随着法规遵从性范围不断扩展,越来越多的虚拟环境将受到安全性和遵从性标准的制约,例如 PCI DSS、HIPAA 和 SOX (GLBA)。借助适当的工具,在 VMware vSphere 上实现并证明遵从性不但是可能的,而且往往比非虚拟环境更方便。
评估虚拟平台中的管理控制功能
第一步是打下一个安全的基础。随着安全威胁与日俱增、愈演愈烈,您的安全环境将需要变得灵活并具备适应能力。安全标准需要企业级管理功能,以便为实现和证明遵从性提供必要的控制措施。以下内容说明了虚拟计算平台为了满足遵从性要求而应当具备的管理功能。
从身份验证和授权功能开始
安全管理的第一步是身份验证和授权。所有通向外界的虚拟平台接口都必须具备身份验证控制措施,而且必须能够通过某种灵活的授权框架来授予各种细化的访问权限。您应当能够将这些权限限制在特定的对象或部分基础架构的范围之内,并且向适当的人员授予适当的权限,而不能违反“最低权限”原则。此外,用于管理虚拟机的权限必须与用于管理主机的权限分开,作为对应用程序所有者的权限范围加以限制的一项措施。内部人员可能会滥用权限(例如,系统管理员窃取数据,或数据所有者恶意或因疏忽而更改系统),而上述这种关键的“责任分离”(SoD) 机制限制了滥用行为的范围。
确保可以对配置和日志参数进行中央访问
为了简化平台配置,应该将参数保存为标准格式或易于读取的格式,并放置在少数为人熟知的位置。这些配置参数应当只由获得相应授权的人员进行访问和修改。此外,对于虚拟平台组件,应当提供对相关详细事件日志的集中访问权限,同时还应提供相关管理工具以便审查、分析和保留受控日志。
坚持使用灵活而完善的单一 API
虚拟化平台必须具备完善的开放式 API,用以捕获和查看清单,包括拓扑。该 API 必须能够控制各种功能,并可以安全地提取审核数据,例如前面提到的活动日志。另外,具有合理体系结构的系统不会使用多种用途各异的并行 API 集(例如,用于内部组件的 API 集,以及虽然与之相似,但明显是用于外部集成的 API 集)。如果只有一种 API,那么就能提供“单一的事实来源”,这样,您就可以确保能以一种始终如一的可靠方式对所有交互活动进行控制和监视。具备这些特征的 API 将更易于满足法规遵从性要求。
实现和证明遵从性
大多数规章在编排时都涵盖了多种预防性、检测性和其他性质的控制措施。例如,PCI DSS 直接参考了以下技术:
- 防火墙
- 防病毒和其他防恶意软件技术
- 网络入侵检测和预防
- 文件完整性检查
- 日志管理
- 漏洞管理
- Web 应用程序防火墙
标准可能会要求采用许多其他技术和安全流程。这些技术和流程包括安全策略开发、风险评估流程、安全感知程序和渗透测试等等。无论在遵从性方面有着怎样的目标,某些基础措施始终适用。控制类型可分为三种。
| 控制 | 示例 |
|---|---|
|
预防性控制:防止发生错误、疏忽或安全事故。 |
访问控制、责任分离、配置标准和设置、组织策略、防火墙和网络分离、漏洞管理计划 |
|
检测性控制:检测发生的错误或事故。 |
检测未经授权和未经测试的更改,以及其他监控和测量、侵入检测、漏洞扫描 |
|
纠正性控制:快速纠正错误,恢复正常操作。 |
各种程序和技术,用于移除未经授权的用户和更改,并且恢复服务 |
通过使用上述框架,您可以构建一项策略,以使虚拟机环境符合政府法律、行业指令、“最佳实践”框架,以及本地安全策略和程序。