云計(jì)算基礎(chǔ)設(shè)施的日志記錄和監(jiān)控已成為人們近年來(lái)關(guān)注的主要話題。即使是關(guān)于將應(yīng)用程序遷移到云端的一般性對(duì)話,也總是以客戶詢問(wèn)如何實(shí)施日志記錄和監(jiān)控云計(jì)算基礎(chǔ)設(shè)施而告終。日志是遷移到云計(jì)算服務(wù)(用戶實(shí)際上并不控制基礎(chǔ)設(shè)施)的安全性和合規(guī)性的關(guān)鍵,并且這使得日志對(duì)于運(yùn)營(yíng)、風(fēng)險(xiǎn)和安全團(tuán)隊(duì)來(lái)說(shuō)更為重要。但這些問(wèn)題非常有意義,這是因?yàn)榈卿浐涂缭皆朴?jì)算平臺(tái)基礎(chǔ)設(shè)施非常復(fù)雜,如果實(shí)施不當(dāng),則會(huì)帶來(lái)技術(shù)挑戰(zhàn)和成本超支。
在通往云計(jì)算的旅途上,許多企業(yè)試圖創(chuàng)建多云日志記錄的案例都失敗或終止了。但云計(jì)算服務(wù)在結(jié)構(gòu)和操作上與內(nèi)部部署系統(tǒng)截然不同。企業(yè)不一定擁有相同的事件源,并且數(shù)據(jù)通常不同或不完整,因此現(xiàn)有報(bào)告和分析可能無(wú)法正常工作。云計(jì)算服務(wù)是短暫的,因此當(dāng)用戶尋找它時(shí),不能指望仍然還在原有的服務(wù)器中,并且IP地址是不可靠的標(biāo)識(shí)符。而從網(wǎng)絡(luò)上可能看起來(lái)行為相同,但它們是軟件定義的,因此用戶無(wú)法以與內(nèi)部部署相同的方式接入它們,即使可以,也不會(huì)理解數(shù)據(jù)包。用戶檢測(cè)和響應(yīng)攻擊有所不同,利用自動(dòng)化與用戶的基礎(chǔ)設(shè)施一樣靈活。一些日志可以捕獲每個(gè)API調(diào)用,但信息量也很大。此外,許多企業(yè)都缺少了解云計(jì)算技術(shù)的員工,存在技能差距,因此他們將所做的工作“提升并轉(zhuǎn)移”到云計(jì)算服務(wù)中,然后被迫在未來(lái)重構(gòu)部署。
很多企業(yè)采用了多云,但并不僅僅意味著采用某些軟件即服務(wù)(SaaS)以及單一的基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商的服務(wù)就是多云,而是企業(yè)選擇采用多個(gè)IaaS供應(yīng)商的服務(wù),并為每個(gè)供應(yīng)商部署不同的應(yīng)用程序。有時(shí)這是一種“最佳選擇”的方法,但更多時(shí)候,企業(yè)選擇多個(gè)供應(yīng)商的服務(wù)是由于擔(dān)心被單一供應(yīng)商鎖定而導(dǎo)致的。這使得日志記錄和監(jiān)控變得更加困難,因?yàn)镮aaS提供商和內(nèi)部部署的集合在功能、事件和集成點(diǎn)方面各不相同。
更復(fù)雜的是,現(xiàn)有的安全信息和事件管理(SIEM)供應(yīng)商以及一些安全分析供應(yīng)商落后于云采用曲線。有些是因?yàn)樗麄兊脑朴?jì)算部署模型與為內(nèi)部部署提供的模型沒(méi)有什么不同,這使得與云服務(wù)的集成變得尷尬。一些是因?yàn)樗麄兊慕鉀Q方案依賴于傳統(tǒng)的網(wǎng)絡(luò)方法,這些方法不適用于軟件定義網(wǎng)絡(luò),還有一些人使用定價(jià)模型,當(dāng)這些定價(jià)模型陷入高度冗長(zhǎng)的云計(jì)算日志源時(shí),會(huì)給客戶帶來(lái)一些收益。將在以后展示其中一些定價(jià)模型。
以下是一些常見(jiàn)問(wèn)題:
•需要哪些數(shù)據(jù)或日志?服務(wù)器、網(wǎng)絡(luò)、容器、應(yīng)用、API、存儲(chǔ)等?
•如何打開(kāi)它們?如何將它們從源頭上移開(kāi)?
•如何將數(shù)據(jù)恢復(fù)到自己的安全信息和事件管理(SIEM)?現(xiàn)有的安全信息和事件管理(SIEM)可以根據(jù)不同的架構(gòu)和數(shù)量和速率處理這些日志嗎?
•是否應(yīng)該使用日志聚合器,并將所有內(nèi)容發(fā)送回自己的分析平臺(tái)嗎?在過(guò)渡到云平臺(tái)的過(guò)程中,這會(huì)發(fā)生什么變化?
•如何捕獲數(shù)據(jù)包以及將其放在何處?
在此提出了這些問(wèn)題以及其他問(wèn)題,因?yàn)樗鼈儊?lái)自于嘗試將云計(jì)算事件融入現(xiàn)有/內(nèi)部部署的工具和流程。并不是說(shuō)他們做錯(cuò)了,而是強(qiáng)調(diào)了將新數(shù)據(jù)映射到原有的以及熟悉的系統(tǒng)的努力。相反,企業(yè)需要重新考慮其日志記錄和監(jiān)控方法。
企業(yè)應(yīng)該詢問(wèn)的問(wèn)題包括:
•日志記錄架構(gòu)現(xiàn)在應(yīng)該是什么樣子?它應(yīng)該如何改變?
•如何跨多個(gè)提供商處理多個(gè)帳戶?
•應(yīng)該利用哪些云原生資源?
•如何保持成本可管理?存儲(chǔ)在云平臺(tái)價(jià)格可能非常便宜和豐富,但是各種服務(wù)的定價(jià)模型是什么?它們能否攝取和分析發(fā)送的數(shù)據(jù)?
•應(yīng)該將哪些內(nèi)容發(fā)送到現(xiàn)有的數(shù)據(jù)分析工具?是安全信息和事件管理(SIEM)嗎?
•如何調(diào)整企業(yè)監(jiān)控的云計(jì)算安全性?
•批量或?qū)崟r(shí)流?或兩者兼有?
•如何調(diào)整云計(jì)算的分析?
企業(yè)需要重新審視日志記錄和監(jiān)視,并調(diào)整IT和安全工作流以適應(yīng)云計(jì)算服務(wù),特別是如果企業(yè)從內(nèi)部部署環(huán)境過(guò)渡到云計(jì)算平臺(tái),并且將在過(guò)渡期間運(yùn)行混合環(huán)境,而這個(gè)過(guò)渡期可能是幾年的時(shí)間。
如今,行業(yè)廠商推出了一個(gè)關(guān)于構(gòu)建多云日志記錄戰(zhàn)略的新系列。此外,還將深入研究以下主題,討論幫助企業(yè)遷移到云平臺(tái)時(shí)所看到的內(nèi)容。
初步綱要如下:
(1)成功的障礙:本文將討論傳統(tǒng)方法不起作用的一些原因,以及企業(yè)可能缺乏可見(jiàn)性的領(lǐng)域。
(2)云計(jì)算日志架構(gòu):討論了反模式和更高效的日志記錄方法。并提供有關(guān)參考體系結(jié)構(gòu)的建議,以幫助實(shí)現(xiàn)多云以及集中管理。
(3)本機(jī)日志記錄特性:將討論企業(yè)可以從各種類型的云計(jì)算服務(wù)中獲得哪些日志,在共享責(zé)任服務(wù)中可能無(wú)法獲得的內(nèi)容,企業(yè)所期望的不同數(shù)據(jù)源以及如何獲得。還將提供有關(guān)登錄谷歌云、微軟Azure和AWS等云平臺(tái)的實(shí)用注釋。將幫助用戶瀏覽其原生產(chǎn)品以及PaaS/SaaS供應(yīng)商的功能。
(4)BYO日志:企業(yè)在何處以及如何填補(bǔ)第三方工具的空白,或?qū)⑵錁?gòu)建到企業(yè)在云中部署的應(yīng)用程序和服務(wù)中。
(5)云計(jì)算還是內(nèi)部部署管理?需要將日志管理遷移到云中,權(quán)衡保持在內(nèi)部部署數(shù)據(jù)中心以及使用混合模型之間的這些活動(dòng)。這包括將云計(jì)算工作負(fù)載連接到內(nèi)部部署網(wǎng)絡(luò)的風(fēng)險(xiǎn)和好處。
(6)安全分析:越來(lái)越多的企業(yè)正在通過(guò)安全分析、數(shù)據(jù)湖,以及機(jī)器學(xué)習(xí)/人工智能來(lái)擴(kuò)充或取代傳統(tǒng)的安全信息和事件管理(SIEM)。因此,還要討論其中一些方法以及威脅檢測(cè),合規(guī)性和治理的各種數(shù)據(jù)源。以上這5個(gè)目標(biāo)將會(huì)促進(jìn)企業(yè)收集、轉(zhuǎn)換和存儲(chǔ)數(shù)據(jù)的能力,獲得實(shí)時(shí)和歷史洞察力。