遵从PCI DSS 2.0规范 十二条VMware安全措施

日期: 2011-08-15 作者:Eric Siebert翻译:李哲贤 来源:TechTarget中国 英文

持有信用卡信息数据的公司应该密切关注最新的PCI DSS 2.0规范,其中指出在虚拟架构中需要进行增强的12个方面。新规范并非强制性,但保障了VMware架构的安全性。   所有受理信用卡的企业都必须遵从于PCI DSS规范(Payment Card Industry Data Security Standards),之前仅对物理IT系统做了要求。但是PCI DSS 2.0及最新发布的附录“PCI DSS虚拟化指南(PDF)”同时也提供了在虚拟架构下保护信用卡安全的最佳实践。

  PCI DSS中的需要增强的12个VMware安全建议   虽然PCI DSS虚拟化指南不是强制性的,但最好还是遵……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

持有信用卡信息数据的公司应该密切关注最新的PCI DSS 2.0规范,其中指出在虚拟架构中需要进行增强的12个方面。新规范并非强制性,但保障了VMware架构的安全性。

  所有受理信用卡的企业都必须遵从于PCI DSS规范(Payment Card Industry Data Security Standards),之前仅对物理IT系统做了要求。但是PCI DSS 2.0及最新发布的附录“PCI DSS虚拟化指南(PDF)”同时也提供了在虚拟架构下保护信用卡安全的最佳实践。

  PCI DSS中的需要增强的12个VMware安全建议

  虽然PCI DSS虚拟化指南不是强制性的,但最好还是遵守。下面是这12点要求的概述及相应的VMware安全建议:

  一、使用防火墙

  虚拟防火墙过滤进出虚拟机的网络流量数据,通过它,您可以得知是谁和什么设备登录到核心虚拟机和应用。如果您的VMware系统还没有使用虚拟防火墙,请关注VMware vShield Zones 或 Juniper Networks Inc.公司的 Virtual Gateway。

  二、使用密码

  这个建议很简单,但是注意不要使用供应商的默认密码。很多用户没有更改默认密码,这无疑于为非授权用户访问 PCI数据提供了便利。ESX和ESXi的管理界面没有提供默认密码,但是很多VMware相关产品是有的,例如:vCenter Mobile Access 和 vShield Manager

  三、加密持卡人数据
   
  PCI DSS虚拟化规范建议在虚拟化层面对虚拟磁盘做加密,但是对于VMFS文件系统下的数据时不能实现的。VMware在某个时刻或许会增加这项功能,但是现在,我们只能尽可能地严格限制到虚拟机磁盘的访问。很多PCI审计员都知悉这项技术的局限性,所以如果您已经在努力保护虚拟磁盘安全,他们不会因此处罚你的。

  四、加密在公网上发送的数据

  没有一种虚拟化机制可以加密网络数据,所以应用和操作系统必须在数据发送前完成加密。例如,您可以使用带有IPS(Internet Protocol Security)功能的一台物理设备来加密数据。

  五、防病毒软件

  该建议更多的是指宿主机hypervisors,因为我们不能在ESXi管理控制台中运行反病毒软件。或许可以在ESX服务控制台中运行Linux平台防病毒软件,但不建议这么做。VMware从不希望任何人在服务控制台中安装软件,尤其是资源开销大的防病毒工具。如果您在ESX服务控制台运行防病毒软件,它会抢占虚拟机资源,导致速度下降。甚至可能使服务控制台崩溃,从而导致整个宿主机宕机。

  六、VMware安全补丁和宿主机隔离

  您需要定期安装VMware补丁和升级包,即使你的公司不适用PCI DSS 2.0。如果您保存有持卡人信息数据,还需要把测试和开发虚拟机跟生产环境安排在具备不同访问级别的宿主机上。例如,让开发人员只能访问到测试环境。

  主机隔离非常重要,因为测试和开发服务器通常不如生产服务器安全,这样安排可以在即使测试环境被侵入的情况下,提供更好的安全性。

  七、持卡人数据的访问

  在VMware架构中,必须从多个层面严格限制访问权限,包含应用、OS和hypersiver。这种分离保证了不相干人员不能访问到核心系统内,对可能导致持卡人信息泄露的核心数据进行保护。

  要达到该目的,在管理控制台、共享存储和其它管理部分(包含vCenter Server在内)对保留有持卡人信息的数据访问进行严格限制。例如HyTrust Appliance等工具,可以帮助在虚拟化层面的安全。但是对存储设备的保护也很重要。如果有人在存储层直接访问虚拟机磁盘文件,他(她)可以拷贝数据并在其它地方加载以窃取虚拟机数据。

  八、唯一的登录账号

  每个用户使用唯一的登录证书。这种安排可以改善VMware安全,因为管理员可以部署更精细的管理,对每个账号管理或者追溯对系统所做改变的来源。

  九、对持卡人数据的物理访问

  很多对物理系统的保护方式也适用于虚拟系统。例如,确保宿主机和存储位于一个带锁和登录机制的数据中心。另外,还需要关注具备带外管理功能的卡,它们提供了对数据中心的远程访问机制。

  十、资源监控

  通常,该进程可以保存vCenter Server和宿主机的日志信息。它并非直接保护持卡人数据,但是这些日志在破坏发生时提供了一种监管机制(例如,谁做了什么,在什么时间)。

  您需要部署一些更为强大的解决方案——例如LogLogic或HyTrust Appliance,集中管理虚拟化数据日志。

  十一、VMware安全测试

  和物理系统一样,您需要测试VMware安全性。另外值得注意的是,应该使用一些安全工具,如VMware vShield,专为虚拟架构开发的。毕竟,不是所有的物理安全工具都适用于虚拟化,或许不能提供相同的安全级别。

  十二、信息安全规范

  对您企业的安全规范进行存档和升级,对维护系统的人员进行培训(正如在物理架构中所做的)。

作者

Eric Siebert
Eric Siebert

翻译

李哲贤
李哲贤

TT虚拟化特约作者

相关推荐