很多企業(yè)正專注于構建內部連續(xù)監(jiān)控策略來提高對漏洞和配置問題的檢測和修復。雖然部署連續(xù)監(jiān)控策略是提高網(wǎng)絡可視性和安全性的重要方面,但在混合云環(huán)境實現(xiàn)這種可視性面臨很大挑戰(zhàn)。
CDM控制
對于很多安全團隊而言,符合美國國土安全局連續(xù)診斷與緩解(CDM)的連續(xù)監(jiān)控策略的基礎應該包括以下控制:
· 補丁和配置管理:理想情況下,系統(tǒng)會安裝基于主機的代理,它可提供有關補丁狀態(tài)和配置項的更新信息,或者發(fā)送預設的更新信息到中央監(jiān)控工具。
· 漏洞掃描:對于連續(xù)監(jiān)控,安排每天或每周對系統(tǒng)和子網(wǎng)的經(jīng)驗證和未經(jīng)驗證的掃描可讓管理員全面了解在系統(tǒng)級環(huán)境中在運行著什么。
· 日志和事件管理:企業(yè)應該部署某種形式的中央日志和事件收集與監(jiān)控,以收集和報告連續(xù)監(jiān)控信息,以及便于進行任何調查。
· 網(wǎng)絡監(jiān)控:利用網(wǎng)絡流量數(shù)據(jù)或傳統(tǒng)事件(防火墻、IDS等)的網(wǎng)絡監(jiān)控工具可在連續(xù)監(jiān)控中發(fā)揮一定作用。
· 反惡意軟件工具:基于網(wǎng)絡的惡意軟件檢測沙箱工具和基于主機的防病毒及白名單工具都可提供重要的監(jiān)控和事件數(shù)據(jù)來幫助實現(xiàn)連續(xù)監(jiān)控。
對于轉移到混合云模式的企業(yè)而言,在過去,在云服務提供商環(huán)境中尋找可提供相同連續(xù)安全監(jiān)控功能的替代解決方案很困難。幸運的是,現(xiàn)在已經(jīng)有更多的可用選項來幫助實現(xiàn)連續(xù)監(jiān)控,在不久的將來還會有更多選項。
如何應對混合云
為了確定在混合云中如何實現(xiàn)連續(xù)安全監(jiān)控,企業(yè)應該采取的第一步是查看其現(xiàn)有的供應商及其產(chǎn)品。大多數(shù)成熟的安全團隊已經(jīng)在使用各種工具,可整合到虛擬環(huán)境。云基礎設施始終是虛擬化的,所以企業(yè)將需要基于主機而不會占用太多系統(tǒng)資源的工具,例如McAfee MOVE或趨勢科技的Deep Security,企業(yè)還應該使用輕量級可整合到云提供商環(huán)境內虛擬機的補丁和配置代理,例如CloudPassage可在任何基礎設施即服務(IaaS)云實現(xiàn)這種主機監(jiān)控和控制。亞馬遜公司現(xiàn)在也已經(jīng)內置Config程序用于監(jiān)控配置,微軟最近發(fā)布的Security Center中也有用于Azure實例的監(jiān)控功能。微軟還為所有Azure實例提供內置防病毒功能。
很多商業(yè)漏洞掃描器(例如Qualys和Tenable Nessus)現(xiàn)在通過API被完全整合到云計算環(huán)境,并提供SCAP兼容的監(jiān)控和報告。另外,網(wǎng)絡監(jiān)控工具(例如思科的Lancope Stratawatch和Palo Alto Networks的NGFW)可整合到云環(huán)境以及監(jiān)控流量和活動。
然而,遺憾的是,很多大型事件管理工具還沒有完全整合到云環(huán)境。有些供應商提供與云管理相關活動的日志記錄,例如亞馬遜的CloudTrail,同時,微軟Azure Diagnostics也提供對一些云事件的安全監(jiān)控。還有很多事件監(jiān)控產(chǎn)品可整合到云端—盡管大部分不是企業(yè)內部使用的相同的供應商或服務。Sumo Logic提供針對云環(huán)境的事件管理和監(jiān)控服務,AlertLogic的平臺可本地整合到Amazon云計算服務。Splunk和AlierVault也有AWS兼容的事件管理或SIEM平臺。
在混合時代的CSM戰(zhàn)略
對于遷移到混合云的企業(yè)來說,肯定會要管理新產(chǎn)品和新服務,這意味著更多的運營費用和成本。并且,這很可能會持續(xù)一段時間,因為并不是所有主流安全供應商都會調整自己的產(chǎn)品來適應虛擬和云形式。無論是通過內部使用的傳統(tǒng)工具還是市場中的新產(chǎn)品,大多數(shù)企業(yè)都會發(fā)現(xiàn)他們可成功地在云提供商環(huán)境以及自己的數(shù)據(jù)中心內實現(xiàn)其連續(xù)監(jiān)控策略的目標。