云如何幫助企業(yè)處理安全日志數(shù)據(jù)

責(zé)任編輯:jackye

作者:Frank Siemons

2016-09-07 09:47:43

摘自:TechTarget中國(guó)

所有信息安全控制的共同點(diǎn)是都有以日志事件和報(bào)警的格式所生成的數(shù)據(jù)輸出。如上所述,在計(jì)劃這樣的方案時(shí),還需要考慮帶寬的使用和數(shù)據(jù)輸入被中斷的可能性,以及限制安全事件的可見(jiàn)性。

所有信息安全控制的共同點(diǎn)是都有以日志事件和報(bào)警的格式所生成的數(shù)據(jù)輸出。隨著企業(yè)規(guī)模的增加或者安全級(jí)別的增加,安全日志數(shù)據(jù)及其存儲(chǔ)需求也在快速增長(zhǎng)。

最近很多服務(wù)遷移到云服務(wù)提供商的過(guò)程給企業(yè)帶來(lái)了一些挑戰(zhàn),如何處理這樣大規(guī)模的數(shù)據(jù)——這些數(shù)據(jù)現(xiàn)在位于同一個(gè)云平臺(tái)的外部。幸運(yùn)的是,很多這樣的CSP在該領(lǐng)域非?;钴S,并且一些令人激動(dòng)的新機(jī)遇也隨之出現(xiàn)。

分析云上的安全日志數(shù)據(jù)

有1000多名員工以及平均網(wǎng)絡(luò)規(guī)模的企業(yè)能夠在一天內(nèi)輕松生成100GB的日志。如果該企業(yè)的大多數(shù)環(huán)境都托管在云平臺(tái)上,那么在企業(yè)本地站點(diǎn)里對(duì)這么大量的數(shù)據(jù)進(jìn)行分析,比如,SIEM幾乎是不可能完成的任務(wù)。這些數(shù)據(jù)如何能夠快速同步從而允許實(shí)時(shí)分析呢?而且黑客還有可能通過(guò)生成大量日志數(shù)據(jù)來(lái)延遲或者阻塞數(shù)據(jù)流,從而導(dǎo)致安全監(jiān)控的臨時(shí)缺失。這里最有效的方案是在云平臺(tái)里直接監(jiān)控并且分析日志數(shù)據(jù)。一種可能的混合方案就是在基于云的服務(wù)器上運(yùn)行SIEM應(yīng)用程序或者運(yùn)行簡(jiǎn)單的日志分析應(yīng)用,并且將一些更有意思,更相關(guān)或者過(guò)濾后的數(shù)據(jù)傳送回企業(yè)的本地環(huán)境。

Microsoft為其Azure平臺(tái)發(fā)布了白皮書(shū),介紹了Azure Deployment Monitoring 和 Windows Event Forwarding。Amazon也提供了類似方案,并且大多數(shù)CSP允許客戶部署自己的SIEM或者Splunk的相關(guān)服務(wù)。

從云上下載安全日志數(shù)據(jù)

可以周期地或者臨時(shí)地從供應(yīng)商那里下載安全日志數(shù)據(jù),即使這樣的數(shù)據(jù)非常多。然后這些數(shù)據(jù)可以輸入本地的SIEM,比如Alien Vault或者ArcSight來(lái)做本地分析,并且如果需要的話,可以和其他事件輸入源相關(guān)聯(lián)。周期下載可以基于API的連接??梢悦刻旎蛘咦銐蝾l繁地安排下載,從而使得看上去這些數(shù)據(jù)是持續(xù)高效同步的。通常也會(huì)使用這樣的方法獲取基于云的安全產(chǎn)品的數(shù)據(jù),比如云殺毒以及入侵監(jiān)測(cè)系統(tǒng)。

如上所述,在計(jì)劃這樣的方案時(shí),還需要考慮帶寬的使用和數(shù)據(jù)輸入被中斷的可能性,以及限制安全事件的可見(jiàn)性。基于合規(guī)要求或者深入的事件調(diào)查,有時(shí)候需要好多個(gè)月的數(shù)據(jù)?;谶@樣的數(shù)據(jù)規(guī)模,下載可能無(wú)法進(jìn)行。CSP通常還能夠幫助實(shí)現(xiàn)自定義的可適應(yīng)的解決方案。比如,Amazon,開(kāi)發(fā)了Snowball,這是一個(gè)PB節(jié)規(guī)模的,保護(hù)數(shù)據(jù)傳輸?shù)墓ぞ?,設(shè)計(jì)用來(lái)將大量數(shù)據(jù)移入或者移出AWS云。其他供應(yīng)商也提供了類似方案,因?yàn)檫@樣的海量數(shù)據(jù)請(qǐng)求并不少見(jiàn)。

將安全日志數(shù)據(jù)上傳到云里

一些企業(yè)不需要從云里下載安全數(shù)據(jù);他們需要將數(shù)據(jù)上傳到云環(huán)境里。這樣的情況發(fā)生在云環(huán)境里存在SIEM產(chǎn)品時(shí)。如上所述,這是可能的,因?yàn)橐恍┢髽I(yè)在云環(huán)境里生成的安全日志數(shù)據(jù)比本地生成的要多得多。這些本地生成的日志數(shù)據(jù)就需要上傳到云上作分析和關(guān)聯(lián)。

它還能夠?yàn)楹弦?guī)或者數(shù)據(jù)冗余的目的,提供線下存儲(chǔ)的可靠格式。黑客能夠攻擊安全日志數(shù)據(jù),那么擁有一個(gè)安全的線下副本就是一種信息安全的最佳實(shí)踐。

SIEM即服務(wù)

獨(dú)占的第三方基于云的安全運(yùn)維中心(SOC)供應(yīng)商也越來(lái)越流行。Loggly就是這樣的一個(gè)公司,它允許客戶上傳自己的安全日志數(shù)據(jù)。Loggly SOC監(jiān)控并且分析這些數(shù)據(jù),在需要的地方給客戶報(bào)警。這樣的方案有時(shí)候稱之為SOC即服務(wù),或者SIEM即服務(wù)(SaaS)。每年有越來(lái)越多的SaaS供應(yīng)商出現(xiàn),比如Alert Logic和Proficio,并且這樣的趨勢(shì)很可能會(huì)持續(xù)。使用SaaS供應(yīng)商意味著企業(yè)不需要高價(jià)搭建自己的,高技能24/7的SOC。但是,也要考慮到所需的帶寬,服務(wù)的可用性和可能的合規(guī)和本地規(guī)范,也就是說(shuō)這樣的系統(tǒng)并不是所有公司的最佳選擇。

結(jié)論

安全日志數(shù)據(jù)所帶來(lái)了一些云客戶必須處理的挑戰(zhàn),其中大部分在去年已經(jīng)都解決了,出現(xiàn)了很多可用的工具和服務(wù)。這些方案中的絕大多數(shù)都創(chuàng)建了一種類似混合的云配置,一部分?jǐn)?shù)據(jù)儲(chǔ)存在本地,另一部分?jǐn)?shù)據(jù)儲(chǔ)存在云端。使用市面上可用的相對(duì)簡(jiǎn)單的上傳以及下載方案,這些數(shù)據(jù)能夠并且應(yīng)該能夠以這種或那種的格式同步。SIEM即服務(wù)的引入說(shuō)明了云安全的領(lǐng)域仍然非常動(dòng)態(tài),可以期待在最近幾年里,這個(gè)領(lǐng)域會(huì)出現(xiàn)很多更加激動(dòng)人心的產(chǎn)品。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)