狀態(tài)下可能存在的風(fēng)險。
處于未活動狀態(tài)下的虛擬機(jī)(即休眠或未使用狀態(tài))仍然能夠處理類似身份驗證資料、加密密鑰或關(guān)鍵性配置信息這類敏感數(shù)據(jù)。未活動的虛擬機(jī)中所包含的支付卡數(shù)據(jù)會以未知且缺乏安全保護(hù)的狀態(tài)進(jìn)行存儲,且往往只會在發(fā)生信息泄露之類的破壞性事件時得到恢復(fù)…也就是說,盡管處于休眠中,未活動的虛擬機(jī)仍然有可能遭遇實實在在的安全威脅。因此我們必須對其進(jìn)行識別及追蹤,以保證必要的安全控制機(jī)制始終有效。
在這種情況下,我們該如何采取最佳手段對虛擬化基礎(chǔ)設(shè)施進(jìn)行管理?
Prafullchandra警告說,許多傳統(tǒng)的管理工具恐怕無法勝任這一工作。“過去,大家可能使用來自IBM、CA或者是BMC的統(tǒng)一化管理系統(tǒng)。但這些相對陳舊的手段在虛擬化項目上很可能無法帶來預(yù)期的效果,尤其是在虛擬機(jī)周期化管理或者是物理主機(jī)間的實時切換能力方面。我們必須提前確認(rèn)自己的管理系統(tǒng)是否能夠搞定虛擬化技術(shù)所帶來的問題。”
Prafullchandra還說道,即使是Vmware自家的管理系統(tǒng)也無法完全達(dá)到規(guī)范要求的標(biāo)準(zhǔn),因此企業(yè)用戶還必須想辦法借助第三方供應(yīng)商——例如她自己所在的HyTrust公司——的產(chǎn)品來彌合功能性方面的差異。舉例來說,HyTrust公司提供的軟件能夠確保特定的工作負(fù)載在指定的主機(jī)或集群中得以啟動,這對于遵循PCI-DSS規(guī)范來說至關(guān)重要。目前Vmware的vCenter本身無法實現(xiàn)該功能,不過她非常坦誠地表示,這類功能很可能會被Vmware公司在未來幾年中加入到其產(chǎn)品當(dāng)中。
該準(zhǔn)則針對那些應(yīng)用范圍最廣的領(lǐng)域提供了一些建議及最佳處理方式,以幫助大家的虛擬化環(huán)境盡可能滿足PCI DSS的相關(guān)要求。
對于任何打算將云計算引入持卡人數(shù)據(jù)環(huán)境(簡稱CDE)的用戶,這里還有一些其它警示內(nèi)容。該文件指出,在公共云環(huán)境當(dāng)中必須采取額外的管制手段,以降低固有的風(fēng)險及公共云架構(gòu)自身所帶來的監(jiān)控乏力。“要在公共云或者類似的環(huán)境中引入CDE實體,我們需要具備更嚴(yán)格的預(yù)防、檢測和糾錯控制機(jī)制,以抵消隨之而來的高風(fēng)險。這些挑戰(zhàn)可能會使一些基于去技術(shù)的服務(wù)無法在遵循PCI DSS規(guī)范的前提下繼續(xù)生效。”
因此讓我們回到問題的本源:“虛擬化環(huán)境能否通過規(guī)范化標(biāo)準(zhǔn)加以管理?”答案是肯定的——但推廣的過程仍然長路漫漫,需要我們上下求索。大家已經(jīng)得到警示,當(dāng)然公共云也許會成為解決途徑之一。不過,將希望完全寄托在自己的云服務(wù)供應(yīng)商身上恐怕也不是太好的選擇。
