虛擬化環境能否通過規范化標準加以管理?
【51CTO 6月24日外電頭條】虛擬化環境能否通過規范化標準加以管理?這個問題可能很少被提及,但卻相當值得深入討論:因為無章可循是非常危險的——更可能帶來嚴重后果。
在PCI安全標準委員會(簡稱PCI SSC)于去年十月公布的PCI數據安全標準(簡稱PCI DSS)v2.0中,第一次明確提及了我們所能使用的、符合PCI-DSS標準的虛擬化技術。在此之前,所有服務器虛擬化項目的實施都是由管理者或者其他與虛擬化項目相關的負責人員拍板;而現在,保守派的領導者再也不必擔心手下人判斷的準確性。規范化標準業已公布,只需參考遵循即可。
但是這樣對虛擬化項目直接進行硬性規定的做法實際上也捅出了不小的婁子。Ponemon Institute最近的一項研究報告發現,當前大家普遍認為PCI-DSS標準是一套比包括HIPAA、EU Privacy Directive、Sarbanes-Oxley以及美國州律法中關于數據泄露的內容在內的各項規范具備更高優先級的方案,同時這也是條款最嚴格、最難以執行的方案。正是因為PCI-DSS標準中的要求很難完全滿足,所以我們無法直接裁撤以往的專業人士,轉而完全通過參照標準來部署虛擬化基礎設施。
好消息也是有的,共計39頁的PCI DSS虛擬化準則已經于本月早些時候由PCI SSC的Virtualization Special Interest團隊正式發行。“虛擬化是歷史的必然,因此我們需要盡早直面它的利與弊,”Hemma Prafullchandra說道,她是標準化軟件評估供應企業HyTrust的CTO,同時也是Special Interest團隊的成員之一。
該文件強調了引入虛擬化技術可能帶來的一系列風險。文章指出,監督管理器這一只存在于虛擬環境中的產物會成為新的攻擊目標;而且另一方面,任何給定的系統上只有一項主要功能可以運行,這也是需要關注的問題。每套虛擬機中可能只運行著一項主要功能,但對于同時承載著多套虛擬機系統的物理主機來說,情況就完全不同了。
文章還提到了一些關于虛擬機處于休眠或是無人看管狀態下可能存在的風險。
處于未活動狀態下的虛擬機(即休眠或未使用狀態)仍然能夠處理類似身份驗證資料、加密密鑰或關鍵性配置信息這類敏感數據。未活動的虛擬機中所包含的支付卡數據會以未知且缺乏安全保護的狀態進行存儲,且往往只會在發生信息泄露之類的破壞性事件時得到恢復…也就是說,盡管處于休眠中,未活動的虛擬機仍然有可能遭遇實實在在的安全威脅。因此我們必須對其進行識別及追蹤,以保證必要的安全控制機制始終有效。
在這種情況下,我們該如何采取最佳手段對虛擬化基礎設施進行管理?
Prafullchandra警告說,許多傳統的管理工具恐怕無法勝任這一工作。“過去,大家可能使用來自IBM、CA或者是BMC的統一化管理系統。但這些相對陳舊的手段在虛擬化項目上很可能無法帶來預期的效果,尤其是在虛擬機周期化管理或者是物理主機間的實時切換能力方面。我們必須提前確認自己的管理系統是否能夠搞定虛擬化技術所帶來的問題。”
Prafullchandra還說道,即使是Vmware自家的管理系統也無法完全達到規范要求的標準,因此企業用戶還必須想辦法借助第三方供應商——例如她自己所在的HyTrust公司——的產品來彌合功能性方面的差異。舉例來說,HyTrust公司提供的軟件能夠確保特定的工作負載在指定的主機或集群中得以啟動,這對于遵循PCI-DSS規范來說至關重要。目前Vmware的vCenter本身無法實現該功能,不過她非常坦誠地表示,這類功能很可能會被Vmware公司在未來幾年中加入到其產品當中。
該準則針對那些應用范圍最廣的領域提供了一些建議及最佳處理方式,以幫助大家的虛擬化環境盡可能滿足PCI DSS的相關要求。
對于任何打算將云計算引入持卡人數據環境(簡稱CDE)的用戶,這里還有一些其它警示內容。該文件指出,在公共云環境當中必須采取額外的管制手段,以降低固有的風險及公共云架構自身所帶來的監控乏力。“要在公共云或者類似的環境中引入CDE實體,我們需要具備更嚴格的預防、檢測和糾錯控制機制,以抵消隨之而來的高風險。這些挑戰可能會使一些基于去技術的服務無法在遵循PCI DSS規范的前提下繼續生效。”
因此讓我們回到問題的本源:“虛擬化環境能否通過規范化標準加以管理?”答案是肯定的——但推廣的過程仍然長路漫漫,需要我們上下求索。大家已經得到警示,當然公共云也許會成為解決途徑之一。不過,將希望完全寄托在自己的云服務供應商身上恐怕也不是太好的選擇。
