在部署VMware虛擬化環(huán)境的過(guò)程當(dāng)中,可以考慮使用PCI DSS加強(qiáng)虛擬機(jī)的數(shù)據(jù)安全性。
隨著越來(lái)越多的個(gè)人信息被存放到網(wǎng)絡(luò)當(dāng)中,未經(jīng)授權(quán)的用戶(hù)嘗試訪問(wèn)這些數(shù)據(jù)的情況也在不斷增加。伴隨個(gè)人信息丟失而產(chǎn)生的可疑行為或者欺詐消費(fèi)會(huì)導(dǎo)致用戶(hù)的信用卡被強(qiáng)制注銷(xiāo),這是一件令人十分沮喪的事情。不僅如此,對(duì)于遭遇到個(gè)人信息泄露的用戶(hù)來(lái)說(shuō),通常會(huì)產(chǎn)生一種被個(gè)人隱私被侵犯的感覺(jué)。
由此引發(fā)的一個(gè)問(wèn)題是:情況到底有多嚴(yán)重?司法統(tǒng)計(jì)局曾經(jīng)公布了一些和個(gè)人信息泄露相關(guān)的數(shù)據(jù),當(dāng)前面臨的情況令人擔(dān)憂(yōu)?,F(xiàn)在能夠獲取到的最新數(shù)據(jù)是2012年,7%的16歲及以上的美國(guó)人在這一年當(dāng)中遇到過(guò)至少一次個(gè)人信息被竊事件。這種情況所導(dǎo)致的后果非常嚴(yán)重,大約造成了247億美元的損失。相比之下,由國(guó)家犯罪受害者調(diào)查報(bào)告統(tǒng)計(jì)得出的數(shù)據(jù)顯示其他方面的財(cái)產(chǎn)犯罪所導(dǎo)致的損失為140億美元。這一系列數(shù)據(jù)表明存儲(chǔ)私人信息的系統(tǒng)在安全方面確實(shí)存在漏洞,并且一直沒(méi)有得到解決。
在認(rèn)識(shí)到保護(hù)個(gè)人信息和財(cái)務(wù)數(shù)據(jù)(特別是信用和債務(wù)賬戶(hù))安全的重要性之后,支付卡行業(yè)(PCI,Payment Card Industry)安全標(biāo)準(zhǔn)委員會(huì)制定了數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS,Data Security Standard),最新版本為3.1。PCI安全標(biāo)準(zhǔn)委員會(huì)是一個(gè)負(fù)責(zé)推動(dòng)PCI標(biāo)準(zhǔn)不斷發(fā)展的開(kāi)放式論壇,其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等機(jī)構(gòu)。盡管之前你可能從未聽(tīng)說(shuō)過(guò)PCI DSS,但是其中所包含的宗旨和準(zhǔn)則幾乎會(huì)影響所有使用卡片進(jìn)行消費(fèi)的用戶(hù)。這個(gè)委員會(huì)向商家、廠商和安全咨詢(xún)公司提出相關(guān)要求,以防止發(fā)生個(gè)人信息泄露和信用卡詐騙等行為。
對(duì)于已經(jīng)達(dá)到PCI標(biāo)準(zhǔn)的支付公司來(lái)說(shuō),最大的好處就是能夠?yàn)槠渥钣袃r(jià)值資產(chǎn)——消費(fèi)者提供良好的安全保障。良好的聲譽(yù)能夠幫助公司贏得源源不斷的商業(yè)機(jī)會(huì),而較差的聲譽(yù)一經(jīng)形成,卻很難得到改變。
PCI DSS被設(shè)計(jì)用來(lái)幫助支付機(jī)構(gòu)實(shí)現(xiàn)敏感數(shù)據(jù)安全性最佳實(shí)踐,尤其針對(duì)于這個(gè)行業(yè)當(dāng)中特有的數(shù)據(jù)類(lèi)型。但是,如果我們僅僅因?yàn)樗诘慕M織或企業(yè)并不需要處理支付數(shù)據(jù)或者相關(guān)事務(wù)就直接忽略這個(gè)標(biāo)準(zhǔn),那么無(wú)疑是一種失職。事實(shí)上,PCI DSS當(dāng)中所包含的各種準(zhǔn)則針對(duì)虛擬化技術(shù)進(jìn)行了調(diào)整,對(duì)于任何想要保護(hù)敏感數(shù)據(jù)的企業(yè)來(lái)說(shuō)都可以起到很大幫助作用。
使用PCI DSS和其他針對(duì)特定行業(yè)的標(biāo)準(zhǔn)進(jìn)行合規(guī)審查,可以在很大程度上保證私有信息處于最佳安全實(shí)踐的保障之下。安全的信息環(huán)境對(duì)于企業(yè)、客戶(hù)和員工來(lái)說(shuō)都是至關(guān)重要的。
消除薄弱環(huán)節(jié)
幸運(yùn)的是,我們可以在和PCI業(yè)務(wù)相關(guān)的環(huán)境當(dāng)中將PCI DSS作為虛擬化技術(shù)的使用準(zhǔn)則之一。比如,在PCI DSS第2.2.1章節(jié)當(dāng)中指出一個(gè)虛擬系統(tǒng)組件或者設(shè)備只能實(shí)現(xiàn)一項(xiàng)主要功能。
PCI DSS準(zhǔn)則當(dāng)中詳細(xì)解釋了包含多項(xiàng)主要功能的系統(tǒng)可能面臨哪些風(fēng)險(xiǎn),任何功能的最低安全等級(jí)都有可能導(dǎo)致其他功能受到攻擊。我們可以將這種情況類(lèi)比于一條項(xiàng)鏈的結(jié)實(shí)程度取決于最為薄弱的那一環(huán),這樣可以幫助我們理解PCI DSS的實(shí)際作用。比如,在一臺(tái)虛擬機(jī)當(dāng)中同時(shí)運(yùn)行web服務(wù)器和關(guān)鍵數(shù)據(jù)庫(kù)服務(wù),那么無(wú)疑是在自找麻煩。而最好的方式是遵循PCI DSS的規(guī)定,將這些功能分別放置在不同的服務(wù)器當(dāng)中,之后在特定的服務(wù)器上針對(duì)不同功能自定義安全等級(jí)。此外,服務(wù)器之間的網(wǎng)絡(luò)連接必須禁止一臺(tái)服務(wù)器將低安全級(jí)別功能遷移到另外一臺(tái)服務(wù)器當(dāng)中。如你所見(jiàn),部署單臺(tái)服務(wù)器、單個(gè)功能需求意味著需要對(duì)服務(wù)器、其他相關(guān)設(shè)備和網(wǎng)絡(luò)連接進(jìn)行整體規(guī)劃。
這些準(zhǔn)則在發(fā)布之前已經(jīng)經(jīng)過(guò)深思熟慮,可以應(yīng)用在任何需要加強(qiáng)系統(tǒng)安全性的行業(yè)當(dāng)中。虛擬化技術(shù)提高了硬件資源使用效率,不必再為所有功能分配單獨(dú)的硬件服務(wù)器,降低了DSS準(zhǔn)則的實(shí)現(xiàn)難度。在對(duì)服務(wù)器資源進(jìn)行規(guī)劃的過(guò)程當(dāng)中遵循PCI DSS準(zhǔn)則可以加強(qiáng)系統(tǒng)安全性,在實(shí)現(xiàn)系統(tǒng)主要功能之后,還能夠提升安全控制靈活性。
安全是一個(gè)不斷變化的概念,需要進(jìn)行持續(xù)關(guān)注。PCI DSS為我們提供了一個(gè)很好的思路,一個(gè)行業(yè)當(dāng)中的安全標(biāo)準(zhǔn)可以適用于特定行業(yè)、客戶(hù)以及其他領(lǐng)域的IT部門(mén)。遵循PCI DSS標(biāo)準(zhǔn)在服務(wù)器上實(shí)現(xiàn)主要功能分離是一個(gè)所有企業(yè)都應(yīng)該采用的好主意。