近期涉及虚拟环境中存储的数据已由一月份生效的PCIDSS2.0涵盖内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于虚拟环境中存储的数据已由一月份生效的PCIDSS2.0涵盖最新消息。
PCI安全标准委员会发布了新指南,以帮助IT管理员部署和管理云环境和虚拟数据中心,同时在必要时确保PCI合规性。
6月14日发布的《PCI DSS虚拟化指南信息补充》涵盖了许多虚拟化领域,包括不同类型的虚拟化,有关云计算的具体说明以及如何确保“混合”虚拟环境的合规性,该公司的总经理Bob Russo PCI委员会告诉eWEEK。该指南不包含新的要求或标准,但旨在成为如何确保虚拟环境符合现有PCI-DSS 2.0标准的入门。
思杰系统公司首席安全官,虚拟化特殊利益集团主席库尔特·罗默(Kurt Roemer)告诉eWEEK,虚拟化技术带来了物理环境中可能不存在的新风险。虚拟化SIG由33个PCI成员组织组成,并起草了最新指南。
虚拟环境中存储的数据已由一月份生效的PCI DSS 2.0涵盖。Russo说,在遵循本指南时,符合PCI的组织不必从头开始。
Russo说,商家和供应商“要求进一步明确”,该指南提供了有关虚拟化要求的解释和详细信息。
虚拟化SIG检查了PCI DSS中的每个要求,并在虚拟环境的上下文中对其进行了检查。Roemer说,该指南提供了有关每个要求的更多详细信息。
例如,PCI DSS要求指定管理员必须将PCI工作负载与其他工作负载分开。该指南将要求应用于虚拟环境,以指出防火墙必须在单个环境中对具有不同“信任区”的虚拟机进行分段。Roemer说,这在多租户公共云环境中尤其重要。
根据指导文件,虚拟主机现在受到管理员“将系统组件和持卡人数据的访问权限限制为仅其工作需要这种访问权限的个人”的要求,这表明组织将需要在虚拟机管理程序,主机上实施访问控制和其他组件。
PCI理事会避免在其指南中认可任何类型的技术,而将实际实施留给单个企业。PCI Council的首席标准架构师Troy Leach告诉eWEEK,存储,虚拟网络和云计算等许多领域将会发展,但管理该技术的要求不应改变。Leach说,未来的指南和标准将解决不断演变的风险。
Russo说:“没有一种方法可以保护虚拟化环境。”
Roemer说,SIG最初着眼于服务器虚拟化,因为这是大多数成员在其虚拟化工作中所关注的重点。但是,该小组发现还有其他用途,例如用于应用程序,台式机和存储服务器。
该指南确认,如果持卡人数据环境中使用了虚拟化技术,则必须应用PCI DSS要求。Russo说,从该指南中得出的关键发现是,即使组织在虚拟机上运行应用程序,数据库或存储系统,商家也需要将其视为在物理服务器上。
同时,思科宣布将在本月底发布《思科PCI零售解决方案设计和实施指南》,以帮助企业和零售客户深入了解有关组织如何实现PCI合规性的指南。思科全球零售行业总监Lindsay Parker告诉eWEEK,该文档为不同类型的“商店足迹”提供了指导,例如零售组织的规模和提供的服务类型。
帕克说,PCI实施指南“可比拟本手册,是一种操作手册”,可保护组织的系统(包括虚拟和无线基础设施)的安全。与PCI委员会的指导不同,思科的文件毫不掩饰地宣传了思科及其合作伙伴的产品,包括HyTrust,RSA Security和EMC。
帕克说:“如果客户购买了全系列产品以部署符合PCI的虚拟环境,那将是一个不错的选择,但思科希望客户能够使用详细的说明来找出实现合规性所需采取的措施。”
Parker认为,许多零售公司和企业倾向于将PCI合规性视为“时间点练习”,这是在审核完成后进行的。
帕克说,至少有四个其他行业部门,包括政府,教育,医疗保健和金融服务部门,正在采用零售指南,并根据特定行业的信息进行修改,以创建针对这些领域的定制指南。