在部署VMware虚拟化环境的过程当中,可以考虑使用PCI DSS加强虚拟机的数据安全性。
随着越来越多的个人信息被存放到网络当中,未经授权的用户尝试访问这些数据的情况也在不断增加。伴随个人信息丢失而产生的可疑行为或者欺诈消费会导致用户的信用卡被强制注销,这是一件令人十分沮丧的事情。不仅如此,对于遭遇到个人信息泄露的用户来说,通常会产生一种被个人隐私被侵犯的感觉。
由此引发的一个问题是:情况到底有多严重?司法统计局曾经公布了一些和个人信息泄露相关的数据,当前面临的情况令人担忧。现在能够获取到的最新数据是2012年,7%的16岁及以上的美国人在这一年当中遇到过至少一次个人信息被窃事件。这种情况所导致的后果非常严重,大约造成了247亿美元的损失。相比之下,由国家犯罪受害者调查报告统计得出的数据显示其他方面的财产犯罪所导致的损失为140亿美元。这一系列数据表明存储私人信息的系统在安全方面确实存在漏洞,并且一直没有得到解决。
在认识到保护个人信息和财务数据(特别是信用和债务账户)安全的重要性之后,支付卡行业(PCI,Payment Card Industry)安全标准委员会制定了数据安全标准(DSS,Data Security Standard),最新版本为3.1。PCI安全标准委员会是一个负责推动PCI标准不断发展的开放式论坛,其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等机构。尽管之前你可能从未听说过PCI DSS,但是其中所包含的宗旨和准则几乎会影响所有使用卡片进行消费的用户。这个委员会向商家、厂商和安全咨询公司提出相关要求,以防止发生个人信息泄露和信用卡诈骗等行为。
对于已经达到PCI标准的支付公司来说,最大的好处就是能够为其最有价值资产——消费者提供良好的安全保障。良好的声誉能够帮助公司赢得源源不断的商业机会,而较差的声誉一经形成,却很难得到改变。
PCI DSS被设计用来帮助支付机构实现敏感数据安全性最佳实践,尤其针对于这个行业当中特有的数据类型。但是,如果我们仅仅因为所在的组织或企业并不需要处理支付数据或者相关事务就直接忽略这个标准,那么无疑是一种失职。事实上,PCI DSS当中所包含的各种准则针对虚拟化技术进行了调整,对于任何想要保护敏感数据的企业来说都可以起到很大帮助作用。
使用PCI DSS和其他针对特定行业的标准进行合规审查,可以在很大程度上保证私有信息处于最佳安全实践的保障之下。安全的信息环境对于企业、客户和员工来说都是至关重要的。
消除薄弱环节
幸运的是,我们可以在和PCI业务相关的环境当中将PCI DSS作为虚拟化技术的使用准则之一。比如,在PCI DSS第2.2.1章节当中指出一个虚拟系统组件或者设备只能实现一项主要功能。
PCI DSS准则当中详细解释了包含多项主要功能的系统可能面临哪些风险,任何功能的最低安全等级都有可能导致其他功能受到攻击。我们可以将这种情况类比于一条项链的结实程度取决于最为薄弱的那一环,这样可以帮助我们理解PCI DSS的实际作用。比如,在一台虚拟机当中同时运行web服务器和关键数据库服务,那么无疑是在自找麻烦。而最好的方式是遵循PCI DSS的规定,将这些功能分别放置在不同的服务器当中,之后在特定的服务器上针对不同功能自定义安全等级。此外,服务器之间的网络连接必须禁止一台服务器将低安全级别功能迁移到另外一台服务器当中。如你所见,部署单台服务器、单个功能需求意味着需要对服务器、其他相关设备和网络连接进行整体规划。
这些准则在发布之前已经经过深思熟虑,可以应用在任何需要加强系统安全性的行业当中。虚拟化技术提高了硬件资源使用效率,不必再为所有功能分配单独的硬件服务器,降低了DSS准则的实现难度。在对服务器资源进行规划的过程当中遵循PCI DSS准则可以加强系统安全性,在实现系统主要功能之后,还能够提升安全控制灵活性。
安全是一个不断变化的概念,需要进行持续关注。PCI DSS为我们提供了一个很好的思路,一个行业当中的安全标准可以适用于特定行业、客户以及其他领域的IT部门。遵循PCI DSS标准在服务器上实现主要功能分离是一个所有企业都应该采用的好主意。
作者:Mak King
来源:51CTO
