今天,PCI委员会发布了PCI DSS虚拟化指南补充信息。本补充不添加任何新的要求为标准,而是提供了关于如何解释PCI DSS 2.0标准在虚拟环境的指导。它涵盖了管理程序,虚拟机,云计算,虚拟网络和几个感兴趣的其他议题。补充将解决这些方面:
·解释虚拟化的类别,包括虚拟化操作系统,硬件/平台和网络····定义构成这些类型虚拟系统的系统组件,并为每种类型提供高级别PCI DSS范围界定指南··支付卡环境中虚拟化部署的实用方法和概念···满足PCI DSS要求的建议控制和最佳实践虚拟环境···混合模式和云计算环境的具体建议··了解和评估虚拟环境中风险的指南这里肯定是指导的最具影响力的一部分,混合模式的建议和公共云的建议:
强烈建议(和基本的安全原则),不同安全级别的虚拟机没有被托管在同一虚拟机管理程序或物理主机;主要关注的是具有较低安全要求的虚拟机将具有较小的安全控制,并可以用来发动攻击或提供访问更敏感的虚拟机在同一系统上。-----
在公共云环境中,额外的控制必须实现以补偿固有的风险和缺乏了解公共云架构。公共云环境可以,例如,超出范围的主机敌对同一虚拟化基础架构的持卡人数据环境的工作负载。更严格的预防,检测和纠正的控制需要抵消额外的风险,公共云,或类似的环境,可以介绍给实体的CDE。这些挑战可能使它不可能为了一些基于云的服务,在PCI DSS合规的方式进行操作。因此,对于基于云的服务提供PCI DSS合规证明的重担就落在大量的云服务提供商,这种证明只能接受的基础上适当控制严格的证据。让我知道,根据新的指导意见。你可以得到新的指南这里https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf理事会也将在一对夫妇的研讨会,将经历详细介绍这个新的指导推杆。以下是一个https://www.pcisecuritystandards.org/pdfs/pci_pr_20110614.pdf的信息
这里提出的意见和信息,我个人的看法,而不是我的雇主。我在没有办法我的雇主的官方代言人。
更多来自詹姆Heary: 信用卡撇:如何窃贼可以窃取你的卡信息而不让你知道 谷歌Nexus One与十大手机安全要求 为什么你应该总是切丝你的登机牌 影碟出租记录比你的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 詹姆的博客 有关安全性的文章。*
*
*
*
*
*