【51CTO 6月24日外電頭條】虛擬化環(huán)境能否通過規(guī)范化標準加以管理？這個問題可能很少被提及，但卻相當值得深入討論：因為無章可循是非常危險的——更可能帶來嚴重后果。

在PCI安全標準委員會（簡稱PCI SSC）于去年十月公布的PCI數(shù)據(jù)安全標準（簡稱PCI DSS）v2.0中，第一次明確提及了我們所能使用的、符合PCI-DSS標準的虛擬化技術(shù)。在此之前，所有服務(wù)器虛擬化項目的實施都是由管理者或者其他與虛擬化項目相關(guān)的負責人員拍板；而現(xiàn)在，保守派的領(lǐng)導者再也不必擔心手下人判斷的準確性。規(guī)范化標準業(yè)已公布，只需參考遵循即可。

但是這樣對虛擬化項目直接進行硬性規(guī)定的做法實際上也捅出了不小的婁子。Ponemon Institute最近的一項研究報告發(fā)現(xiàn)，當前大家普遍認為PCI-DSS標準是一套比包括HIPAA、EU Privacy Directive、Sarbanes-Oxley以及美國州律法中關(guān)于數(shù)據(jù)泄露的內(nèi)容在內(nèi)的各項規(guī)范具備更高優(yōu)先級的方案，同時這也是條款最嚴格、最難以執(zhí)行的方案。正是因為PCI-DSS標準中的要求很難完全滿足，所以我們無法直接裁撤以往的專業(yè)人士，轉(zhuǎn)而完全通過參照標準來部署虛擬化基礎(chǔ)設(shè)施。

好消息也是有的，共計39頁的PCI DSS虛擬化準則已經(jīng)于本月早些時候由PCI SSC的Virtualization Special Interest團隊正式發(fā)行。“虛擬化是歷史的必然，因此我們需要盡早直面它的利與弊，”Hemma Prafullchandra說道，她是標準化軟件評估供應(yīng)企業(yè)HyTrust的CTO，同時也是Special Interest團隊的成員之一。

該文件強調(diào)了引入虛擬化技術(shù)可能帶來的一系列風險。文章指出，監(jiān)督管理器這一只存在于虛擬環(huán)境中的產(chǎn)物會成為新的攻擊目標；而且另一方面，任何給定的系統(tǒng)上只有一項主要功能可以運行，這也是需要關(guān)注的問題。每套虛擬機中可能只運行著一項主要功能，但對于同時承載著多套虛擬機系統(tǒng)的物理主機來說，情況就完全不同了。

文章還提到了一些關(guān)于虛擬機處于休眠或是無人看管狀態(tài)下可能存在的風險。

處于未活動狀態(tài)下的虛擬機（即休眠或未使用狀態(tài)）仍然能夠處理類似身份驗證資料、加密密鑰或關(guān)鍵性配置信息這類敏感數(shù)據(jù)。未活動的虛擬機中所包含的支付卡數(shù)據(jù)會以未知且缺乏安全保護的狀態(tài)進行存儲，且往往只會在發(fā)生信息泄露之類的破壞性事件時得到恢復…也就是說，盡管處于休眠中，未活動的虛擬機仍然有可能遭遇實實在在的安全威脅。因此我們必須對其進行識別及追蹤，以保證必要的安全控制機制始終有效。

在這種情況下，我們該如何采取最佳手段對虛擬化基礎(chǔ)設(shè)施進行管理？

Prafullchandra警告說，許多傳統(tǒng)的管理工具恐怕無法勝任這一工作。“過去，大家可能使用來自IBM、CA或者是BMC的統(tǒng)一化管理系統(tǒng)。但這些相對陳舊的手段在虛擬化項目上很可能無法帶來預(yù)期的效果，尤其是在虛擬機周期化管理或者是物理主機間的實時切換能力方面。我們必須提前確認自己的管理系統(tǒng)是否能夠搞定虛擬化技術(shù)所帶來的問題。”

Prafullchandra還說道，即使是Vmware自家的管理系統(tǒng)也無法完全達到規(guī)范要求的標準，因此企業(yè)用戶還必須想辦法借助第三方供應(yīng)商——例如她自己所在的HyTrust公司——的產(chǎn)品來彌合功能性方面的差異。舉例來說，HyTrust公司提供的軟件能夠確保特定的工作負載在指定的主機或集群中得以啟動，這對于遵循PCI-DSS規(guī)范來說至關(guān)重要。目前Vmware的vCenter本身無法實現(xiàn)該功能，不過她非常坦誠地表示，這類功能很可能會被Vmware公司在未來幾年中加入到其產(chǎn)品當中。

該準則針對那些應(yīng)用范圍最廣的領(lǐng)域提供了一些建議及最佳處理方式，以幫助大家的虛擬化環(huán)境盡可能滿足PCI DSS的相關(guān)要求。

對于任何打算將云計算引入持卡人數(shù)據(jù)環(huán)境（簡稱CDE）的用戶，這里還有一些其它警示內(nèi)容。該文件指出，在公共云環(huán)境當中必須采取額外的管制手段，以降低固有的風險及公共云架構(gòu)自身所帶來的監(jiān)控乏力。“要在公共云或者類似的環(huán)境中引入CDE實體，我們需要具備更嚴格的預(yù)防、檢測和糾錯控制機制，以抵消隨之而來的高風險。這些挑戰(zhàn)可能會使一些基于去技術(shù)的服務(wù)無法在遵循PCI DSS規(guī)范的前提下繼續(xù)生效。”

因此讓我們回到問題的本源：“虛擬化環(huán)境能否通過規(guī)范化標準加以管理？”答案是肯定的——但推廣的過程仍然長路漫漫，需要我們上下求索。大家已經(jīng)得到警示，當然公共云也許會成為解決途徑之一。不過，將希望完全寄托在自己的云服務(wù)供應(yīng)商身上恐怕也不是太好的選擇。

原文鏈接：
http://www.serverwatch.com/trends/article.php/3936321/Can-a-Virtualized-Environment-Be-Regulation-Compliant.htm