所有信息安全控制的共同點是都有以日志事件和報警的格式所生成的數據輸出。隨著企業規模的增加或者安全級別的增加,安全日志數據及其存儲需求也在快速增長。
最近很多服務遷移到云服務提供商的過程給企業帶來了一些挑戰,如何處理這樣大規模的數據——這些數據現在位于同一個云平臺的外部。幸運的是,很多這樣的CSP在該領域非常活躍,并且一些令人激動的新機遇也隨之出現。
分析云上的安全日志數據
有1000多名員工以及平均網絡規模的企業能夠在一天內輕松生成100GB的日志。如果該企業的大多數環境都托管在云平臺上,那么在企業本地站點里對這么大量的數據進行分析,比如,SIEM幾乎是不可能完成的任務。這些數據如何能夠快速同步從而允許實時分析呢?而且黑客還有可能通過生成大量日志數據來延遲或者阻塞數據流,從而導致安全監控的臨時缺失。這里最有效的方案是在云平臺里直接監控并且分析日志數據。一種可能的混合方案就是在基于云的服務器上運行SIEM應用程序或者運行簡單的日志分析應用,并且將一些更有意思,更相關或者過濾后的數據傳送回企業的本地環境。
Microsoft為其Azure平臺發布了白皮書,介紹了Azure Deployment Monitoring 和 Windows Event Forwarding。Amazon也提供了類似方案,并且大多數CSP允許客戶部署自己的SIEM或者Splunk的相關服務。
從云上下載安全日志數據
可以周期地或者臨時地從供應商那里下載安全日志數據,即使這樣的數據非常多。然后這些數據可以輸入本地的SIEM,比如Alien Vault或者ArcSight來做本地分析,并且如果需要的話,可以和其他事件輸入源相關聯。周期下載可以基于API的連接。可以每天或者足夠頻繁地安排下載,從而使得看上去這些數據是持續高效同步的。通常也會使用這樣的方法獲取基于云的安全產品的數據,比如云殺毒以及入侵監測系統。
如上所述,在計劃這樣的方案時,還需要考慮帶寬的使用和數據輸入被中斷的可能性,以及限制安全事件的可見性。基于合規要求或者深入的事件調查,有時候需要好多個月的數據。基于這樣的數據規模,下載可能無法進行。CSP通常還能夠幫助實現自定義的可適應的解決方案。比如,Amazon,開發了Snowball,這是一個PB節規模的,保護數據傳輸的工具,設計用來將大量數據移入或者移出AWS云。其他供應商也提供了類似方案,因為這樣的海量數據請求并不少見。
將安全日志數據上傳到云里
一些企業不需要從云里下載安全數據;他們需要將數據上傳到云環境里。這樣的情況發生在云環境里存在SIEM產品時。如上所述,這是可能的,因為一些企業在云環境里生成的安全日志數據比本地生成的要多得多。這些本地生成的日志數據就需要上傳到云上作分析和關聯。
它還能夠為合規或者數據冗余的目的,提供線下存儲的可靠格式。黑客能夠攻擊安全日志數據,那么擁有一個安全的線下副本就是一種信息安全的最佳實踐。
SIEM即服務
獨占的第三方基于云的安全運維中心(SOC)供應商也越來越流行。Loggly就是這樣的一個公司,它允許客戶上傳自己的安全日志數據。Loggly SOC監控并且分析這些數據,在需要的地方給客戶報警。這樣的方案有時候稱之為SOC即服務,或者SIEM即服務(SaaS)。每年有越來越多的SaaS供應商出現,比如Alert Logic和Proficio,并且這樣的趨勢很可能會持續。使用SaaS供應商意味著企業不需要高價搭建自己的,高技能24/7的SOC。但是,也要考慮到所需的帶寬,服務的可用性和可能的合規和本地規范,也就是說這樣的系統并不是所有公司的最佳選擇。
結論
安全日志數據所帶來了一些云客戶必須處理的挑戰,其中大部分在去年已經都解決了,出現了很多可用的工具和服務。這些方案中的絕大多數都創建了一種類似混合的云配置,一部分數據儲存在本地,另一部分數據儲存在云端。使用市面上可用的相對簡單的上傳以及下載方案,這些數據能夠并且應該能夠以這種或那種的格式同步。SIEM即服務的引入說明了云安全的領域仍然非常動態,可以期待在最近幾年里,這個領域會出現很多更加激動人心的產品。
京公網安備 11010502049343號