所有信(xin)息安(an)全控制的(de)(de)共同點是都有以(yi)日志事件和報(bao)警的(de)(de)格式所生成(cheng)的(de)(de)數據輸出。隨著企(qi)業規(gui)模的(de)(de)增加(jia)或(huo)者安(an)全級別的(de)(de)增加(jia)，安(an)全日志數據及(ji)其存儲需求(qiu)也在快速增長。

最近很多(duo)服(fu)(fu)務遷移到(dao)云(yun)服(fu)(fu)務提供商的(de)過程給企(qi)業(ye)帶來了一些(xie)挑戰，如何處理這樣大規模(mo)的(de)數據(ju) 這些(xie)數據(ju)現(xian)在位(wei)于同一個云(yun)平臺的(de)外部。幸(xing)運的(de)是，很多(duo)這樣的(de)CSP在該(gai)領域非(fei)常活躍(yue)，并(bing)且(qie)一些(xie)令人激(ji)動(dong)的(de)新機遇也隨之出現(xian)。

分析(xi)云(yun)上的安全日志數據

有1000多名員工以及平(ping)均網絡(luo)規模的(de)(de)(de)(de)(de)(de)(de)企業能夠(gou)在一天內輕松生(sheng)成(cheng)100GB的(de)(de)(de)(de)(de)(de)(de)日(ri)志(zhi)。如(ru)果該企業的(de)(de)(de)(de)(de)(de)(de)大多數(shu)環境(jing)都托(tuo)管在云(yun)(yun)平(ping)臺上，那么在企業本(ben)(ben)地(di)站點里(li)(li)對這么大量的(de)(de)(de)(de)(de)(de)(de)數(shu)據(ju)進行分析(xi)，比如(ru)，SIEM幾乎是不可(ke)能完成(cheng)的(de)(de)(de)(de)(de)(de)(de)任務。這些數(shu)據(ju)如(ru)何能夠(gou)快速同步從而(er)允許實時分析(xi)呢?而(er)且黑客還有可(ke)能通過生(sheng)成(cheng)大量日(ri)志(zhi)數(shu)據(ju)來延遲或(huo)(huo)者阻塞數(shu)據(ju)流，從而(er)導致安全監控的(de)(de)(de)(de)(de)(de)(de)臨(lin)時缺失。這里(li)(li)最有效的(de)(de)(de)(de)(de)(de)(de)方(fang)案是在云(yun)(yun)平(ping)臺里(li)(li)直接(jie)監控并且分析(xi)日(ri)志(zhi)數(shu)據(ju)。一種可(ke)能的(de)(de)(de)(de)(de)(de)(de)混合方(fang)案就是在基于云(yun)(yun)的(de)(de)(de)(de)(de)(de)(de)服務器(qi)上運(yun)行SIEM應用程序或(huo)(huo)者運(yun)行簡單的(de)(de)(de)(de)(de)(de)(de)日(ri)志(zhi)分析(xi)應用，并且將一些更(geng)有意(yi)思(si)，更(geng)相關或(huo)(huo)者過濾后的(de)(de)(de)(de)(de)(de)(de)數(shu)據(ju)傳送回企業的(de)(de)(de)(de)(de)(de)(de)本(ben)(ben)地(di)環境(jing)。

Microsoft為其Azure平臺發布(bu)了白皮書(shu)，介紹了Azure Deployment Monitoring 和(he) Windows Event Forwarding。Amazon也提供了類似(si)方案(an)，并且大多數CSP允許客戶部(bu)署(shu)自己的SIEM或者Splunk的相關(guan)服務。

從(cong)云上下載(zai)安全日志數據(ju)

可(ke)以周(zhou)期地或(huo)者臨(lin)時地從供應商那里下載(zai)安全日志數(shu)據，即使這樣的數(shu)據非常(chang)多。然(ran)后這些數(shu)據可(ke)以輸入(ru)本地的SIEM，比如Alien Vault或(huo)者ArcSight來做本地分析，并(bing)且(qie)如果需要的話，可(ke)以和其他事件輸入(ru)源相(xiang)關聯。周(zhou)期下載(zai)可(ke)以基于(yu)API的連(lian)接。可(ke)以每(mei)天或(huo)者足夠頻繁地安排下載(zai)，從而使得(de)看上去這些數(shu)據是持續高效同步的。通常(chang)也會使用這樣的方法(fa)獲取基于(yu)云的安全產品的數(shu)據，比如云殺毒以及(ji)入(ru)侵(qin)監測系統。

如(ru)上所述，在計劃這(zhe)樣(yang)的(de)(de)方(fang)(fang)案(an)時(shi)，還需(xu)要考(kao)慮(lv)帶寬的(de)(de)使(shi)用和數(shu)據(ju)輸入被中斷的(de)(de)可能性，以及限制安全事件的(de)(de)可見性。基于合(he)規要求或者深入的(de)(de)事件調查，有時(shi)候需(xu)要好(hao)多(duo)個(ge)月(yue)的(de)(de)數(shu)據(ju)。基于這(zhe)樣(yang)的(de)(de)數(shu)據(ju)規模(mo)，下載可能無(wu)法進行。CSP通(tong)常還能夠幫助實現自定義的(de)(de)可適(shi)應(ying)的(de)(de)解決方(fang)(fang)案(an)。比(bi)如(ru)，Amazon，開發(fa)了Snowball，這(zhe)是(shi)一個(ge)PB節(jie)規模(mo)的(de)(de)，保護數(shu)據(ju)傳(chuan)輸的(de)(de)工具，設計用來將大量數(shu)據(ju)移入或者移出(chu)AWS云。其他供應(ying)商也提供了類似方(fang)(fang)案(an)，因(yin)為這(zhe)樣(yang)的(de)(de)海量數(shu)據(ju)請求并不少(shao)見。

將安全日(ri)志數據上(shang)傳到云(yun)里

一(yi)些(xie)企(qi)業(ye)不需要從云(yun)里(li)下載安(an)(an)全數(shu)據;他們(men)需要將(jiang)數(shu)據上傳到云(yun)環(huan)境里(li)。這樣(yang)的(de)情況發生(sheng)在云(yun)環(huan)境里(li)存(cun)在SIEM產(chan)品(pin)時。如上所述(shu)，這是可能的(de)，因為一(yi)些(xie)企(qi)業(ye)在云(yun)環(huan)境里(li)生(sheng)成的(de)安(an)(an)全日(ri)(ri)志數(shu)據比本地(di)生(sheng)成的(de)要多得多。這些(xie)本地(di)生(sheng)成的(de)日(ri)(ri)志數(shu)據就(jiu)需要上傳到云(yun)上作分析和關聯。

它(ta)還(huan)能(neng)夠為合規或者(zhe)數據冗余(yu)的目的，提供線(xian)下(xia)存儲的可靠格式。黑客能(neng)夠攻擊安(an)全(quan)(quan)日志數據，那么擁(yong)有一個(ge)安(an)全(quan)(quan)的線(xian)下(xia)副本(ben)就(jiu)是一種信(xin)息安(an)全(quan)(quan)的最佳實(shi)踐。

SIEM即服務

獨占的(de)(de)(de)(de)(de)(de)第(di)三方基于云的(de)(de)(de)(de)(de)(de)安全運維中心(SOC)供應(ying)商(shang)也(ye)越(yue)來越(yue)流行。Loggly就是這(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)一個公司(si)，它(ta)允許客戶(hu)上傳(chuan)自己的(de)(de)(de)(de)(de)(de)安全日志數據。Loggly SOC監控并且分析這(zhe)(zhe)些數據，在需要的(de)(de)(de)(de)(de)(de)地方給(gei)客戶(hu)報(bao)警。這(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)方案有時候稱之為SOC即服(fu)務(wu)(wu)，或(huo)者SIEM即服(fu)務(wu)(wu)(SaaS)。每年有越(yue)來越(yue)多(duo)的(de)(de)(de)(de)(de)(de)SaaS供應(ying)商(shang)出現，比如(ru)Alert Logic和(he)Proficio，并且這(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)趨勢很(hen)可能會持續。使用SaaS供應(ying)商(shang)意味著企業不(bu)需要高價搭建自己的(de)(de)(de)(de)(de)(de)，高技能24/7的(de)(de)(de)(de)(de)(de)SOC。但是，也(ye)要考慮到所需的(de)(de)(de)(de)(de)(de)帶寬，服(fu)務(wu)(wu)的(de)(de)(de)(de)(de)(de)可用性和(he)可能的(de)(de)(de)(de)(de)(de)合(he)規和(he)本地規范，也(ye)就是說這(zhe)(zhe)樣(yang)的(de)(de)(de)(de)(de)(de)系統并不(bu)是所有公司(si)的(de)(de)(de)(de)(de)(de)最佳選擇。

結論

安全(quan)日志數(shu)據(ju)所帶來了一些(xie)(xie)云客(ke)戶(hu)必須處理的(de)(de)(de)挑(tiao)戰，其中大(da)部分在(zai)(zai)去年已(yi)經(jing)都解決了，出現了很(hen)多(duo)可用的(de)(de)(de)工具和(he)服務(wu)(wu)。這(zhe)(zhe)些(xie)(xie)方(fang)案中的(de)(de)(de)絕大(da)多(duo)數(shu)都創建了一種(zhong)類似混合的(de)(de)(de)云配置，一部分數(shu)據(ju)儲(chu)存(cun)在(zai)(zai)本地，另一部分數(shu)據(ju)儲(chu)存(cun)在(zai)(zai)云端。使用市面上可用的(de)(de)(de)相對簡單的(de)(de)(de)上傳(chuan)以及下載方(fang)案，這(zhe)(zhe)些(xie)(xie)數(shu)據(ju)能夠(gou)(gou)并且應該能夠(gou)(gou)以這(zhe)(zhe)種(zhong)或那種(zhong)的(de)(de)(de)格式同步。SIEM即服務(wu)(wu)的(de)(de)(de)引入(ru)說明了云安全(quan)的(de)(de)(de)領域(yu)(yu)仍然非常(chang)動態，可以期待(dai)在(zai)(zai)最近幾(ji)年里，這(zhe)(zhe)個領域(yu)(yu)會出現很(hen)多(duo)更加(jia)激動人心的(de)(de)(de)產品(pin)。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

 歡迎來電(dian)咨詢0574 88168918,郵箱sales@aliance.cn，網址aliance.cn