如果您的业务跟信用卡相关，那么多半要受到PCI DSS（Payment Card Industry Data Security Standards支付卡行业数据安全规范）的监管。这些信息安全准则保证了信用卡持有者相关信息的安全性。

　　PCI DSS的相关需求并不能覆盖虚拟化领域， 这是一个严重的安全漏洞所在。或许在将来，PCI安全规范委员会将会修改相关规则，以适应把信用卡相关信息保存到虚拟架构下的各种需求。

　　但是，我们决不能等这项规定出台后，再去加强虚拟架构中关键数据的安全性。这篇短文中提供了对PCI DSS要求以及监管流程的总体介绍，以及我们可以采取的一些用于保护信用卡相关信息的步骤。

　　PCI DSS强制要求

　　PCI标准针对网络安全、访问控制、加密、密码策略以及物理安全几个方面做了规定。各个公司必须遵守这些方面的具体要求，一旦违反将会招致高额的罚款。

　　根据各个公司信用卡交易业务量大小的不同，需要满足不同级别的要求和执行办法。一定要确保业务最繁忙的公司满足最严格的PCI DSS要求。例如，由经过认证的安全监管员每天执行现场的安全监督。

　　PCI DSS规范的强制执行很大程度上依赖于监管人员对规范的解读。通常，监管员对于那些没有直接跟交易系统或是持卡人信息存储相关部分的要求，会适当地放宽一些。

　　在虚拟架构下满足PCI DSS要求

　　PCI DSS规范的要求通常集中在针对单个服务器上，因而经常忽略宿主机的问题。这就如同我们外出锁门的时候，唯独忘记了关上前入户门。如果宿主机的安全级别不够，其上的虚拟机就很容易被入侵——即使虚拟机经过了安全防范也一样。

　　尽管还没有针对虚拟架构的官方PCI DSS规范要求出台，但是还是有一些其它的跟虚拟主机和子机相关的最佳安全实践可以供我们参考：

• CI Security VMware, Xen and virtual machine security guidelines;
• US Defense Department ESX Server Security Technical Implementation Guide (STIG);
• VMware's vSphere 4.0 security hardening guide;以及
• Microsoft Hyper-V Security Guide

　　您还可以增强共享存储设备和主机虚拟网络的安全性。这些安全准则对于iSCSI、NFS和FC存储应用来说尤其重要。有一个很好的办法就是把数据存储流量单独安放到采用了安全传输协议的独立网络上，例如加入了Challenge-Handshake Authentication Protocol协议的iSCSI网络。

　　在虚拟网络中，可以考虑部署专为虚拟环境而开发的安全应用程序。这样的产品包括VMware vShield Zones以及来自Catbird Networks, Reflex Systems 和Altor Networks等一些第三方公司的产品。这些应用程序可以为宿主机之上的虚拟机网络流量提供入侵防护系统、入侵检测系统以及虚拟防火墙功能等。而虚拟防火墙的使用则尤其重要，因为PCI标准中强调了对用于保存持卡人数据相关的存储部分的隔离和重点保护。另外，虚拟机网络流量不是存在于宿主机上的，也导致了物理防火墙往往无法涉及。

　　请牢记PCI的审查往往是专注在持卡人信息相关的交易和数据存储上。因此，对这部分数据的隔离保护方面做得越多，也意味更容易通过审查。

　　当PCI DSS规范要求最终包含了虚拟化之后，如果宿主机上的某台虚拟机包含了信用卡相关信息，那么该宿主机就必须服从监管要求。而且如果您启用了在线迁移技术，那么在整个系统中对虚拟机的迁移动作，将会使得被监管范围进一步扩大。因此，在规划时就要考虑到适当减少需要被监管的虚拟主机数量。创建一个小型的虚拟机集群系统仅用于存放信用卡持卡人相关信息，可以极大地减轻这方面的压力。

　　PCI DSS什么时候可以覆盖虚拟化领域？

　　公平地讲，对于PCI委员会而言，完成这个规范的升级确实需要两年左右的时间。在2008年10月，现有的1.2版本规范发布的时候，数据中心还没有开始大规模采用虚拟化技术。因此，在新规范制定之前，委员会成员们需要更多的时间来对虚拟化可能带来的影响进行深入学习。

　　但是，您也不需要太过期待2.0版规范中对虚拟化所做的要求。PCI委员会的总负责人Bob Russo先生曾经说过，虽然他们正在考虑把虚拟化部分作为未来PCI DSS需求的一部分，但是新版本发布的时间点并不是2010年底。更糟糕的是，升级PCI标准所需的周期甚至被进一步从两年延长到了三年——换句话说，对虚拟化架构的监管又推迟了。