很多企業(yè)正專(zhuān)注于構(gòu)建內(nèi)部連續(xù)監(jiān)控策略來(lái)提高對(duì)漏洞和配置問(wèn)題的檢測(cè)和修復(fù)。雖然部署連續(xù)監(jiān)控策略是提高網(wǎng)絡(luò)可視性和安全性的重要方面，但在混合云環(huán)境實(shí)現(xiàn)這種可視性面臨很大挑戰(zhàn)。

　　CDM控制

對(duì)于很多安全團(tuán)隊(duì)而言，符合美國(guó)國(guó)土安全局連續(xù)診斷與緩解(CDM)的連續(xù)監(jiān)控策略的基礎(chǔ)應(yīng)該包括以下控制：

· 補(bǔ)丁和配置管理：理想情況下，系統(tǒng)會(huì)安裝基于主機(jī)的代理，它可提供有關(guān)補(bǔ)丁狀態(tài)和配置項(xiàng)的更新信息，或者發(fā)送預(yù)設(shè)的更新信息到中央監(jiān)控工具。

· 漏洞掃描：對(duì)于連續(xù)監(jiān)控，安排每天或每周對(duì)系統(tǒng)和子網(wǎng)的經(jīng)驗(yàn)證和未經(jīng)驗(yàn)證的掃描可讓管理員全面了解在系統(tǒng)級(jí)環(huán)境中在運(yùn)行著什么。

· 日志和事件管理：企業(yè)應(yīng)該部署某種形式的中央日志和事件收集與監(jiān)控，以收集和報(bào)告連續(xù)監(jiān)控信息，以及便于進(jìn)行任何調(diào)查。

· 網(wǎng)絡(luò)監(jiān)控：利用網(wǎng)絡(luò)流量數(shù)據(jù)或傳統(tǒng)事件(防火墻、IDS等)的網(wǎng)絡(luò)監(jiān)控工具可在連續(xù)監(jiān)控中發(fā)揮一定作用。

· 反惡意軟件工具：基于網(wǎng)絡(luò)的惡意軟件檢測(cè)沙箱工具和基于主機(jī)的防病毒及白名單工具都可提供重要的監(jiān)控和事件數(shù)據(jù)來(lái)幫助實(shí)現(xiàn)連續(xù)監(jiān)控。

對(duì)于轉(zhuǎn)移到混合云模式的企業(yè)而言，在過(guò)去，在云服務(wù)提供商環(huán)境中尋找可提供相同連續(xù)安全監(jiān)控功能的替代解決方案很困難。幸運(yùn)的是，現(xiàn)在已經(jīng)有更多的可用選項(xiàng)來(lái)幫助實(shí)現(xiàn)連續(xù)監(jiān)控，在不久的將來(lái)還會(huì)有更多選項(xiàng)。

如何應(yīng)對(duì)混合云

為了確定在混合云中如何實(shí)現(xiàn)連續(xù)安全監(jiān)控，企業(yè)應(yīng)該采取的第一步是查看其現(xiàn)有的供應(yīng)商及其產(chǎn)品。大多數(shù)成熟的安全團(tuán)隊(duì)已經(jīng)在使用各種工具，可整合到虛擬環(huán)境。云基礎(chǔ)設(shè)施始終是虛擬化的，所以企業(yè)將需要基于主機(jī)而不會(huì)占用太多系統(tǒng)資源的工具，例如McAfee MOVE或趨勢(shì)科技的Deep Security，企業(yè)還應(yīng)該使用輕量級(jí)可整合到云提供商環(huán)境內(nèi)虛擬機(jī)的補(bǔ)丁和配置代理，例如CloudPassage可在任何基礎(chǔ)設(shè)施即服務(wù)(IaaS)云實(shí)現(xiàn)這種主機(jī)監(jiān)控和控制。亞馬遜公司現(xiàn)在也已經(jīng)內(nèi)置Config程序用于監(jiān)控配置，微軟最近發(fā)布的Security Center中也有用于Azure實(shí)例的監(jiān)控功能。微軟還為所有Azure實(shí)例提供內(nèi)置防病毒功能。

很多商業(yè)漏洞掃描器(例如Qualys和Tenable Nessus)現(xiàn)在通過(guò)API被完全整合到云計(jì)算環(huán)境，并提供SCAP兼容的監(jiān)控和報(bào)告。另外，網(wǎng)絡(luò)監(jiān)控工具(例如思科的Lancope Stratawatch和Palo Alto Networks的NGFW)可整合到云環(huán)境以及監(jiān)控流量和活動(dòng)。

然而，遺憾的是，很多大型事件管理工具還沒(méi)有完全整合到云環(huán)境。有些供應(yīng)商提供與云管理相關(guān)活動(dòng)的日志記錄，例如亞馬遜的CloudTrail，同時(shí)，微軟Azure Diagnostics也提供對(duì)一些云事件的安全監(jiān)控。還有很多事件監(jiān)控產(chǎn)品可整合到云端—盡管大部分不是企業(yè)內(nèi)部使用的相同的供應(yīng)商或服務(wù)。Sumo Logic提供針對(duì)云環(huán)境的事件管理和監(jiān)控服務(wù)，AlertLogic的平臺(tái)可本地整合到Amazon云計(jì)算服務(wù)。Splunk和AlierVault也有AWS兼容的事件管理或SIEM平臺(tái)。

在混合時(shí)代的CSM戰(zhàn)略

對(duì)于遷移到混合云的企業(yè)來(lái)說(shuō)，肯定會(huì)要管理新產(chǎn)品和新服務(wù)，這意味著更多的運(yùn)營(yíng)費(fèi)用和成本。并且，這很可能會(huì)持續(xù)一段時(shí)間，因?yàn)椴⒉皇撬兄髁靼踩?yīng)商都會(huì)調(diào)整自己的產(chǎn)品來(lái)適應(yīng)虛擬和云形式。無(wú)論是通過(guò)內(nèi)部使用的傳統(tǒng)工具還是市場(chǎng)中的新產(chǎn)品，大多數(shù)企業(yè)都會(huì)發(fā)現(xiàn)他們可成功地在云提供商環(huán)境以及自己的數(shù)據(jù)中心內(nèi)實(shí)現(xiàn)其連續(xù)監(jiān)控策略的目標(biāo)。