PCI DSS 2.0 （支付卡行业信息安全标准Payment Card Industry Data Security Standard）已经在新闻上热议过，大家共同的问题是：“它是否覆盖了虚拟化遵从相关内容？”

　　答案是：有一点。

　　经过两年的制定过程，PCI DSS 2.0在原先PCI DSS 1.2的基础上提供了额外的指导和阐述。虚拟化遵从也被提及，不过只是大概内容，并没有专门的虚拟化安全规范。事实上，2.0版本的主要变化在于PCI安全标准委员会把虚拟化层引入到标准的范畴内，用于管理那些保存信用卡相关信息的单位。

　　之前，虚拟化被完全忽略掉，可以说这种改进正在沿着正确的方向。但是缺少了在如何确保虚拟化安全遵从方面的指导内容，该标准仍然缺乏影响力。委员会对于PCI DSS 2.0规范的再次升级还需要三年时间，所以在我们可以获得更多如何保护虚拟环境中的信用卡数据安全相关内容之前，还有很长一段空白期。

　　PCI DSS 2.0所做的更新

　　更新的内容非常少以至于我更愿意把这一版本称为PCI DSS 1.3而不是2.0。（您可以从委员会的主页下载PDF版本的PCI DSS 2.0更新概要和完整文档。）

　　在PCI DSS 1.2文档中搜索单词“虚拟化”返回的结果为零；在PCI DSS 2.0中，搜索结果有三处。第一处只是对规范涉及的虚拟机、交换机、路由器、设备、应用和桌面，包括hypervisor进行了定义。

　　后两处位于要求2.2.1，如下：

• 在一台服务器上仅安装一种主功能，以防止不同安全级别要求的功能在同一台服务器上共存。（例如，web服务器、数据库服务器和DNS应该安装到不同的服务器上。）
• 注：在使用了虚拟化的地方，一个虚拟组件只能安装一个主功能。

　　这一点要求是前一版上的延伸，定义了“一台服务器只能安装一个主功能”。如果您把服务器定义为虚拟服务器，那么就完全不允许使用虚拟化技术。现在，我们知道可以在一定限制条件下使用。PCI DSS 2.0进一步通过两个分项对要求2.2.1进行了说明：

• 2.2.1.a对于一个系统组件而言，确保一台服务器仅能安装一个主功能。
• 2.2.1.b如果使用了虚拟化技术，确保在每个虚拟组件或设备上只能安装一个主功能。

　　分项中说明虚拟化是可以使用的，但是限制每个虚拟机安装一项主功能。例如，不要把数据库服务器和应用服务器装到同一台虚拟机上。

　　确保PCI DSS 2.0下的虚拟化遵从

　　这些要求就是在PCI DSS 2.0中虚拟化相关更改的全部，不过同时发布的另一个PDF文件“Navigating PCI DSS”中进一步揭示了规范要求的内容，其中有一整章虚拟化相关部分。

　　首先最重要的一点，这部分内容告诉我们如果使用了虚拟化，即使只是其中一台虚拟机有持卡人相关信息，那么整个虚拟架构就必须遵循该规范内容。（之前，只有处理持卡人相关信息的那台服务器进入这一范畴。）

　　为什么？虚拟机可以轻易地从一台主机迁移到另一台，而且它们共享主机、存储和网络。如果某个组件被攻击，就可以轻松访问到系统内的其它组件——甚至都不会被用户察觉。如果您要确保遵从PCI DSS 2.0，那么最好对整个架构进行文件化和统筹管理。

　　Navigating PCI DSS同样对2.2.1要求进行了详解。您不但需要在一台虚拟机上安装一个主功能并把虚拟机当做物理服务器对待，而且要求分离不同安全级别要求的功能和网络。例如，在一个vSwitch，经常可以见到多个使用802.1Q标记的VLAN。但是在规范2.2.1要求下，如果VLAN的功能和安全级别不同，这种架构是不允许的。您需要创建多个vSwitch来分离不同数据流量。

　　另一个潜在问题是不能共享生产环境跟测试和开发环境。虚拟化技术使得测试和开发用虚拟机可以很轻松地和生产环境共享同一台宿主机和存储设备，但是PCI DSS 2.0规范不允许这么做。对于拥有独立生产环境的大型企业而言，这不算问题。但在小型数据中心内，会产生额外成本。另外，不能使用可以在多台虚拟机之间共享的设备，例如连接到宿主机上的USB设备等。

　　Navigating PCI DSS内虚拟化相关的最后一部分内容是关于正确的文档管理和访问控制。主要的需求在于您只能分配某个用户完成相关工作所需的最低权限，不能赋予更多。例如，如果为某人分配管理某个虚拟机，那么就必须限制他不能移动到其它的vSwitch上，仅分配完成任务所需的最低权限。幸运的是，VMware vCenter Server可以基于每个角色的粒度进行访问控制的管理。

　　而且，不能允许用户直接访问hypervisor，这种权限需要重点监管。转而让用户通过vCenter Server或其它控制台后登陆，确保虚拟化遵从。

　　准备PCI DSS 2.0虚拟化遵从

　　在PCI DSS 2.0中，跟虚拟化相关的内容定义是模糊的，会产生多种解释。执行的结果就会很大程度上依赖监管员的个人解释。关于如何做就可以确保虚拟架构满足要求并没有很多内容可以参考，不过您可以参考Navigating PCI DSS中的纲要以及现存的虚拟环境安全实践。

　　PCI DSS 2.0将会对虚拟架构的规划产生影响，而隔离不同的虚拟化部分是很关键的一点。为减小它的影响范围，一种方式就是搭建完全独立的专用虚拟机环境用于保存持卡人信息，这样就不会对其它的虚拟机产生影响。

　　PCI DSS 2.0将于2011年1月1日起实施，那之后的年度审计都要依据新规范进行。如果您在PCI DSS 2.0规范要求范围内，最好从现在就开始进行准备，这样可以避免在审计之后再查缺补漏。多数PCI DSS中的要求只是最基本的安全常识，用于保障建立一个安全的架构来存放持卡人信息数据。现在PCI DSS最终找到了进入虚拟化的路径。