確保云計算符合規(guī)則的三個關鍵要求

　　支付卡行業(yè)數(shù)據(jù)安全標準最近更新到了PCI DSS 3.0，對于在PCI監(jiān)管的基礎設施中的云計算的使用，PCI DSS 3.0有三個新要求與之最為相關。

　　最近，支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）更新到新版本——PCI DSS 3.0。在某些領域，新要求可能會影響支持該標準的商家和服務提供商（云計算及其他服務）的合規(guī)計劃。其中，與云計算相關的受影響最大的領域是，持卡人數(shù)據(jù)環(huán)境（CDE）與云計算交互使用的情況。

　　商家將會發(fā)現(xiàn)，云計算中的PCI DSS合規(guī)一直是很復雜且具有挑戰(zhàn)性的話題，以至于PCI安全標準委員會發(fā)布了一整份文檔來描述如何在PCI環(huán)境下使用云計算。然而，PCI 3.0有幾個方面可能讓這個已經(jīng)很復雜的情況變得更加復雜。這并不是因為3.0版本有新語言或專門應對云計算情況的新要求（事實并非如此），或者因為它取代了上面提到的指導文件（并不存在）。相反，這種混亂是因為一些新要求所產(chǎn)生的影響，對于云計算來說很難解決和維護。

　　PCI DSS 3.0有什么不同？

　　對于在PCI監(jiān)管的基礎設施中的云計算的使用，PCI DSS 3.0有三個新要求與之最為相關：

　　Req. 2.4：“對PCI DSS范圍內的系統(tǒng)組件進行庫存管理。”

　　Req. 1.1.3：“顯示跨系統(tǒng)和網(wǎng)絡所有持卡人數(shù)據(jù)流的當前視圖。”

　　Req. 12.8.5：“明確哪些PCI DSS要求由每個服務提供商管理以及哪些由企業(yè)實體管理。”

　　值得注意的是，這些并不是唯一的新要求，它們也不是對在PCI環(huán)境中使用云計算的唯一要求。然而，對于正在使用云計算并已經(jīng)建立了PCI合規(guī)來解決CDE內的使用的企業(yè)而言，這三個要求可能在未來幾個月中會造成很大的混亂。了解這里的原因需要更深入到每一個要求。

　　盤點和IaaS

　　利用云計算的企業(yè)必須要注意的第一個要求是盤點系統(tǒng)組件。PCI DSS標準在PCI 3.0文檔的第10頁描述了“系統(tǒng)組件”的含義，但我們想要強調的關鍵點是它包括了虛擬機。對任何虛擬環(huán)境進行過徹底盤查的企業(yè)都知道這有多么困難，但請記住，在云計算部署（特別是基礎設施即服務）中，這可能比企業(yè)直接控制的虛擬環(huán)境更加復雜，尤其是當由服務供應商提供支持時。試想一下，服務提供商支持人員決定克隆一個實例來幫助測試補丁兼容性，或者動態(tài)地重新定位鏡像來響應性能瓶頸問題。這意味著客戶現(xiàn)在必須更加勤奮地追蹤CDE內實例的創(chuàng)建和銷毀，以保持庫存的更新。

　　為了做好準備，企業(yè)有幾種選擇。最壞的情況下，大多數(shù)IaaS供應商將會提供其環(huán)境中鏡像的原始清單以便進行計費，或者通過其控制面板提供清單。雖然這個清單可能不是企業(yè)想要的（例如，它并不會顯示鏡像的目的或者其中有何軟件），但至少這是一個開始。如果你的企業(yè)有來自服務提供商的專門技術人員來支持你的賬戶（例如你是特定供應商的大客戶），在創(chuàng)建庫存清單時考慮列出供應商的幫助支持。如果你不是大客戶或者你的云服務提供商不合適（或成本太高），考慮采用自動化功能；例如，在你的虛擬“黃金鏡像”預配置盤查代理，可能有助于捕捉你不知道的新實例或克隆。

　　數(shù)據(jù)流和SaaS

　　下一個挑戰(zhàn)涉及在某些云計算環(huán)境中映射數(shù)據(jù)流，特別是軟件即服務（SaaS）。與平臺即服務（PaaS）和IaaS不同，在SaaS中，應用本身是一個“黑盒子”，這意味著SaaS客戶被故意從應用運行的底層機制屏蔽。例如，當你登錄到LinkedIn或Facebook時，你知道你的用戶ID穿行在哪臺服務器或者多少不同的數(shù)據(jù)庫連接到內部后端環(huán)境？你關心嗎？或許你不在乎，只要你能正確登錄�，F(xiàn)在，鏡像能解決這個要求，它不僅能了解如何進行整個過程，而且還能記錄數(shù)據(jù)采用的確切路徑。

　　現(xiàn)在，請記住，該標準中并沒有說數(shù)據(jù)流圖要“知道不可知的情況”，當企業(yè)對遠程基礎設施沒有充分可視性，達到這種詳細程度并不總是現(xiàn)實的。在另一方面，圖表上有箭頭指向互聯(lián)網(wǎng)稱，“PAN發(fā)送到遠程計費供應商”，并不能達到評估員的標準，所以需要尋找一個中間立場，來徹底滿足評估，同時沒有那么繁瑣，讓企業(yè)可以實現(xiàn)。對此，你可以從記錄你所知道的并讓供應商完成測試開始。如果他們不能（或者不愿意）幫助向下鉆取以及更詳細，請確保記錄這個事實。你應該向評估者提供證據(jù)證明你已經(jīng)作出最大努力來收集具體數(shù)據(jù)，這可以讓評估人員了解你已經(jīng)完全考慮過這個要求。

　　服務提供商矩陣

　　PCI總是要求企業(yè)檢查其服務供應商的PCI合規(guī)狀態(tài)，但現(xiàn)在它還要求企業(yè)記錄哪些PCI要求由供應商負責，哪些由企業(yè)自己負責。

　　這可能聽起來像是一件容易的事，但請記住，云供應商（無論是SaaS、PaaS或者IaaS）以及更傳統(tǒng)的服務供應商都屬于這一類。這意味著企業(yè)現(xiàn)在必須確定誰負責特定的PCI DSS控制：企業(yè)還是供應商。雖然一些服務提供商（特別是經(jīng)常服務于商家社區(qū)的提供商）已經(jīng)有他們所提供的控制的現(xiàn)成的清單，其他提供商可能并不會完全認同特定企業(yè)對責任劃分的觀點。這意味著企業(yè)需要與服務提供商反復協(xié)商來建立一個雙方都同意的清單。

　　結論

　　要注意的是，這三個要求并不是PCI DSS為部署云計算的商家?guī)�來的唯一變化。然而，對于這些要求，精明的安全和合規(guī)從業(yè)人員需要做一些準備和前期規(guī)劃以迎接新標準。