Trung Tâm Bảo Hành Laptop Toshiba tại Hà Nội An toàn PCI dẫn mới để giúp các quản trị viên CNTT triển khai và quản lý môi trường đám mây và các trung tâm dữ liệu ảo đồng thời đảm bảo tuân thủ PCI khi cần thiết.
Các PCI DSS Virtualization Hướng dẫn Thông tin bổ sung , phát hành ngày 14 Tháng 6, bao gồm một số lĩnh vực ảo hóa, bao gồm các loại khác nhau của ảo hóa, ghi chú cụ thể về điện toán đám mây và làm thế nào để đảm bảo "hỗn hợp" môi trường ảo là tuân thủ, Bob Russo, tổng giám đốc của PCI Council, nói với eWEEK. Hướng dẫn này không có các yêu cầu hoặc tiêu chuẩn mới nhưng được dự định là mấu chốt về cách đảm bảo môi trường ảo phù hợp với chuẩn PCI-DSS 2.0 hiện tại.
Công nghệ ảo hóa giới thiệu những rủi ro mới có thể không tồn tại trong môi trường vật lý, Kurt Roemer, giám đốc an ninh của Citrix Systems và Chủ tịch Nhóm Quan tâm Đặc biệt Ảo nói với eWEEK. Virtualization SIG bao gồm 33 tổ chức thành viên PCI và soạn thảo hướng dẫn mới nhất.
Dữ liệu được lưu trữ trong môi trường ảo đã được bảo vệ bởi PCI DSS 2.0, có hiệu lực vào tháng Giêng. Các tổ chức tuân thủ PCI không bắt đầu từ đầu khi nhìn vào hướng dẫn này, Russo cho biết.
Các thương gia và các nhà cung cấp "yêu cầu thêm rõ ràng", và hướng dẫn cung cấp các giải thích và chi tiết cho các yêu cầu trong bối cảnh ảo hóa, Russo nói.
Virtualization SIG xem xét từng yêu cầu trong PCI DSS và kiểm tra nó trong môi trường ảo. Hướng dẫn cung cấp thêm chi tiết về mỗi yêu cầu, Roemer nói.
Ví dụ, một yêu cầu PCI DSS xác định rằng các quản trị viên phải phân chia khối lượng công việc PCI từ khối lượng công việc khác. Theo hướng dẫn này, hướng dẫn áp dụng yêu cầu môi trường ảo cần lưu ý rằng các tường lửa phải phân chia các máy ảo với các "vùng tin tưởng" khác nhau trong một môi trường đơn lẻ. Điều này đặc biệt quan trọng trong môi trường đám mây công cộng đa thuê, Roemer nói.
Các máy chủ ảo hiện nay phải đáp ứng yêu cầu quản trị viên "hạn chế việc truy cập vào các thành phần hệ thống và dữ liệu của chủ thẻ đối với những cá nhân có công việc đòi hỏi truy cập như vậy", theo tài liệu hướng dẫn, cho thấy rằng các tổ chức sẽ cần thực hiện kiểm soát truy cập vào hypervisor, host và các thành phần khác.
Trung tâm bảo hành laptop Acer tại Hà Nội
Hội đồng PCI không chấp nhận bất kỳ loại công nghệ hoặc kỹ thuật nào trong hướng dẫn của nó, để lại việc thực hiện thực tế cho từng doanh nghiệp. Nhiều khu vực sẽ phát triển, chẳng hạn như lưu trữ, mạng ảo và điện toán đám mây, nhưng các yêu cầu để quản lý công nghệ không nên thay đổi, Troy Leach, kiến trúc sư tiêu chuẩn của Hội đồng PCI, nói với eWEEK. Các hướng dẫn và tiêu chuẩn tương lai sẽ giải quyết các rủi ro đang phát triển, Leach nói.
"Không có phương pháp duy nhất để bảo vệ các môi trường ảo hóa," Russo nói.
SIG ban đầu bắt đầu tìm kiếm ảo hóa máy chủ vì đó là điều mà hầu hết các thành viên đã tập trung vào trong nỗ lực ảo hóa của họ, Roemer nói. Tuy nhiên, nhóm phát hiện ra có những cách sử dụng khác, chẳng hạn như cho các ứng dụng, máy tính để bàn và các máy chủ lưu trữ.
Hướng dẫn này khẳng định rằng nếu các công nghệ ảo hóa đang được sử dụng trong môi trường dữ liệu của chủ thẻ, yêu cầu PCI DSS phải được áp dụng. Một phát hiện quan trọng từ hướng dẫn này là ngay cả khi tổ chức đang chạy ứng dụng, cơ sở dữ liệu hoặc hệ thống lưu trữ trên một máy ảo, thương gia cần điều trị giống như trên một máy chủ vật lý, Russo nói.
Đồng thời, Cisco cũng công bố sẽ đưa ra giải pháp Cisco PCI dành cho Hướng dẫn Thiết kế và Triển khai Bán lẻ vào cuối tháng để giúp các doanh nghiệp và khách hàng bán lẻ có hướng dẫn sâu về cách các tổ chức có thể đạt được sự tuân thủ PCI. Tài liệu này cung cấp hướng dẫn cho các loại hình "dấu chân lưu trữ" khác nhau, chẳng hạn như quy mô của tổ chức bán lẻ và loại hình dịch vụ được cung cấp, Lindsay Parker, giám đốc ngành bán lẻ toàn cầu tại Cisco, nói với eWEEK ..
Hướng dẫn thực hiện PCI là "tương đương với một cuốn sách nấu ăn, một hướng dẫn làm thế nào để bảo vệ các hệ thống của tổ chức, bao gồm cơ sở hạ tầng ảo và không dây", Parker nói. Theo lời ông Parker, không giống như hướng dẫn của Hội đồng PCI, tài liệu của Cisco không ngừng khuyến khích các sản phẩm của Cisco và các đối tác, bao gồm HyTrust, RSA Security và EMC.
Parker nói: "Mặc dù sẽ tốt hơn nếu khách hàng mua đầy đủ các sản phẩm để triển khai các môi trường ảo tuân thủ PCI, Cisco hy vọng khách hàng có thể sử dụng các hướng dẫn chi tiết để tìm ra những gì cần phải làm để đạt được sự tuân thủ.
Theo các nhà phân tích, nhiều công ty bán lẻ và các doanh nghiệp thường có xu hướng xem sự tuân thủ PCI là "một sự tập trung vào thời gian", một điều được thực hiện khi kiểm toán hoàn thành.
Parker nói: Ít nhất bốn ngành công nghiệp khác, bao gồm chính phủ, giáo dục, y tế và dịch vụ tài chính đang hướng dẫn bán lẻ và sửa đổi thông tin chuyên ngành để tạo hướng dẫn tùy biến cho những khu vực này.
Trung Tâm Bảo Hành Laptop Asus tại Hà Nội
Các PCI DSS Virtualization Hướng dẫn Thông tin bổ sung , phát hành ngày 14 Tháng 6, bao gồm một số lĩnh vực ảo hóa, bao gồm các loại khác nhau của ảo hóa, ghi chú cụ thể về điện toán đám mây và làm thế nào để đảm bảo "hỗn hợp" môi trường ảo là tuân thủ, Bob Russo, tổng giám đốc của PCI Council, nói với eWEEK. Hướng dẫn này không có các yêu cầu hoặc tiêu chuẩn mới nhưng được dự định là mấu chốt về cách đảm bảo môi trường ảo phù hợp với chuẩn PCI-DSS 2.0 hiện tại.
Công nghệ ảo hóa giới thiệu những rủi ro mới có thể không tồn tại trong môi trường vật lý, Kurt Roemer, giám đốc an ninh của Citrix Systems và Chủ tịch Nhóm Quan tâm Đặc biệt Ảo nói với eWEEK. Virtualization SIG bao gồm 33 tổ chức thành viên PCI và soạn thảo hướng dẫn mới nhất.
Dữ liệu được lưu trữ trong môi trường ảo đã được bảo vệ bởi PCI DSS 2.0, có hiệu lực vào tháng Giêng. Các tổ chức tuân thủ PCI không bắt đầu từ đầu khi nhìn vào hướng dẫn này, Russo cho biết.
Các thương gia và các nhà cung cấp "yêu cầu thêm rõ ràng", và hướng dẫn cung cấp các giải thích và chi tiết cho các yêu cầu trong bối cảnh ảo hóa, Russo nói.
Virtualization SIG xem xét từng yêu cầu trong PCI DSS và kiểm tra nó trong môi trường ảo. Hướng dẫn cung cấp thêm chi tiết về mỗi yêu cầu, Roemer nói.
Ví dụ, một yêu cầu PCI DSS xác định rằng các quản trị viên phải phân chia khối lượng công việc PCI từ khối lượng công việc khác. Theo hướng dẫn này, hướng dẫn áp dụng yêu cầu môi trường ảo cần lưu ý rằng các tường lửa phải phân chia các máy ảo với các "vùng tin tưởng" khác nhau trong một môi trường đơn lẻ. Điều này đặc biệt quan trọng trong môi trường đám mây công cộng đa thuê, Roemer nói.
Các máy chủ ảo hiện nay phải đáp ứng yêu cầu quản trị viên "hạn chế việc truy cập vào các thành phần hệ thống và dữ liệu của chủ thẻ đối với những cá nhân có công việc đòi hỏi truy cập như vậy", theo tài liệu hướng dẫn, cho thấy rằng các tổ chức sẽ cần thực hiện kiểm soát truy cập vào hypervisor, host và các thành phần khác.
Trung tâm bảo hành laptop Acer tại Hà Nội
Hội đồng PCI không chấp nhận bất kỳ loại công nghệ hoặc kỹ thuật nào trong hướng dẫn của nó, để lại việc thực hiện thực tế cho từng doanh nghiệp. Nhiều khu vực sẽ phát triển, chẳng hạn như lưu trữ, mạng ảo và điện toán đám mây, nhưng các yêu cầu để quản lý công nghệ không nên thay đổi, Troy Leach, kiến trúc sư tiêu chuẩn của Hội đồng PCI, nói với eWEEK. Các hướng dẫn và tiêu chuẩn tương lai sẽ giải quyết các rủi ro đang phát triển, Leach nói.
"Không có phương pháp duy nhất để bảo vệ các môi trường ảo hóa," Russo nói.
SIG ban đầu bắt đầu tìm kiếm ảo hóa máy chủ vì đó là điều mà hầu hết các thành viên đã tập trung vào trong nỗ lực ảo hóa của họ, Roemer nói. Tuy nhiên, nhóm phát hiện ra có những cách sử dụng khác, chẳng hạn như cho các ứng dụng, máy tính để bàn và các máy chủ lưu trữ.
Hướng dẫn này khẳng định rằng nếu các công nghệ ảo hóa đang được sử dụng trong môi trường dữ liệu của chủ thẻ, yêu cầu PCI DSS phải được áp dụng. Một phát hiện quan trọng từ hướng dẫn này là ngay cả khi tổ chức đang chạy ứng dụng, cơ sở dữ liệu hoặc hệ thống lưu trữ trên một máy ảo, thương gia cần điều trị giống như trên một máy chủ vật lý, Russo nói.
Đồng thời, Cisco cũng công bố sẽ đưa ra giải pháp Cisco PCI dành cho Hướng dẫn Thiết kế và Triển khai Bán lẻ vào cuối tháng để giúp các doanh nghiệp và khách hàng bán lẻ có hướng dẫn sâu về cách các tổ chức có thể đạt được sự tuân thủ PCI. Tài liệu này cung cấp hướng dẫn cho các loại hình "dấu chân lưu trữ" khác nhau, chẳng hạn như quy mô của tổ chức bán lẻ và loại hình dịch vụ được cung cấp, Lindsay Parker, giám đốc ngành bán lẻ toàn cầu tại Cisco, nói với eWEEK ..
Hướng dẫn thực hiện PCI là "tương đương với một cuốn sách nấu ăn, một hướng dẫn làm thế nào để bảo vệ các hệ thống của tổ chức, bao gồm cơ sở hạ tầng ảo và không dây", Parker nói. Theo lời ông Parker, không giống như hướng dẫn của Hội đồng PCI, tài liệu của Cisco không ngừng khuyến khích các sản phẩm của Cisco và các đối tác, bao gồm HyTrust, RSA Security và EMC.
Parker nói: "Mặc dù sẽ tốt hơn nếu khách hàng mua đầy đủ các sản phẩm để triển khai các môi trường ảo tuân thủ PCI, Cisco hy vọng khách hàng có thể sử dụng các hướng dẫn chi tiết để tìm ra những gì cần phải làm để đạt được sự tuân thủ.
Theo các nhà phân tích, nhiều công ty bán lẻ và các doanh nghiệp thường có xu hướng xem sự tuân thủ PCI là "một sự tập trung vào thời gian", một điều được thực hiện khi kiểm toán hoàn thành.
Parker nói: Ít nhất bốn ngành công nghiệp khác, bao gồm chính phủ, giáo dục, y tế và dịch vụ tài chính đang hướng dẫn bán lẻ và sửa đổi thông tin chuyên ngành để tạo hướng dẫn tùy biến cho những khu vực này.
Trung Tâm Bảo Hành Laptop Asus tại Hà Nội