مجازی سازی و استانداردهای امنیت صنعت پرداخت کارت (PCIDSS)

به گزارش پایگاه خبری بانکداری الکترونیک به نقل از تارنمای شرکت ایران کیش،مجازی‌سازی یکی از موضوعات داغ دنیای امروز است. شمار زیادی از افراد درگیر در صنعت پرداخت ناگزیرند با این پرسش مواجه شوند که دنیای مجازی چه زمانی با «استانداردهای امنیت داده» 1(DSS) در «صنعت پرداخت کارت» 2(PCI) و استانداردهای مرتبط، هماهنگ و سازگار خواهد شد. به نظر می‌رسد این موضوع از جمله موضوعات بسیار مهم و اساسی باشد بنابراین این مقاله  به مجازی‌سازی و اثرات آن بر PCI و امنیت به معنای عام نگاهی خواهد داشت.

مفهوم مجازی سازی

مجازی‌سازی فقط تکنولوژی نیست بلکه رویکردی کامل برای ساخت و اجرای زیرساخت‌های تکنولوژی است. مفهوم محوری مجازی‌سازی چنین است: یک محیط مدرن تکنولوژیک نیازمند اجرای برنامه‌های مختلفی است که معمولا مستلزم استفاده از سرورهای متعدد است.

کامپیوترهای مدرن امروزی اغلب بسیار قدرتمند هستند، به مراتب قدرتمندتر از آنچه که برای یک برنامه خاص مورد نیاز است. یک رویکرد می‌تواند خرید سرورهای مختلف و اختصاص هر یک به عملکردی خاص باشد اما استفاده از بخشی از ظرفیت سرورهای اختصاصی، بی‌فایده و هزینه‌بر است. یک رویکرد ساده این است که سرورهای کمتری تهیه شده و از آن برای مقاصد مختلف استفاده شود. این رویکرد با صرفه‌جویی همراه است اما قدری بی‌نظمی و محدودیت نیز در پی دارد. گاهی اوقات، برنامه‌های مختلف به سرورهای کاملا متفاوتی نیاز دارد و احتمال تداخل برنامه‌ها با یکدیگر و تولید مشکل زیاد است. گاهی نیز برنامه‌های خاصی هستند که به ظرفیت بیشتر روی سرورهای خود نیاز دارند و استفاده مشترک از یک سرور را دشوار می‌سازند.

ظاهرا ما همه چیز را با هم می‌خواهیم. آرزو می‌کنیم بتوانیم برنامه‌های مختلف را روی یک سرور پیاده کنیم تا بیشتر صرفه‌جویی کرده باشیم و از سوی دیگر می‌خواهیم هر برنامه روی سرور اختصاصی خودش باشد تا مطمئن شویم که تداخلی پیش نخواهد آمد؛ و البته برای برخورداری از اختیار و آزادی عمل بیشتر، آرزو می‌کنیم بتوانیم هر لحظه هر نوع سروری که نیاز داریم، بسازیم.

باید گفت که دنیای مجازی در کمال شگفتی در آستانه محقق ساختن همه آرزوهای گفته شده است؛ بدین ترتیب که به جای لود عملیات مختلف بر روی یک سرور قدرتمند و ابراز امیدواری برای اجرای بدون اشکال این برنامه‌ها در کنار یکدیگر، از فضای مجازی برای اتصال «مجازی» سرورهای مختلفی که نرم‌افزارها را روی سرور واقعی اجرا می‌کنند، استفاده می‌کنیم و با این شیوه می‌توانیم عملیات مختلف را روی سرورهای مجازی مختلف اجرا کنیم.

سرور واقعی همانگونه که در آرزوی اول خواسته بودیم، عملیات مختلف را اجرا و مدیریت می‌کند اما هر برنامه به عنوان یک ماشین مجازی مستقل(VM)، از بقیه مجزا شده است. هر VM دقیقا و صرفا از سرور مربوطه و سیستم عامل مناسب برای برنامه خاص خود استفاده می‌کند که همان آرزوی دوم است. به علاوه، اگر سرور واقعی ظرفیت کافی داشته باشد، می‌توانیم شبکه‌های مجازی یا سرورهای دیتابیس بیشتری در هر زمانی که نیاز داریم، ایجاد کنیم که تحقق آرزوی سوم است.

مراقب باشید چه آرزو می‌کنید

فضای مجازی می‌تواند به طور شگفت‌انگیزی سودمند بوده و صرفه‌جویی‌های بسیار و کارآمدی بیشتری در راه‌اندازی یک مرکز کامپیوتر مدرن داشته باشد. به همین دلیل است که بسیاری از سازمان‌ها به سمت محیط‌های مجازی حرکت می‌کنند.

این موضوع اهمیت اساسی دارد که چنین سازمان‌هایی بدانند مجازی‌سازی هرگز در پی افزایش و تامین امنیت بیشتر برای آن‌ها نبوده است. در واقع، مشکلات امنیتی که این تکنولوژی ایجاد کرده، از مشکلاتی که حل کرده، بسیار بیشتر است. ما ناگزیر هستیم هنگام ارزیابی و بررسی وضعیت صنعت پرداخت کارتی، به دلایل و ریشه‌های این موضوع نیز نگاهی داشته باشیم.

مهمترین و بنیادی‌ترین نکته این است که مجازی‌سازی در مقایسه با رویکرد استفاده از سرورهای واقعی سنتی و ناکارآمد اما ساده، بسیار پیچیده‌تر است و پیچیدگی همیشه اصلی‌ترین دشمن امنیت است. در یک دنیای مجازی، موضوعات بسیاری برای نگرانی وجود دارد از جمله حملات وسیعتر و بزرگتر. باید مراقب ماشین‌های مجازی و هرکاری که می‌توانند انجام دهند (که تقریبا همانند بخش امنیت سرورهای غیرمجازی است) باشید.

مضاف بر این، باید به خاطر سرور واقعی که مدیریت ماشین‌های مجازی را برعهده دارد، و نرم‌افزارهای ویژه فضای مجازی مورد نیاز نیز جانب احتیاط را نگه دارید. سرور واقعی از نرم‌افزار hypervisor استفاده می‌کند که مدیریتVMها را برعهده دارد. Hypervisor همچنین مدیر ماشین مجازی نامیده می‌شود. اگر یک هکر بتواند کنترل سرور واقعی یا hypervisor را بدست گیرد، به این معنی است که کنترل ماشین‌های مجازی را نیز در اختیار دارد.

دومین مورد این که مجازی‌سازی هنوز تکنولوژی نوپایی است و برنامه‌ها و امنیت آن هنوز در گذر زمان و تجربه، مورد آزمایش قرار نگرفته است. ممکن است در برنامه‌های کنونی نقطه ضعف‌ها و مشکلات سیستماتیکی وجود داشته باشد که هنوز با آن مواجه نشده‌ایم. به علاوه، میزان تجربه و آشنایی افراد با امنیت مجازی‌سازی هنوز آنقدر زیاد نیست که بتوان از آن به یک نتیجه رسید.

سوم؛ پارهای از مشکلات امنیتی مستقیما برخاسته از ماهیت مجازی‌سازی است. نقاط ضعف احتمالی می‌تواند ناشی از داده‌ها یا حملاتی باشد که تحت یک سرور واقعی، از یک ماشین مجازی به دیگری، از ماشین مجازی به سرور یا بالعکس، منتقل می‌شود.

این وضعیت به ویژه وقتی پیچیده‌تر می‌شود که با ماشین‌های مجازی چندگانه و دارای سطوح مختلف امنیتی (برای مثال یک VM بسیار ایمن در کنار یک VM کمتر ایمن) روی یک سرور سخت‌افزاری، سروکار داشته باشید.

یکی دیگر از حالت‌ها فقط در فضای مجازی‌شده اتفاق می‌افتد: وقتی که کل ماشین مجازی تماما نرم‌افزار است و داده‌ها را می‌توان حتی به صورت تصادفی، به عنوان بخشی از ایمیج سخت‌افزار یا بکآپ سرور واقعی بدست آورد.

سرقت می‌تواند شامل تمام اطلاعات مهمی‌که ماشین مجازی در آن لحظه مشغول استفاده بوده، باشد. به علاوه، یک سرور مجازی می‌تواند به راحتی در وضعیت غیرفعال قرار گیرد به این معنی که از آپدیت‌های سیستم و ابزارهای حفاظتی معمول جدا شود.

چشم‌انداز مشکل

مجازی‌سازی از منظر تطابق با PCI می‌تواند آشفتگی بسیاری ایجاد کند چراکه بخش اعظم استانداردهای امنیت داده صنعت پرداخت کارت (PCIDSS) بر اساس این ایده کلیدی چشم‌انداز عمل می‌کند: چه سیستم‌هایی در حال اجراست و کدام یک نیستند. مجازی‌سازی ذاتا عامل سردرگمی نسبت به این موضوع است.

باتوجه به تمام این مشکلات، برای مراقبت از فضای مجازی شده و انطباق با مقررات PCI چه باید کرد؟ «شورای استانداردهای امنیت PCI» اخیرا بسته اطلاعاتی را منتشر کرد که حاوی شرح مشکلات و راهکارهای پیشنهادی است.

اغلب راهکارها مناسب و منطقی اما متاسفانه بسیار عمومی و سطح بالاست؛ برای مثال «از سیستم دفاعی قدرتمند استفاده کنید» که کاملا درست است. این سند قطعا ارزش مطالعه جهت شناخت بهتر مجازی‌سازی و برنامه‌ریزی برای تغییراتی که برنامه امنیتی شما نیاز خواهد داشت، داراست. سرانجام این که مجازی‌سازی می‌تواند صرفه جویی‌های بسیار بیشتری از حیث زیرساخت‌ها و مدیریت منابع برای سازمان‌های بزرگتر در بر داشته باشد و در عین حال تامین امنیت را بیشتر پیچیده می‌کند تا ساده.

توسعه مجازی‌سازی

این تکنولوژی سبز چندین دهه قبل در شرکت IBM کلید خورد اما  VMware.Incنخستین شرکتی بود که بازاریابی و توسعه این نرم‌افزار جهت استفاده تجاری را به طور جدی از سال 1999 آغاز کرد. این فناوری به شرکت‌ها امکان می‌داد که تا حد قابل توجهی اندازه و محل نگهداری سرورهای خود را کوچک کرده و در هزینه‌هایشان بویژه هزینه برق مورد نیاز برای خنک ردن سرورها، صرفه‌جویی کنند.

مجازی‌سازی همچنین به مدیران فناوری اطلاعات امکان کنترل و بروزرسانی مداوم نرم‌افزارهای روی تمام کامپیوترها از طریق یک اتاق کنترل را داده و ریکاوری را ساده‌تر می‌سازد. مایکروسافت و برخی دیگر از شرکت‌ها هر یک نسخه تکنولوژی مجازی‌سازی خود را ارایه کرده‌اند اما VMware که پیش‌بینی شده 3.76 میلیارد دلار در سال 2011 درآمد داشته باشد، هنوز در این زمینه پیشتاز شناخته می‌شود.