在部署VMware虛擬化環(huán)境的過程當(dāng)中，可以考慮使用PCI DSS加強(qiáng)虛擬機(jī)的數(shù)據(jù)安全性。

[[136426]]

隨著越來越多的個(gè)人信息被存放到網(wǎng)絡(luò)當(dāng)中，未經(jīng)授權(quán)的用戶嘗試訪問這些數(shù)據(jù)的情況也在不斷增加。伴隨個(gè)人信息丟失而產(chǎn)生的可疑行為或者欺詐消費(fèi)會(huì)導(dǎo)致用戶的信用卡被強(qiáng)制注銷，這是一件令人十分沮喪的事情。不僅如此，對(duì)于遭遇到個(gè)人信息泄露的用戶來說，通常會(huì)產(chǎn)生一種被個(gè)人隱私被侵犯的感覺。

由此引發(fā)的一個(gè)問題是：情況到底有多嚴(yán)重?司法統(tǒng)計(jì)局曾經(jīng)公布了一些和個(gè)人信息泄露相關(guān)的數(shù)據(jù)，當(dāng)前面臨的情況令人擔(dān)憂?，F(xiàn)在能夠獲取到的最新數(shù)據(jù)是2012年，7%的16歲及以上的美國(guó)人在這一年當(dāng)中遇到過至少一次個(gè)人信息被竊事件。這種情況所導(dǎo)致的后果非常嚴(yán)重，大約造成了247億美元的損失。相比之下，由國(guó)家犯罪受害者調(diào)查報(bào)告統(tǒng)計(jì)得出的數(shù)據(jù)顯示其他方面的財(cái)產(chǎn)犯罪所導(dǎo)致的損失為140億美元。這一系列數(shù)據(jù)表明存儲(chǔ)私人信息的系統(tǒng)在安全方面確實(shí)存在漏洞，并且一直沒有得到解決。

在認(rèn)識(shí)到保護(hù)個(gè)人信息和財(cái)務(wù)數(shù)據(jù)(特別是信用和債務(wù)賬戶)安全的重要性之后，支付卡行業(yè)(PCI，Payment Card Industry)安全標(biāo)準(zhǔn)委員會(huì)制定了數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS，Data Security Standard)，最新版本為3.1。PCI安全標(biāo)準(zhǔn)委員會(huì)是一個(gè)負(fù)責(zé)推動(dòng)PCI標(biāo)準(zhǔn)不斷發(fā)展的開放式論壇，其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等機(jī)構(gòu)。盡管之前你可能從未聽說過PCI DSS，但是其中所包含的宗旨和準(zhǔn)則幾乎會(huì)影響所有使用卡片進(jìn)行消費(fèi)的用戶。這個(gè)委員會(huì)向商家、廠商和安全咨詢公司提出相關(guān)要求，以防止發(fā)生個(gè)人信息泄露和信用卡詐騙等行為。

對(duì)于已經(jīng)達(dá)到PCI標(biāo)準(zhǔn)的支付公司來說，最大的好處就是能夠?yàn)槠渥钣袃r(jià)值資產(chǎn)——消費(fèi)者提供良好的安全保障。良好的聲譽(yù)能夠幫助公司贏得源源不斷的商業(yè)機(jī)會(huì)，而較差的聲譽(yù)一經(jīng)形成，卻很難得到改變。

PCI DSS被設(shè)計(jì)用來幫助支付機(jī)構(gòu)實(shí)現(xiàn)敏感數(shù)據(jù)安全性最佳實(shí)踐，尤其針對(duì)于這個(gè)行業(yè)當(dāng)中特有的數(shù)據(jù)類型。但是，如果我們僅僅因?yàn)樗诘慕M織或企業(yè)并不需要處理支付數(shù)據(jù)或者相關(guān)事務(wù)就直接忽略這個(gè)標(biāo)準(zhǔn)，那么無疑是一種失職。事實(shí)上，PCI DSS當(dāng)中所包含的各種準(zhǔn)則針對(duì)虛擬化技術(shù)進(jìn)行了調(diào)整，對(duì)于任何想要保護(hù)敏感數(shù)據(jù)的企業(yè)來說都可以起到很大幫助作用。

使用PCI DSS和其他針對(duì)特定行業(yè)的標(biāo)準(zhǔn)進(jìn)行合規(guī)審查，可以在很大程度上保證私有信息處于最佳安全實(shí)踐的保障之下。安全的信息環(huán)境對(duì)于企業(yè)、客戶和員工來說都是至關(guān)重要的。

消除薄弱環(huán)節(jié)

幸運(yùn)的是，我們可以在和PCI業(yè)務(wù)相關(guān)的環(huán)境當(dāng)中將PCI DSS作為虛擬化技術(shù)的使用準(zhǔn)則之一。比如，在PCI DSS第2.2.1章節(jié)當(dāng)中指出一個(gè)虛擬系統(tǒng)組件或者設(shè)備只能實(shí)現(xiàn)一項(xiàng)主要功能。

PCI DSS準(zhǔn)則當(dāng)中詳細(xì)解釋了包含多項(xiàng)主要功能的系統(tǒng)可能面臨哪些風(fēng)險(xiǎn)，任何功能的最低安全等級(jí)都有可能導(dǎo)致其他功能受到攻擊。我們可以將這種情況類比于一條項(xiàng)鏈的結(jié)實(shí)程度取決于最為薄弱的那一環(huán)，這樣可以幫助我們理解PCI DSS的實(shí)際作用。比如，在一臺(tái)虛擬機(jī)當(dāng)中同時(shí)運(yùn)行web服務(wù)器和關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)，那么無疑是在自找麻煩。而最好的方式是遵循PCI DSS的規(guī)定，將這些功能分別放置在不同的服務(wù)器當(dāng)中，之后在特定的服務(wù)器上針對(duì)不同功能自定義安全等級(jí)。此外，服務(wù)器之間的網(wǎng)絡(luò)連接必須禁止一臺(tái)服務(wù)器將低安全級(jí)別功能遷移到另外一臺(tái)服務(wù)器當(dāng)中。如你所見，部署單臺(tái)服務(wù)器、單個(gè)功能需求意味著需要對(duì)服務(wù)器、其他相關(guān)設(shè)備和網(wǎng)絡(luò)連接進(jìn)行整體規(guī)劃。

這些準(zhǔn)則在發(fā)布之前已經(jīng)經(jīng)過深思熟慮，可以應(yīng)用在任何需要加強(qiáng)系統(tǒng)安全性的行業(yè)當(dāng)中。虛擬化技術(shù)提高了硬件資源使用效率，不必再為所有功能分配單獨(dú)的硬件服務(wù)器，降低了DSS準(zhǔn)則的實(shí)現(xiàn)難度。在對(duì)服務(wù)器資源進(jìn)行規(guī)劃的過程當(dāng)中遵循PCI DSS準(zhǔn)則可以加強(qiáng)系統(tǒng)安全性，在實(shí)現(xiàn)系統(tǒng)主要功能之后，還能夠提升安全控制靈活性。

安全是一個(gè)不斷變化的概念，需要進(jìn)行持續(xù)關(guān)注。PCI DSS為我們提供了一個(gè)很好的思路，一個(gè)行業(yè)當(dāng)中的安全標(biāo)準(zhǔn)可以適用于特定行業(yè)、客戶以及其他領(lǐng)域的IT部門。遵循PCI DSS標(biāo)準(zhǔn)在服務(wù)器上實(shí)現(xiàn)主要功能分離是一個(gè)所有企業(yè)都應(yīng)該采用的好主意。