CobiNet(寧波)推薦文章:
所有信息安全控制的共同點(diǎn)是都有以日志事件和報(bào)警的格式所生成的數(shù)據(jù)輸出���。隨著企業(yè)規(guī)模的增加或者安全級別的增加,安全日志數(shù)據(jù)及其存儲需求也在快速增長����。
最近很多服務(wù)遷移到云服務(wù)提供商的過程給企業(yè)帶來了一些挑戰(zhàn),如何處理這樣大規(guī)模的數(shù)據(jù) 這些數(shù)據(jù)現(xiàn)在位于同一個(gè)云平臺的外部�����。幸運(yùn)的是����,很多這樣的CSP在該領(lǐng)域非常活躍�����,并且一些令人激動的新機(jī)遇也隨之出現(xiàn)����。
分析云上的安全日志數(shù)據(jù)
有1000多名員工以及平均網(wǎng)絡(luò)規(guī)模的企業(yè)能夠在一天內(nèi)輕松生成100GB的日志��。如果該企業(yè)的大多數(shù)環(huán)境都托管在云平臺上���,那么在企業(yè)本地站點(diǎn)里對這么大量的數(shù)據(jù)進(jìn)行分析���,比如�,SIEM幾乎是不可能完成的任務(wù)���。這些數(shù)據(jù)如何能夠快速同步從而允許實(shí)時(shí)分析呢?而且黑客還有可能通過生成大量日志數(shù)據(jù)來延遲或者阻塞數(shù)據(jù)流���,從而導(dǎo)致安全監(jiān)控的臨時(shí)缺失。這里最有效的方案是在云平臺里直接監(jiān)控并且分析日志數(shù)據(jù)���。一種可能的混合方案就是在基于云的服務(wù)器上運(yùn)行SIEM應(yīng)用程序或者運(yùn)行簡單的日志分析應(yīng)用���,并且將一些更有意思,更相關(guān)或者過濾后的數(shù)據(jù)傳送回企業(yè)的本地環(huán)境����。
Microsoft為其Azure平臺發(fā)布了白皮書,介紹了Azure Deployment Monitoring 和 Windows Event Forwarding。Amazon也提供了類似方案��,并且大多數(shù)CSP允許客戶部署自己的SIEM或者Splunk的相關(guān)服務(wù)�����。
從云上下載安全日志數(shù)據(jù)
可以周期地或者臨時(shí)地從供應(yīng)商那里下載安全日志數(shù)據(jù)���,即使這樣的數(shù)據(jù)非常多�����。然后這些數(shù)據(jù)可以輸入本地的SIEM��,比如Alien Vault或者ArcSight來做本地分析�����,并且如果需要的話���,可以和其他事件輸入源相關(guān)聯(lián)。周期下載可以基于API的連接����。可以每天或者足夠頻繁地安排下載,從而使得看上去這些數(shù)據(jù)是持續(xù)高效同步的�����。通常也會使用這樣的方法獲取基于云的安全產(chǎn)品的數(shù)據(jù)��,比如云殺毒以及入侵監(jiān)測系統(tǒng)���。
如上所述,在計(jì)劃這樣的方案時(shí)�����,還需要考慮帶寬的使用和數(shù)據(jù)輸入被中斷的可能性���,以及限制安全事件的可見性����?;诤弦?guī)要求或者深入的事件調(diào)查,有時(shí)候需要好多個(gè)月的數(shù)據(jù)���?���;谶@樣的數(shù)據(jù)規(guī)模,下載可能無法進(jìn)行�。CSP通常還能夠幫助實(shí)現(xiàn)自定義的可適應(yīng)的解決方案。比如��,Amazon��,開發(fā)了Snowball��,這是一個(gè)PB節(jié)規(guī)模的�����,保護(hù)數(shù)據(jù)傳輸?shù)墓ぞ?����,設(shè)計(jì)用來將大量數(shù)據(jù)移入或者移出AWS云�����。其他供應(yīng)商也提供了類似方案���,因?yàn)檫@樣的海量數(shù)據(jù)請求并不少見����。
將安全日志數(shù)據(jù)上傳到云里
一些企業(yè)不需要從云里下載安全數(shù)據(jù);他們需要將數(shù)據(jù)上傳到云環(huán)境里。這樣的情況發(fā)生在云環(huán)境里存在SIEM產(chǎn)品時(shí)�。如上所述,這是可能的�����,因?yàn)橐恍┢髽I(yè)在云環(huán)境里生成的安全日志數(shù)據(jù)比本地生成的要多得多�。這些本地生成的日志數(shù)據(jù)就需要上傳到云上作分析和關(guān)聯(lián)。
它還能夠?yàn)楹弦?guī)或者數(shù)據(jù)冗余的目的�,提供線下存儲的可靠格式���。黑客能夠攻擊安全日志數(shù)據(jù)��,那么擁有一個(gè)安全的線下副本就是一種信息安全的最佳實(shí)踐�。
SIEM即服務(wù)
獨(dú)占的第三方基于云的安全運(yùn)維中心(SOC)供應(yīng)商也越來越流行����。Loggly就是這樣的一個(gè)公司,它允許客戶上傳自己的安全日志數(shù)據(jù)���。Loggly SOC監(jiān)控并且分析這些數(shù)據(jù)���,在需要的地方給客戶報(bào)警�。這樣的方案有時(shí)候稱之為SOC即服務(wù)��,或者SIEM即服務(wù)(SaaS)���。每年有越來越多的SaaS供應(yīng)商出現(xiàn)���,比如Alert Logic和Proficio,并且這樣的趨勢很可能會持續(xù)��。使用SaaS供應(yīng)商意味著企業(yè)不需要高價(jià)搭建自己的��,高技能24/7的SOC�����。但是���,也要考慮到所需的帶寬�,服務(wù)的可用性和可能的合規(guī)和本地規(guī)范�,也就是說這樣的系統(tǒng)并不是所有公司的最佳選擇。
結(jié)論
安全日志數(shù)據(jù)所帶來了一些云客戶必須處理的挑戰(zhàn)�����,其中大部分在去年已經(jīng)都解決了,出現(xiàn)了很多可用的工具和服務(wù)�����。這些方案中的絕大多數(shù)都創(chuàng)建了一種類似混合的云配置����,一部分?jǐn)?shù)據(jù)儲存在本地,另一部分?jǐn)?shù)據(jù)儲存在云端�����。使用市面上可用的相對簡單的上傳以及下載方案�,這些數(shù)據(jù)能夠并且應(yīng)該能夠以這種或那種的格式同步。SIEM即服務(wù)的引入說明了云安全的領(lǐng)域仍然非常動態(tài)���,可以期待在最近幾年里,這個(gè)領(lǐng)域會出現(xiàn)很多更加激動人心的產(chǎn)品���。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類����,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊�����,屏蔽線生產(chǎn)廠家����。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址www.10166888.com
