多年来，零售商、贸易商以及支付服务提供商一直在问这样的问题：虚拟化可以用在PCI兼容的持卡人数据环境（cardholder data environment ，CDE）中吗？

　　一些合格的安全评估员（QSA）以及审核员认为，PCI DSS中“每个服务器一个功能”的要求（要求2.2.1）把虚拟化排除在了持卡人数据环境中可接受的技术之外。其他一些安全评估员、审计员以及架构师认为，这个“每个服务器一个功能”的要求，可以通过在每个虚拟机服务器上安装一个功能的方式来实现，而这些虚拟机服务器上一般运行在管理程序（hypervisor）之上。但是，目前还没有来自PCI安全标准委员会的官方规定，因此这个问题还未解决。

　　当PCI DSS v2.0版文件在2011年1月1日开始启用时，这个争论的主要部分就被解决了：是的，在一个PCI兼容的持卡人数据环境中的虚拟化是可以接受的。但这只解决了一部分。更深层次的PCI DSS虚拟化问题是：那些虚拟化服务器和部件应该如何安装、配置以及管理，这些都是DSS 2.0版本没有解决的。

　　为了给这些问题提供答案，PCI安全标准委员会创建了一个委员会，称之为PCI虚拟化特别兴趣小组（Special Interest Group，SIG），其成员包括来自各个行业的企业代表，有金融服务业、云服务提供商、虚拟化供应商以及零售商。SIG组的最大职权之一是起草并发布一个“定义并介绍了通用PCI虚拟化使用情况的白皮书”和一个“提供了关于虚拟化使用的详细指南，从而满足PCI DSS要求的制图工具，包括明确推荐、要求和可审查控制等要求。”

　　2011年6月14日，这个指导意见作为补充信息对外发布，即《PCI DSS虚拟化指南》（PDF）。本文中，我们将分析PCI虚拟化特别兴趣小组的建议，并讨论在持卡人数据环境中，保持PCI兼容的情况下实施虚拟化的可行性。

　　PCI虚拟化指南概览

　　如果你对虚拟化技术很熟悉，那么请直接跳到该指南的15到29页，这部分具体讲的是在持卡人数据环境中该做什么。这个SIG指南（PDF）分为两个主要部分：正文和附录。正文部分中，有好几页用来分层对虚拟化的含义进行阐释。接着有大约5页来解释虚拟化特有的安全问题和风险，之后的10页内容是关于保护在混合模式（包括虚拟化）和云环境中持卡人数据的一般建议，然后是关于如何在这些环境中评估风险的指导。

　　对于一个通晓虚拟化的实施者和评估员来讲，这个指南实质的内容在附录里。有10页的附录指出了“虚拟化注意事项”，并详细说明了虚拟化对其有影响的PCI DSS要求的“另外的最佳做法/建议”。例如，DSS的要求1适用于在持卡人数据环境中从外部/公共网络到服务器和系统的防火墙和连接。在要求1中，虚拟化指南添加了最佳做法/建议：“不要放置不信任的系统或者网络到同一个主机或者管理程序上，并将其作为持卡人数据环境中的系统。”如果你正在你的持卡人数据环境中使用虚拟化，请认真阅读这个附录，并将写在指南上的过程和控制与你自己的进行核对。

　　尽管这个指南在附录里说明了具体的最佳做法和建议，但是它也谨慎地指出：它们“不会取代、替换和扩展PCI DSS的要求。这里包含的所有最佳做法和建议仅仅是作为指导意见”。换句话说，不要期望这个新的指南能平息评估员和执行者之间的所有争论。虽然这个指南提供了关于如何在持卡人数据环境中安全地实施虚拟化急需的内容扩展，但是PCI DSS仍然是最后拍板的遵从规则，尽管它很少提及虚拟化。

　　管理程序不适应？

　　有一个概念反复出现在PCI虚拟化特别兴趣小组的指南注意事项和最佳做法中——运行在单个管理程序上的虚拟机是处于一个相同的信任区域，并且它们全都可以被视为存在于持卡人数据环境的内部。换句话说，“如果运行在一个特定管理程序、或主机上的任何部件是在PCI DSS的范围内，那么我们建议在这个管理程序和主机上的所有部件也都应该被视为是在其范围内。”沿着这条相同的架构思想路线，这个指南还建议将运行在同一个管理程序上的更不安全的服务器虚拟机换成一个更安全的，因为“如果将其视为更低安全性的部件而被托管在同一个系统或管理程序上，那么要求更高安全性的虚拟部件则会在无意中承担额外的风险。”

　　这一点表面上听起来似乎相当简单，但是在实践中会有大的问题。数据中心虚拟化的一个好处是：在单个虚拟机上建立多个服务器的灵活性，以及当需要更多（或更少）处理能力时将虚拟机从一个硬件组件转移到另一个的灵活性。但是，考虑到在单个管理程序上的所有部件都要在PCI范围内的这个要求，把一个非PCI部件放到该管理程序上会使持卡人数据环境不再兼容，否则就会把持卡人数据置于风险之中。

　　这个指南还指出了一些对虚拟机之间进行监控的问题。传统的网络监控设备监测从管理程序流向有线或无线网络的流量。但是，在同一个管理程序上从虚拟机到虚拟机的内部流量又应该怎样监测呢？正如这个指南所指出的那样，虚拟的“防火墙和路由器可以被嵌入到管理程序中”，从而解决虚拟机内部“盲点”问题，但这又可能意味着需要采购新的软件。

　　最后一点值得注意的是，如何在支付生态系统内使用虚拟桌面基础设施（VDI）以及应用程序。根据这个指南，“如果它们与处理、存储或者持卡人数据传输，或者提供访问持卡人数据环境等有关的话，那么它们就是在范围内的。”对于广泛使用VDI的公司来讲，对该架构的一个重新评估是为了确保PCI审核范围属于被正确定义。为了减小范围，额外的网络分段、甚至限制访问某些设备可能是必要的。

　　它仍然是你的数据

　　虽然云和虚拟化技术不是紧密相连的（你可以拥有其中一个，而没有另一个），但在实际的架构上这两种技术通常一起部署。这个指南意识到了这一点，同时也提供了一些关于在云上进行持卡人数据保护的指导。这个指南涉及了三个主要云模型：基础设施、平台以及软件即服务（SaaS）。在所有情况下，它们指出数据保护组件，即持卡人数据驻留的那层，是由云客户所负责的。同时，不要认为有PCI认可的服务提供商协助你，你就可以不用负责数据的管理了。无论你正在把持卡人数据存储在本地或者在公共云里，数据保护的责任都是你的，除非你已经清楚明确地以具有法律约束力的方式把这个责任转移了。

　　结论

　　是的，简而言之，你的企业可以使用虚拟化技术并维护PCI兼容的持卡人数据环境，但是要安全地设置和部署这个技术并不容易，这个指南里包含了许多重要的理由。如果你的企业还没有对风险模型化的虚拟环境进行广泛的研究，那么这个指南在如何实施正确的控制来保证持卡人的数据安全方面可以很好的帮助你。如果你是一个在虚拟化风险方面经验丰富的人，那么你也许可以跳过介绍和背景部分，但是不要忽略那些建议和最佳做法以及附录A，尤其是关于管理程序分离和云中数据保护责任的要点。