مجازی سازی و استانداردهای امنیت صنعت پرداخت کارت (PCIDSS)
مدیریـت زیرسـاخـتها در دنیـای مجـازی Virtualization
مجازیسازی از منظر تطابق با PCI میتواند آشفتگی بسیاری ایجاد کند چراکه بخش اعظم استانداردهای امنیت داده صنعت پرداخت کارت (PCIDSS) بر اساس این ایده کلیدی چشمانداز عمل میکند: چه سیستمهایی در حال اجراست و کدام یک نیستند. مجازیسازی ذاتا عامل سردرگمی نسبت به این موضوع است.
به گزارش پایگاه خبری بانکداری الکترونیک به نقل از تارنمای شرکت ایران کیش،مجازیسازی یکی از موضوعات داغ دنیای امروز است. شمار زیادی از افراد درگیر در صنعت پرداخت ناگزیرند با این پرسش مواجه شوند که دنیای مجازی چه زمانی با «استانداردهای امنیت داده» 1(DSS) در «صنعت پرداخت کارت» 2(PCI) و استانداردهای مرتبط، هماهنگ و سازگار خواهد شد. به نظر میرسد این موضوع از جمله موضوعات بسیار مهم و اساسی باشد بنابراین این مقاله به مجازیسازی و اثرات آن بر PCI و امنیت به معنای عام نگاهی خواهد داشت.
مفهوم مجازی سازی
مجازیسازی فقط تکنولوژی نیست بلکه رویکردی کامل برای ساخت و اجرای زیرساختهای تکنولوژی است. مفهوم محوری مجازیسازی چنین است: یک محیط مدرن تکنولوژیک نیازمند اجرای برنامههای مختلفی است که معمولا مستلزم استفاده از سرورهای متعدد است.
کامپیوترهای مدرن امروزی اغلب بسیار قدرتمند هستند، به مراتب قدرتمندتر از آنچه که برای یک برنامه خاص مورد نیاز است. یک رویکرد میتواند خرید سرورهای مختلف و اختصاص هر یک به عملکردی خاص باشد اما استفاده از بخشی از ظرفیت سرورهای اختصاصی، بیفایده و هزینهبر است. یک رویکرد ساده این است که سرورهای کمتری تهیه شده و از آن برای مقاصد مختلف استفاده شود. این رویکرد با صرفهجویی همراه است اما قدری بینظمی و محدودیت نیز در پی دارد. گاهی اوقات، برنامههای مختلف به سرورهای کاملا متفاوتی نیاز دارد و احتمال تداخل برنامهها با یکدیگر و تولید مشکل زیاد است. گاهی نیز برنامههای خاصی هستند که به ظرفیت بیشتر روی سرورهای خود نیاز دارند و استفاده مشترک از یک سرور را دشوار میسازند.
ظاهرا ما همه چیز را با هم میخواهیم. آرزو میکنیم بتوانیم برنامههای مختلف را روی یک سرور پیاده کنیم تا بیشتر صرفهجویی کرده باشیم و از سوی دیگر میخواهیم هر برنامه روی سرور اختصاصی خودش باشد تا مطمئن شویم که تداخلی پیش نخواهد آمد؛ و البته برای برخورداری از اختیار و آزادی عمل بیشتر، آرزو میکنیم بتوانیم هر لحظه هر نوع سروری که نیاز داریم، بسازیم.
باید گفت که دنیای مجازی در کمال شگفتی در آستانه محقق ساختن همه آرزوهای گفته شده است؛ بدین ترتیب که به جای لود عملیات مختلف بر روی یک سرور قدرتمند و ابراز امیدواری برای اجرای بدون اشکال این برنامهها در کنار یکدیگر، از فضای مجازی برای اتصال «مجازی» سرورهای مختلفی که نرمافزارها را روی سرور واقعی اجرا میکنند، استفاده میکنیم و با این شیوه میتوانیم عملیات مختلف را روی سرورهای مجازی مختلف اجرا کنیم.
سرور واقعی همانگونه که در آرزوی اول خواسته بودیم، عملیات مختلف را اجرا و مدیریت میکند اما هر برنامه به عنوان یک ماشین مجازی مستقل(VM)، از بقیه مجزا شده است. هر VM دقیقا و صرفا از سرور مربوطه و سیستم عامل مناسب برای برنامه خاص خود استفاده میکند که همان آرزوی دوم است. به علاوه، اگر سرور واقعی ظرفیت کافی داشته باشد، میتوانیم شبکههای مجازی یا سرورهای دیتابیس بیشتری در هر زمانی که نیاز داریم، ایجاد کنیم که تحقق آرزوی سوم است.
مراقب باشید چه آرزو میکنید
فضای مجازی میتواند به طور شگفتانگیزی سودمند بوده و صرفهجوییهای بسیار و کارآمدی بیشتری در راهاندازی یک مرکز کامپیوتر مدرن داشته باشد. به همین دلیل است که بسیاری از سازمانها به سمت محیطهای مجازی حرکت میکنند.
این موضوع اهمیت اساسی دارد که چنین سازمانهایی بدانند مجازیسازی هرگز در پی افزایش و تامین امنیت بیشتر برای آنها نبوده است. در واقع، مشکلات امنیتی که این تکنولوژی ایجاد کرده، از مشکلاتی که حل کرده، بسیار بیشتر است. ما ناگزیر هستیم هنگام ارزیابی و بررسی وضعیت صنعت پرداخت کارتی، به دلایل و ریشههای این موضوع نیز نگاهی داشته باشیم.
مهمترین و بنیادیترین نکته این است که مجازیسازی در مقایسه با رویکرد استفاده از سرورهای واقعی سنتی و ناکارآمد اما ساده، بسیار پیچیدهتر است و پیچیدگی همیشه اصلیترین دشمن امنیت است. در یک دنیای مجازی، موضوعات بسیاری برای نگرانی وجود دارد از جمله حملات وسیعتر و بزرگتر. باید مراقب ماشینهای مجازی و هرکاری که میتوانند انجام دهند (که تقریبا همانند بخش امنیت سرورهای غیرمجازی است) باشید.
مضاف بر این، باید به خاطر سرور واقعی که مدیریت ماشینهای مجازی را برعهده دارد، و نرمافزارهای ویژه فضای مجازی مورد نیاز نیز جانب احتیاط را نگه دارید. سرور واقعی از نرمافزار hypervisor استفاده میکند که مدیریتVMها را برعهده دارد. Hypervisor همچنین مدیر ماشین مجازی نامیده میشود. اگر یک هکر بتواند کنترل سرور واقعی یا hypervisor را بدست گیرد، به این معنی است که کنترل ماشینهای مجازی را نیز در اختیار دارد.
دومین مورد این که مجازیسازی هنوز تکنولوژی نوپایی است و برنامهها و امنیت آن هنوز در گذر زمان و تجربه، مورد آزمایش قرار نگرفته است. ممکن است در برنامههای کنونی نقطه ضعفها و مشکلات سیستماتیکی وجود داشته باشد که هنوز با آن مواجه نشدهایم. به علاوه، میزان تجربه و آشنایی افراد با امنیت مجازیسازی هنوز آنقدر زیاد نیست که بتوان از آن به یک نتیجه رسید.
سوم؛ پارهای از مشکلات امنیتی مستقیما برخاسته از ماهیت مجازیسازی است. نقاط ضعف احتمالی میتواند ناشی از دادهها یا حملاتی باشد که تحت یک سرور واقعی، از یک ماشین مجازی به دیگری، از ماشین مجازی به سرور یا بالعکس، منتقل میشود.
این وضعیت به ویژه وقتی پیچیدهتر میشود که با ماشینهای مجازی چندگانه و دارای سطوح مختلف امنیتی (برای مثال یک VM بسیار ایمن در کنار یک VM کمتر ایمن) روی یک سرور سختافزاری، سروکار داشته باشید.
یکی دیگر از حالتها فقط در فضای مجازیشده اتفاق میافتد: وقتی که کل ماشین مجازی تماما نرمافزار است و دادهها را میتوان حتی به صورت تصادفی، به عنوان بخشی از ایمیج سختافزار یا بکآپ سرور واقعی بدست آورد.
سرقت میتواند شامل تمام اطلاعات مهمیکه ماشین مجازی در آن لحظه مشغول استفاده بوده، باشد. به علاوه، یک سرور مجازی میتواند به راحتی در وضعیت غیرفعال قرار گیرد به این معنی که از آپدیتهای سیستم و ابزارهای حفاظتی معمول جدا شود.
چشمانداز مشکل
مجازیسازی از منظر تطابق با PCI میتواند آشفتگی بسیاری ایجاد کند چراکه بخش اعظم استانداردهای امنیت داده صنعت پرداخت کارت (PCIDSS) بر اساس این ایده کلیدی چشمانداز عمل میکند: چه سیستمهایی در حال اجراست و کدام یک نیستند. مجازیسازی ذاتا عامل سردرگمی نسبت به این موضوع است.
باتوجه به تمام این مشکلات، برای مراقبت از فضای مجازی شده و انطباق با مقررات PCI چه باید کرد؟ «شورای استانداردهای امنیت PCI» اخیرا بسته اطلاعاتی را منتشر کرد که حاوی شرح مشکلات و راهکارهای پیشنهادی است.
اغلب راهکارها مناسب و منطقی اما متاسفانه بسیار عمومی و سطح بالاست؛ برای مثال «از سیستم دفاعی قدرتمند استفاده کنید» که کاملا درست است. این سند قطعا ارزش مطالعه جهت شناخت بهتر مجازیسازی و برنامهریزی برای تغییراتی که برنامه امنیتی شما نیاز خواهد داشت، داراست. سرانجام این که مجازیسازی میتواند صرفه جوییهای بسیار بیشتری از حیث زیرساختها و مدیریت منابع برای سازمانهای بزرگتر در بر داشته باشد و در عین حال تامین امنیت را بیشتر پیچیده میکند تا ساده.
توسعه مجازیسازی
این تکنولوژی سبز چندین دهه قبل در شرکت IBM کلید خورد اما VMware.Incنخستین شرکتی بود که بازاریابی و توسعه این نرمافزار جهت استفاده تجاری را به طور جدی از سال 1999 آغاز کرد. این فناوری به شرکتها امکان میداد که تا حد قابل توجهی اندازه و محل نگهداری سرورهای خود را کوچک کرده و در هزینههایشان بویژه هزینه برق مورد نیاز برای خنک ردن سرورها، صرفهجویی کنند.
مجازیسازی همچنین به مدیران فناوری اطلاعات امکان کنترل و بروزرسانی مداوم نرمافزارهای روی تمام کامپیوترها از طریق یک اتاق کنترل را داده و ریکاوری را سادهتر میسازد. مایکروسافت و برخی دیگر از شرکتها هر یک نسخه تکنولوژی مجازیسازی خود را ارایه کردهاند اما VMware که پیشبینی شده 3.76 میلیارد دلار در سال 2011 درآمد داشته باشد، هنوز در این زمینه پیشتاز شناخته میشود.
با عرض سلام و خسته نباشید چنانچه مقاله ای در مورد روشهای ایجاد امنیت در مجازی سازی دارید برایم بفرستید متشکرم