云中PCI DSS安全标准初探

日期: 2010-11-21 作者:Carl Brooks翻译:滕晓龙 来源:TechTarget中国 英文

根据PCI安全标准委员会的说法,云计算中遵守支付卡行业数据安全标准(PCI DSS)仍旧未能成为现实,但是业内人士已经在该方向上做出了一定的努力。支付卡行业数据安全标准2.0中包括了:明确提及虚拟化和多租户系统的使用,云计算服务的关键因素。这就意味着,现在审计人员在检查企业遵守情况时就有了一项准绳。   但是,这并不包括云计算,无论是诸如Amazon web服务与应用(AWS)的公共云服务,还是模仿在线、自助服务、自动化IT基础设施交付模式的私有云部署。

虚拟化特别兴趣小组(SIG)的理事会成员、HyTrust的首席安全架构师Hemma Prafullchandra表示,在AWS或其他公共云供应……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

根据PCI安全标准委员会的说法,云计算中遵守支付卡行业数据安全标准(PCI DSS)仍旧未能成为现实,但是业内人士已经在该方向上做出了一定的努力。支付卡行业数据安全标准2.0中包括了:明确提及虚拟化和多租户系统的使用,云计算服务的关键因素。这就意味着,现在审计人员在检查企业遵守情况时就有了一项准绳。

  但是,这并不包括云计算,无论是诸如Amazon web服务与应用(AWS)的公共云服务,还是模仿在线、自助服务、自动化IT基础设施交付模式的私有云部署。虚拟化特别兴趣小组(SIG)的理事会成员、HyTrust的首席安全架构师Hemma Prafullchandra表示,在AWS或其他公共云供应商的服务中实现遵守PCI标准是一项技术上可行,实践却困难的工作。

  “对一家大型商业企业来说,那根本无法实现。”她说。“如果是一家小企业,那还有可能实现,但是必须依赖于许多加密解决方案和工具。”

  PCI DSS要求拥有大量持卡人信息的商家更加遵守标准,她补充道,同时云计算供应商不应针对高端擅自降低标准。根据规定,持卡人信息必须严格隔离,但是在与成千上万其他用户共享在线存储服务时这一要求就显得力不从心了。

  Prafullchandra认为诸如AWS的供应商也对PCI感到困惑不已,通过SAS70认证实现的账户物理安全是远远不够的。诸如电子商务网站或在线银行服务的遵守PCI DSS服务必须是一个混合解决方案,从而在安全的应用程序内进行处理然后在云中存储数据。

  “实际上Amazon宣称他们会进行技术支持——就我个人认为——他们已表明愿意与PCI供应商共享,例如SAS70报告。”她说:“但是现在责任是共同承担的,因为在用户将数据置于云中之前,PCI供应商必须证明数据的安全性。”

  Prafullchandra认为冲动还是存在的。支付服务供应商是处于零售业者和银行之间的中间人,他们执行了绝大多部分的处理操作,他们更愿意开始进行数据中心整合和虚拟化以降低成本。当虚拟化流行时他们已落后了几年,而云计算则紧随其后。

  厂商组织并不看重PCI DSS

  但是,新的指导却是杯水车薪。包括Hytrust在内的厂商组织已经宣布了一个PCI DSS认证的、可行的、用于私有云环境的参考架构,但是专家们表示那其实更像是汽车业内的概念车,与实际的汽车生产还有很大的距离。

  HyTrust、Cisco、VMware、Savvis以及审计公司Coalfire都表示,如拥有合适的专业知识,企业可以运行一个云,而其相关文档质量都遵守PCI DSS标准。在很大程度上,是否通过审计往往要取决于是否聘用拥有着虚拟化和虚拟化管理产品专业特长的审计公司。Coalfire公司的副总裁Tom McAndrews在本周召开的网络研讨会上表示,其公司正与审计Fiat公司进行合作。

  “对于云计算和虚拟化来说,我们的资质的安全评估员(QSA)并没有具体的资料可供参考,我们所做的仅仅是选择我们认为符合系统标准的具体技术。”他说。他还补充道,除了文档程序,一些标准则要求使用管理系统来传递信息和报告或截屏,以证明一切运行正常。

  IT安全与标准咨询公司Awareity的CEO Rick Shaw认为,真正的挑战在于并不是每一个公司都将使用HyTrust、Cisco和Savvis产品。

  Shaw认为这一架构的复杂性是云计算中面对遵守性和合法性难题的真实体现:正如许多工作正在向自动化方向发展而变得模糊一样,进行记录和投入到可靠、遵守标准程序的功能将变得更为错综复杂。他认为企业遵守标准的真正目的在于确保之后的程序,更别说融合新技术了。

  云中遵守标准是复杂的

  “遵守标准就如同在校正散光,一旦你找对了方向,你就能够得到一个非常清晰的图像。但是如果方向略有偏差,突然间一切都将变得模糊起来,”企业管理协会的IT安全研究主任Scott Crawford说。Crawford表示,根本的问题在于云计算供应商无法为PCI所需的架构提供足够的可见性。

  Crawford认为PCI安全标准协会进展缓慢是由于虚拟化产品和工具的异质性,因此很容易为特定厂商指定标准,但是技术变化日新月异,而标准机构无法跟上。但Crawford认为,由于在这样一个加速发展的市场中来自于企业和服务供应商的努力,相关的解决方案即将开始出现。

  他指出Intel公司长期遭受挫折的可信计算平台作为安全终端来说是失败的,但是在经过简单的开发之后就在数据中心中变为运行正常的“可行锚”。

  “我非常惊讶的是这么长时间以来,Intel一直占据处理器的市场,(当然也包括AMD)。”他说。

  有一点是肯定的:PCI DSS(除非用户从Savvis公司购买)还没引入云中。Hemma Prafullchandra认为,协会应在虚拟化方面承担责任,且任重且道远。她认为周边安全模型中PCI在很大部分上是基于迁至一个虚拟优化的计算机模型。

作者

Carl Brooks
Carl Brooks

相关推荐