敏感的支付卡数据是否可以在虚拟机(VM)系统或云计算环境中处理和保存?
这个问题已经争论了很多年,即使PCI安全标准理事会制定了影响商户、企业和供应商的支付卡行业要求,但从未明确表示“不”。今天,该委员会发布了第一份深度报告,描述了在虚拟机和云环境中保护PCI数据的指导方针,并坦率地说,这并不容易。
更多安全:PCI调查:它是如何影响网络安全的
众所周知,虚拟机和云计算环境是动态的,因为工作负载可以非常迅速地移动,但“关键是,作为一个商人,你有责任知道数据在哪里,”PCI安全标准委员会(PCI Security Standards Council)的总经理鲍勃·鲁索(Bob Russo)说。
该文件今天公开,“信息补充,PCI DSS虚拟化指南,详细阐述了委员会现有的12部分数据安全标准应该如何考虑在虚拟化和云环境中处理或保存的PCI数据。报告承认,在许多情况下,缺乏虚拟化和云环境的安全和管理将意味着它们不适合用于敏感的PCI数据。
该报告指出:“虚拟环境特有的一个关键风险因素是hypervisor——如果它被破坏或配置不当,那么托管在该hypervisor上的所有虚拟机都可能面临风险。”管理程序提供进入虚拟环境的单点访问,并且可能是一个单点故障。”
为了最大限度地减少风险,报告包括若干指导方针。其中一个主要是不是在同一管理程序或主机上托管不同信任级别的VM。“强烈建议(作为基本安全原则),不同安全级别的VM不会在相同的虚拟机管理程序或物理主机上托管;主要问题是具有较低安全要求的VM将具有较小的安全控制,并且可以是用于在同一系统上启动攻击或提供对更敏感VM的访问。“
该委员会还表示,其由12部分组成的决策支持系统标准要求使用防火墙、加密、禁止公众直接访问互联网、系统加固、部署防病毒和远程访问的强双因素认证、日志、入侵防御系统和监控等,如果要用于PCI数据,则必须将它们都带入虚拟化和云环境中。注意到有各种各样的虚拟机选项,报告质疑在某些情况下是否有成熟的管理工具。
云提供商在其对PCI数据的适用性方面受到强烈批评。
“云提供商应该提供足够的证据和保证,他们控制下的所有流程和组件都是PCI DSS兼容的。在公共云环境中,云提供商提供的服务和计算资源通常在多个实体或租户之间共享。这与典型的托管环境不同,在托管环境中,专门的资源通常被分配给每个托管实体或租户。”
该报告称,公共云环境可能不适合PCI数据的原因有很多,包括“主机实体有限或没有监督或控制持卡人数据存储”,并“没有知识”他们正在共享资源。“
这些和其他原因是为什么“这些挑战可能使某些基于云的服务无法以PCI DSS兼容的方式运行。因此,为云的服务提供了PCI DSS合规性证明的负担较大报告总结道,提供者,应仅基于足够控制的严格证据接受此类证明。
“信息补充,PCI DSS虚拟化指南”是经过几个月的工作,通过委员会的虚拟化特别利益集团的工作,由Kurt Roemer, Citrix首席安全战略家,以及来自包括美国银行,LL Bean, AT&T,惠普,Savvis,西南航空,VMware, Verizon Business,斯坦福大学和西南航空。