PCI DSS如何幫助提升虛擬環(huán)境安全性
在部署VMware虛擬化環(huán)境的過程當中,可以考慮使用PCI DSS加強虛擬機的數據安全性。
隨著越來越多的個人信息被存放到網絡當中,未經授權的用戶嘗試訪問這些數據的情況也在不斷增加。伴隨個人信息丟失而產生的可疑行為或者欺詐消費會導致用戶的信用卡被強制注銷,這是一件令人十分沮喪的事情。不僅如此,對于遭遇到個人信息泄露的用戶來說,通常會產生一種被個人隱私被侵犯的感覺。
由此引發(fā)的一個問題是:情況到底有多嚴重?司法統(tǒng)計局曾經公布了一些和個人信息泄露相關的數據,當前面臨的情況令人擔憂。現在能夠獲取到的最新數據是2012年,7%的16歲及以上的美國人在這一年當中遇到過至少一次個人信息被竊事件。這種情況所導致的后果非常嚴重,大約造成了247億美元的損失。相比之下,由國家犯罪受害者調查報告統(tǒng)計得出的數據顯示其他方面的財產犯罪所導致的損失為140億美元。這一系列數據表明存儲私人信息的系統(tǒng)在安全方面確實存在漏洞,并且一直沒有得到解決。
在認識到保護個人信息和財務數據(特別是信用和債務賬戶)安全的重要性之后,支付卡行業(yè)(PCI,Payment Card Industry)安全標準委員會制定了數據安全標準(DSS,Data Security Standard),最新版本為3.1。PCI安全標準委員會是一個負責推動PCI標準不斷發(fā)展的開放式論壇,其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等機構。盡管之前你可能從未聽說過PCI DSS,但是其中所包含的宗旨和準則幾乎會影響所有使用卡片進行消費的用戶。這個委員會向商家、廠商和安全咨詢公司提出相關要求,以防止發(fā)生個人信息泄露和信用卡詐騙等行為。
對于已經達到PCI標準的支付公司來說,最大的好處就是能夠為其最有價值資產——消費者提供良好的安全保障。良好的聲譽能夠幫助公司贏得源源不斷的商業(yè)機會,而較差的聲譽一經形成,卻很難得到改變。
PCI DSS被設計用來幫助支付機構實現敏感數據安全性最佳實踐,尤其針對于這個行業(yè)當中特有的數據類型。但是,如果我們僅僅因為所在的組織或企業(yè)并不需要處理支付數據或者相關事務就直接忽略這個標準,那么無疑是一種失職。事實上,PCI DSS當中所包含的各種準則針對虛擬化技術進行了調整,對于任何想要保護敏感數據的企業(yè)來說都可以起到很大幫助作用。
使用PCI DSS和其他針對特定行業(yè)的標準進行合規(guī)審查,可以在很大程度上保證私有信息處于最佳安全實踐的保障之下。安全的信息環(huán)境對于企業(yè)、客戶和員工來說都是至關重要的。
消除薄弱環(huán)節(jié)
幸運的是,我們可以在和PCI業(yè)務相關的環(huán)境當中將PCI DSS作為虛擬化技術的使用準則之一。比如,在PCI DSS第2.2.1章節(jié)當中指出一個虛擬系統(tǒng)組件或者設備只能實現一項主要功能。
PCI DSS準則當中詳細解釋了包含多項主要功能的系統(tǒng)可能面臨哪些風險,任何功能的最低安全等級都有可能導致其他功能受到攻擊。我們可以將這種情況類比于一條項鏈的結實程度取決于最為薄弱的那一環(huán),這樣可以幫助我們理解PCI DSS的實際作用。比如,在一臺虛擬機當中同時運行web服務器和關鍵數據庫服務,那么無疑是在自找麻煩。而最好的方式是遵循PCI DSS的規(guī)定,將這些功能分別放置在不同的服務器當中,之后在特定的服務器上針對不同功能自定義安全等級。此外,服務器之間的網絡連接必須禁止一臺服務器將低安全級別功能遷移到另外一臺服務器當中。如你所見,部署單臺服務器、單個功能需求意味著需要對服務器、其他相關設備和網絡連接進行整體規(guī)劃。
這些準則在發(fā)布之前已經經過深思熟慮,可以應用在任何需要加強系統(tǒng)安全性的行業(yè)當中。虛擬化技術提高了硬件資源使用效率,不必再為所有功能分配單獨的硬件服務器,降低了DSS準則的實現難度。在對服務器資源進行規(guī)劃的過程當中遵循PCI DSS準則可以加強系統(tǒng)安全性,在實現系統(tǒng)主要功能之后,還能夠提升安全控制靈活性。
安全是一個不斷變化的概念,需要進行持續(xù)關注。PCI DSS為我們提供了一個很好的思路,一個行業(yè)當中的安全標準可以適用于特定行業(yè)、客戶以及其他領域的IT部門。遵循PCI DSS標準在服務器上實現主要功能分離是一個所有企業(yè)都應該采用的好主意。
