01.06.2026

Платформа VMware vCenter много лет является главным стандартом корпоративной виртуализации для большинства банковских учреждений и финтех-компаний. Этот инструмент обеспечивает централизованное управление инфраструктурой и служит надежным фундаментом, на котором строится безопасная среда данных платежных карт (CDE). Однако даже проверенные временем архитектуры оказываются уязвимыми перед лицензионной политикой вендора — фактором, на который бизнес не может влиять напрямую.
После поглощения VMware корпорация Broadcom полностью изменила коммерческую модель: бессрочные лицензии были отменены, им на смену пришли обязательные пакетные подписки, что повлекло за собой резкий рост расходов организаций. Наряду с финансовой нагрузкой перед компаниями возникает и жесткое временное ограничение: 11 октября 2027 года популярная версия vCenter 8.0 официально прекращает поддержку.
Рассмотрим подробнее, почему это техническое событие способно заблокировать прохождение ближайшего планового аудита PCI DSS.

Как прекращение выпусков обновлений безопасности повлияет на защиту инфраструктуры

Новая лицензионная политика Broadcom превращает привычное обновление в серьезный вызов. vCenter 8.0 — последняя версия платформы, которая позволяла компаниям гибко выбирать архитектуру: отдельно лицензировать серверы виртуализации, автономно докупать объемы хранилищ данных (vSAN) или подключать инструменты сетевой защиты.
После 11 октября 2027 года наступает End of General Support (EoGS) — полное прекращение базовой поддержки, выпуска исправлений безопасности и предоставления технической помощи для данной версии. Компании, которые продолжат использовать vCenter 8.0 после этой даты, фактически останутся без защиты от новых уязвимостей.
Переход на vSphere 9 предусмотрен исключительно для владельцев подписок VCF (комплексного облачного пакета VMware Cloud Foundation) или VVF (базового инфраструктурного набора vSphere Foundation). Этот сценарий уже разворачивается с vSphere 7: 2 октября 2025 года она вышла из поддержки, и компании, откладывавшие миграцию, уже столкнулись с последствиями во время аудитов. vCenter 8.0 — следующий в этой очереди.

Какие требования PCI DSS первыми оказываются под ударом?

Когда платформа теряет официальную поддержку, в инфраструктуре CDE нарушаются несколько критических линий защиты стандарта PCI DSS.
Требование 12.3.4 — ежегодный обзор устаревших технологий (EOL)
С 31 марта 2025 года это требование стандарта является обязательным: все аппаратные и программные средства в рамках области аудита должны ежегодно проверяться на предмет получения обновлений безопасности от поставщика. Если vCenter 8.0 после октября 2027 года больше не будет получать официальных исправлений — аудитор зафиксирует нарушение автоматически. При этом стандарт требует наличия задокументированного и заблаговременного плана замены решений со статусом EOL (End of Life — продукты, поддержку которых производитель официально прекратил).
Требование 6.3.3 — патчинг критических уязвимостей
PCI DSS обязывает устранять критические и высокоуровневые риски CVE (задокументированные уязвимости системы) в течение одного месяца после выпуска соответствующего исправления. Если платформа теряет поддержку — выпуски обновлений безопасности просто прекращаются.
Сканер уязвимостей будет выявлять открытые CVE, но устранить их без официальных обновлений будет невозможно. Для аудитора такая ситуация станет однозначным основанием для фиксации несоответствия стандарту.
Расширение периметра защиты платежных данных при переходе на VCF
Если организация выбирает путь VCF или VVF, к стандартному набору компонентов (vCenter Server, ESXi, vSAN) обязательно добавляется NSX. Это межсетевой экран нового поколения на базе виртуализации с поддержкой микросегментации и фильтрации трафика.
Появление этого инструмента меняет границы среды безопасности. Поскольку NSX управляет потоками данных, он автоматически становится критическим элементом CDE, влияющим на изоляцию платежного сегмента от остальной корпоративной сети.

Два сценария действий и их последствия для безопасности

Перед каждой организацией, использующей VMware в среде данных платежных карт, возникает выбор между двумя сценариями. Оба требуют привлечения ресурсов и заблаговременно спланированной подготовки.
Сценарий А — остаться с VMware, перейти на VCF или VVF
Организация оформляет новую подписку, получает доступ к vSphere 9 и продолжает работу на платформе VMware. Однако процесс обеспечения соответствия подписанием контракта не заканчивается.
Все новые компоненты в инфраструктуре должны пройти настройку безопасности в соответствии с требованиями PCI DSS:
● строгие парольные политики;● отключение неиспользуемых служб;● многофакторная аутентификация для административного доступа;● интеграция с системой аудита логов.
Команде придется с нуля создавать правила микросегментации для NSX и интегрировать его интерфейсы в общую систему мониторинга безопасности компании.
Помимо конфигурирования, появление новых продуктов влечет за собой и процедурные требования стандарта. Внедрение таких инструментов является существенным изменением инфраструктуры с точки зрения PCI DSS, что автоматически инициирует проведение внеочередного тестирования на проникновение (пентеста) и сканирования уязвимостей. Вместе с тем обязательному обновлению подлежат внутренняя нормативная документация, актуальные схемы сети и карты потоков карточных данных.
Сценарий Б — отказ от VMware и миграция на другую платформу
Если новые лицензии VCF выходят за рамки запланированного бюджета или организация решает пересмотреть архитектуру, есть альтернатива — переход на Nutanix AHV, Microsoft Hyper-V, Proxmox VE или Red Hat KVM.
Этот путь технически и документально более сложен:
1. Перестройка архитектуры требует значительного обновления документации PCI DSS, в частности описаний границ среды, топологических диаграмм сети, внутренних инструкций и политик.
2. Комплексное тестирование на проникновение становится обязательным после миграции, чтобы подтвердить, что новые механизмы сегментации надежно изолируют платежные данные.
3. Контроль временного разрыва становится главным риском, ведь нельзя допустить длительного перехода между демонтажем старой системы и введением нового решения в защищенное состояние, поскольку этот период аудиторы зафиксируют как нарушение.

Почему необходимо заблаговременно начинать подготовку технического плана миграции?

Год и несколько месяцев на первый взгляд кажутся комфортным запасом времени. Однако для инфраструктурных проектов корпоративного уровня это короткий срок для реализации. Миграция среды виртуализации занимает от 6 до 18 месяцев в зависимости от масштаба инфраструктуры, количества приложений и сложности сетевой топологии. Если стартовать в третьем квартале 2026 года, существует серьезный риск не завершить переход вовремя.
В ходе ближайшей ежегодной проверки аудитор уже запросит задокументированный план действий в отношении vCenter 8.0. Отсутствие утвержденного графика миграции на момент проверки будет зафиксировано как нарушение. Ситуация с vSphere 7 является актуальным примером: ее поддержка завершилась в октябре 2025 года, и компании, откладывавшие решение, уже получают замечания о несоответствии требованиям на текущих аудитах.

Подготовка к миграции и сохранение соответствия с помощью IT Specialist

Ситуация вокруг VMware vCenter 8.0 представляет собой четко определенный во времени вызов, требующий проактивных действий. Начало подготовки на данном этапе гарантирует, что все настройки безопасности новых компонентов будут выполнены качественно и в полном соответствии со стандартами ИБ.
Наиболее целесообразный первый шаг — диагностика текущего состояния инфраструктуры виртуализации на соответствие требованиям PCI DSS. Команда IT Specialist сопровождает организации на всех этапах: от анализа рисков и разработки плана перехода до безопасной настройки новых инструментов и проведения обязательных технических проверок в ходе аудита.
Готовы сделать первый шаг и оценить фактическое состояние ваших систем виртуализации? Оставьте запрос на проведение диагностики инфраструктуры специалистами IT Specialist.