所有信息安全控制的共同特征是以日志事件和警告形式生成的數(shù)據(jù)輸出。隨著企業(yè)規(guī)模或安全水平的提升,這種數(shù)據(jù)的規(guī)模及存儲(chǔ)要求也要快速增長(zhǎng)。傳統(tǒng)上,企業(yè)往往購(gòu)買越來(lái)越多的相對(duì)廉價(jià)的存儲(chǔ)來(lái)處理和歸檔這些日志。某些行業(yè)和法律要求日志數(shù)據(jù)的保留時(shí)間可達(dá)數(shù)年之久,所以,我們很容易想象到,在如此長(zhǎng)的時(shí)間之后這些日志可能達(dá)到的絕對(duì)規(guī)模。
最近,向云服務(wù)的遷移給試圖應(yīng)對(duì)這些海量數(shù)據(jù)(可能位于同樣云平臺(tái)中的外部)的企業(yè)帶來(lái)不少挑戰(zhàn)。幸運(yùn)的是,很多云服務(wù)供應(yīng)商已經(jīng)在此領(lǐng)域有著積極的表現(xiàn),而且出現(xiàn)了一些激動(dòng)人心的機(jī)會(huì)。
云中分析
有一千個(gè)員工的企業(yè)其網(wǎng)絡(luò)規(guī)模也就是一般水平,其每天生成的日志就可多達(dá)100GB。如果企業(yè)將多數(shù)環(huán)境都托管到一個(gè)云平臺(tái)中,對(duì)這些數(shù)據(jù)的分析卻在企業(yè)本地實(shí)施,例如,通過(guò)一套SIEM方案幾乎是不可能的。如何使這些數(shù)據(jù)同步快速地適應(yīng)適時(shí)的分析?還有一種可能,攻擊者可以通過(guò)生成海量的日志數(shù)據(jù),造成安全監(jiān)視的臨時(shí)無(wú)效,從而延遲或中止這些數(shù)據(jù)流。在此,最可行的方案就是在云平臺(tái)內(nèi)部直接監(jiān)視和分析日志數(shù)據(jù)。有一種可能的方案就是,將一個(gè)SIEM應(yīng)用或一個(gè)簡(jiǎn)單的日志分析應(yīng)用運(yùn)行在一個(gè)基于云的服務(wù)器上,并且將一些更相關(guān)的或過(guò)濾后的數(shù)據(jù)提交給企業(yè)的本地環(huán)境。正如前文所述,云服務(wù)供應(yīng)商的系統(tǒng)可以使客戶根據(jù)其環(huán)境來(lái)配置這些方案。
微軟已經(jīng)為其Azure平臺(tái)發(fā)布了一份白皮書,內(nèi)容涉及到Azure部署監(jiān)視和事件轉(zhuǎn)發(fā)。亞馬遜提供了類似的選擇,而且多數(shù)云服務(wù)供應(yīng)商都允許客戶部署自己的SIEM或相關(guān)的Splunk服務(wù)。
云下載
即使其數(shù)量巨大,安全日志數(shù)據(jù)也可以定期地或?qū)iT從供應(yīng)商下載。這些數(shù)據(jù)可以在必要時(shí)連同其它的事件,提交給本地的SIEM方案進(jìn)行分析。定期的下載可以基于API連接。下載可以是每天進(jìn)行或經(jīng)常實(shí)施,這看起來(lái)就如同是有效地持續(xù)地進(jìn)行數(shù)據(jù)同步。這種方法往往用于從基于云的安全產(chǎn)品獲取數(shù)據(jù),例如,云反病毒方案和入侵檢測(cè)系統(tǒng)。如前所述,在進(jìn)行這類設(shè)置時(shí),帶寬的使用、提交數(shù)據(jù)時(shí)的中斷、限制安全事件的可見(jiàn)性都是必須考慮的問(wèn)題。對(duì)于合規(guī)原因或深入的事件調(diào)查來(lái)說(shuō),有時(shí)需要幾個(gè)月的數(shù)據(jù)。由于這些數(shù)據(jù)的巨大規(guī)模,下載未必可行。云服務(wù)供應(yīng)商可以協(xié)助這種定制化的適當(dāng)?shù)姆桨浮@纾瑏嗰R遜開(kāi)發(fā)了一種稱為“雪球”的安全傳輸解決方案,其設(shè)計(jì)目的就是可以使海量的數(shù)據(jù)進(jìn)出其AWS云。其它的供應(yīng)商也有類似的選擇,因?yàn)檫@些海量的數(shù)據(jù)請(qǐng)求并不罕見(jiàn)。
上傳至云
有些企業(yè)并不期望從云下載安全數(shù)據(jù),而是需要將安全數(shù)據(jù)上傳到云環(huán)境中。例如,如果企業(yè)的云環(huán)境中有一個(gè)SIEM產(chǎn)品,就會(huì)存在這種需求。就像前面所討論的,由于有些企業(yè)在其云環(huán)境中生成的安全日志數(shù)據(jù)比在本地生成的更多,所以才有了這種可能性。這些在本地生成的日志數(shù)據(jù)需要上傳到云進(jìn)行分析和關(guān)聯(lián)。
企業(yè)還可以利用可靠的離線存儲(chǔ)形式,用于合規(guī)或數(shù)據(jù)冗余的目的。攻擊者可以針對(duì)安全日志數(shù)據(jù)進(jìn)行攻擊,而擁有一個(gè)安全的離線副本就成為信息安全的一種最佳實(shí)踐。企業(yè)將海量數(shù)據(jù)上傳到云,服務(wù)供應(yīng)商會(huì)遇到與從云下載大量數(shù)據(jù)相同的問(wèn)題:上傳所占用的時(shí)間和所需要的帶寬使其根本無(wú)法實(shí)現(xiàn)。將數(shù)據(jù)安放到安全的硬件上就成為了唯一的方案。
SIEM作為服務(wù)
專門的第三方的基于云的安全運(yùn)營(yíng)中心(SOC)供應(yīng)商也逐步受到歡迎。例如,有的供應(yīng)商可以允許客戶上傳其安全日志數(shù)據(jù),并且可以為用戶監(jiān)視和分析這些數(shù)據(jù),并在必要時(shí)發(fā)出警告。這種設(shè)置可稱為“安全運(yùn)營(yíng)即服務(wù)”,或“SIEM即服務(wù)”。如今,這種“SIEM即服務(wù)”越來(lái)越多,今后,這種趨勢(shì)將會(huì)繼續(xù)增長(zhǎng)。使用“SIEM即服務(wù)”供應(yīng)商意味著,企業(yè)不必花費(fèi)高昂成本建立其自己的全天候的安全運(yùn)營(yíng)中心。但是,企業(yè)需要考慮的一個(gè)很重要的問(wèn)題是,由此所需要的帶寬、服務(wù)的可用性、可能的合規(guī)和法律問(wèn)題意味著這種方案并不是適用于每個(gè)企業(yè)的最佳選擇。
結(jié)語(yǔ)
在過(guò)去的幾年中,云客戶必須要應(yīng)對(duì)與安全日志數(shù)據(jù)有關(guān)的挑戰(zhàn),這些困難多數(shù)都得到了解決,而且有許多方案可供使用。其中的多數(shù)方案都創(chuàng)造了一種類似“混搭”的云配置,其中的部分?jǐn)?shù)據(jù)位于本地,還有部分?jǐn)?shù)據(jù)位于云中。企業(yè)應(yīng)當(dāng)通過(guò)使用相對(duì)容易的上傳和下載選擇,以某種形式來(lái)實(shí)現(xiàn)數(shù)據(jù)的同步。在數(shù)據(jù)規(guī)模成為一個(gè)挑戰(zhàn)時(shí),與云服務(wù)供應(yīng)商的選擇有關(guān)的討論可能導(dǎo)致一種定制化的方案,從而更適合需求。最近的“SIEM即服務(wù)”的出現(xiàn)展示出,云安全領(lǐng)域是動(dòng)態(tài)變化的,而且在此領(lǐng)域更為有趣的許多發(fā)展都有望在未來(lái)幾年嶄露頭角。
京公網(wǎng)安備 11010502049343號(hào)