RSA安全概要指引虚拟化环境遵规管理

2009年10月10日 – RSA，EMC 信息安全事业部日前发布了最新RSA 题为《虚拟世界安全遵规》的信息安全概要，为组织应对虚拟环境的遵规提供最佳实践。

随着越来越多的组织加速虚拟化部署，人们对遵规项目越来越挑剔。最新RSA信息安全概要为管理层和技术工作者提供实用指南，在虚拟化基础架构环境中建立坚固的基础，降低风险，满足各种法规、行业标准和内部政策的遵规需求。RSA信息安全概要的作者包括很多来自EMC和VMware的业界最著名安全和虚拟化专家，包括EMC RSA信息安全事业部首席技术官Bret Hartman、VMware研发部门首席技术官兼高级副总裁Stephen Herrod博士及其他EMC资深技术专家。

 “EMC和VMware具有独特的地位，能够提供可靠的建议，让组织在虚拟环境中最好地实现并保持遵规，”企业战略集团高级分析师Jon Oltsik说，“在虚拟环境中保持遵规，要求企业了解这一新系统对整个IT风险管理程序的影响。”

使管理层进行沟通，执行人员采取行动

组织受益于虚拟化的同时，也必须证明，这些虚拟化环境与更广泛的遵规程序充分融合。企业目前正疲于应对复杂的遵规环境，包括本地数据保护法（如作为欧盟数据保护指令一部分的国家级法律），PCI数据安全标准这样的全球性行业要求，以及Sarbanes - Oxley和HIPAA法案这样的监管要求。此外，许多组织必须应对内部政府以及业务伙伴与客户协议相关的复杂性。正因为如此，全面了解虚拟化组织遵规程序的影响是非常关键的。

负责IT安全、风险管理和遵规程序的专业人员将从RSA信息安全概要中得到有用的指导和可操作的最佳实践。关键部分包括：

最佳实施实践——任何实施虚拟化的企业必须理解和处理虚拟化遵规及风险管理程序的影响。信息安全概要涉及平台加固、配置与变更管理、补丁管理、访问控制及职责划分、网络安全及分割、审计留痕等关键部分。

虚拟化软件安全评估清单——提供的问题清单，组织可以用来提问供应商，以便更好地了解供应商提供安全软件的能力。

为技术工作者提供的详细意见——为组织提供特定的关键意见，例如，如何运用严密的访问控制确保管理员角色之间在虚拟化软件下的职责划分, 如何保证补丁管理扩大到除了虚拟机之外的虚拟化软件。