所有信息(xi)安(an)全控制的(de)(de)共(gong)同(tong)特征是以日(ri)(ri)志(zhi)事件和警(jing)告形式生成的(de)(de)數(shu)(shu)(shu)據(ju)輸出。隨著企業(ye)規(gui)模或安(an)全水平的(de)(de)提(ti)升，這種數(shu)(shu)(shu)據(ju)的(de)(de)規(gui)模及存儲要(yao)(yao)求也要(yao)(yao)快速增長。傳統上(shang)，企業(ye)往(wang)往(wang)購買越來(lai)越多(duo)的(de)(de)相對廉價的(de)(de)存儲來(lai)處理(li)和歸(gui)檔這些日(ri)(ri)志(zhi)。某些行(xing)業(ye)和法律要(yao)(yao)求日(ri)(ri)志(zhi)數(shu)(shu)(shu)據(ju)的(de)(de)保(bao)留時間可達(da)(da)數(shu)(shu)(shu)年之(zhi)久，所以，我們很(hen)容易想(xiang)象到，在如此長的(de)(de)時間之(zhi)后這些日(ri)(ri)志(zhi)可能達(da)(da)到的(de)(de)絕(jue)對規(gui)模。

最近，向云服(fu)務的(de)(de)遷移給試圖(tu)應對(dui)這些(xie)海量數(shu)據(可能位于(yu)同樣云平臺(tai)中的(de)(de)外(wai)部)的(de)(de)企(qi)業帶(dai)來不少挑(tiao)戰。幸運的(de)(de)是，很多云服(fu)務供應商(shang)已經(jing)在此領域有著(zhu)積極的(de)(de)表(biao)現(xian)，而且(qie)出(chu)現(xian)了一些(xie)激動人心的(de)(de)機會。

云中分析

有(you)一(yi)千個(ge)員(yuan)工的(de)(de)(de)(de)(de)(de)企(qi)業其網絡(luo)規模也(ye)就(jiu)是(shi)一(yi)般水平，其每(mei)天生成的(de)(de)(de)(de)(de)(de)日(ri)志(zhi)(zhi)(zhi)就(jiu)可(ke)多(duo)達100GB。如(ru)(ru)果企(qi)業將(jiang)多(duo)數(shu)環(huan)境都托管(guan)到一(yi)個(ge)云平臺中，對這些(xie)(xie)(xie)數(shu)據(ju)(ju)的(de)(de)(de)(de)(de)(de)分(fen)(fen)析卻在(zai)企(qi)業本地(di)實(shi)施，例如(ru)(ru)，通(tong)過(guo)一(yi)套SIEM方(fang)案(an)幾(ji)乎是(shi)不可(ke)能的(de)(de)(de)(de)(de)(de)。如(ru)(ru)何使(shi)這些(xie)(xie)(xie)數(shu)據(ju)(ju)同(tong)步快(kuai)速地(di)適(shi)應(ying)適(shi)時(shi)的(de)(de)(de)(de)(de)(de)分(fen)(fen)析?還有(you)一(yi)種可(ke)能，攻(gong)擊者可(ke)以通(tong)過(guo)生成海量的(de)(de)(de)(de)(de)(de)日(ri)志(zhi)(zhi)(zhi)數(shu)據(ju)(ju)，造成安(an)全監(jian)視的(de)(de)(de)(de)(de)(de)臨(lin)時(shi)無效，從而延遲或中止這些(xie)(xie)(xie)數(shu)據(ju)(ju)流。在(zai)此，最(zui)可(ke)行(xing)的(de)(de)(de)(de)(de)(de)方(fang)案(an)就(jiu)是(shi)在(zai)云平臺內部直接監(jian)視和分(fen)(fen)析日(ri)志(zhi)(zhi)(zhi)數(shu)據(ju)(ju)。有(you)一(yi)種可(ke)能的(de)(de)(de)(de)(de)(de)方(fang)案(an)就(jiu)是(shi)，將(jiang)一(yi)個(ge)SIEM應(ying)用或一(yi)個(ge)簡(jian)單的(de)(de)(de)(de)(de)(de)日(ri)志(zhi)(zhi)(zhi)分(fen)(fen)析應(ying)用運行(xing)在(zai)一(yi)個(ge)基(ji)于云的(de)(de)(de)(de)(de)(de)服務器上，并且將(jiang)一(yi)些(xie)(xie)(xie)更相關的(de)(de)(de)(de)(de)(de)或過(guo)濾(lv)后的(de)(de)(de)(de)(de)(de)數(shu)據(ju)(ju)提交給企(qi)業的(de)(de)(de)(de)(de)(de)本地(di)環(huan)境。正如(ru)(ru)前(qian)文所(suo)述，云服務供應(ying)商(shang)的(de)(de)(de)(de)(de)(de)系統可(ke)以使(shi)客戶根據(ju)(ju)其環(huan)境來配置這些(xie)(xie)(xie)方(fang)案(an)。

微軟(ruan)已經為其Azure平臺發(fa)布了一份白皮書，內容(rong)涉及(ji)到Azure部署(shu)監視和(he)事件轉(zhuan)發(fa)。亞馬遜提(ti)供(gong)了類似的選擇，而且(qie)多數云(yun)服(fu)(fu)務供(gong)應商都允(yun)許客戶部署(shu)自己(ji)的SIEM或相關的Splunk服(fu)(fu)務。

云下載

即使其數量巨(ju)大(da)，安(an)(an)全(quan)日志(zhi)數據也可(ke)(ke)以(yi)定期地或(huo)(huo)專(zhuan)門從(cong)供(gong)(gong)應商(shang)下載。這些(xie)數據可(ke)(ke)以(yi)在必(bi)要時連(lian)同其它的(de)(de)(de)(de)(de)事(shi)件，提(ti)交(jiao)給本地的(de)(de)(de)(de)(de)SIEM方案進(jin)(jin)行(xing)(xing)分析。定期的(de)(de)(de)(de)(de)下載可(ke)(ke)以(yi)基于API連(lian)接。下載可(ke)(ke)以(yi)是每天(tian)進(jin)(jin)行(xing)(xing)或(huo)(huo)經常(chang)實施，這看(kan)起(qi)來(lai)(lai)就如(ru)(ru)(ru)同是有效地持續地進(jin)(jin)行(xing)(xing)數據同步。這種(zhong)方法往往用于從(cong)基于云(yun)(yun)(yun)的(de)(de)(de)(de)(de)安(an)(an)全(quan)產品(pin)獲取數據，例如(ru)(ru)(ru)，云(yun)(yun)(yun)反(fan)病毒方案和(he)入侵檢(jian)測系統(tong)。如(ru)(ru)(ru)前(qian)所述，在進(jin)(jin)行(xing)(xing)這類設(she)置時，帶寬的(de)(de)(de)(de)(de)使用、提(ti)交(jiao)數據時的(de)(de)(de)(de)(de)中斷、限制(zhi)安(an)(an)全(quan)事(shi)件的(de)(de)(de)(de)(de)可(ke)(ke)見性都是必(bi)須(xu)考慮的(de)(de)(de)(de)(de)問題。對于合(he)規原(yuan)因(yin)或(huo)(huo)深(shen)入的(de)(de)(de)(de)(de)事(shi)件調查(cha)來(lai)(lai)說，有時需要幾個月(yue)的(de)(de)(de)(de)(de)數據。由于這些(xie)數據的(de)(de)(de)(de)(de)巨(ju)大(da)規模，下載未(wei)必(bi)可(ke)(ke)行(xing)(xing)。云(yun)(yun)(yun)服務供(gong)(gong)應商(shang)可(ke)(ke)以(yi)協(xie)助這種(zhong)定制(zhi)化的(de)(de)(de)(de)(de)適當的(de)(de)(de)(de)(de)方案。例如(ru)(ru)(ru)，亞(ya)馬遜(xun)開發了一種(zhong)稱為 雪球(qiu) 的(de)(de)(de)(de)(de)安(an)(an)全(quan)傳輸解決方案，其設(she)計目(mu)的(de)(de)(de)(de)(de)就是可(ke)(ke)以(yi)使海量的(de)(de)(de)(de)(de)數據進(jin)(jin)出其AWS云(yun)(yun)(yun)。其它的(de)(de)(de)(de)(de)供(gong)(gong)應商(shang)也有類似的(de)(de)(de)(de)(de)選擇，因(yin)為這些(xie)海量的(de)(de)(de)(de)(de)數據請求并不罕見。

上傳至云

有(you)些企(qi)業并不(bu)期望從云下載安全(quan)數(shu)據(ju)，而是需要(yao)將安全(quan)數(shu)據(ju)上(shang)傳到云環(huan)境(jing)中(zhong)。例如，如果企(qi)業的(de)云環(huan)境(jing)中(zhong)有(you)一個SIEM產(chan)品，就(jiu)會存在(zai)這(zhe)種需求(qiu)。就(jiu)像前面所討論的(de)，由于有(you)些企(qi)業在(zai)其云環(huan)境(jing)中(zhong)生成(cheng)的(de)安全(quan)日志數(shu)據(ju)比在(zai)本(ben)地生成(cheng)的(de)更多(duo)，所以才有(you)了(le)這(zhe)種可能性。這(zhe)些在(zai)本(ben)地生成(cheng)的(de)日志數(shu)據(ju)需要(yao)上(shang)傳到云進行分析和關聯(lian)。

企(qi)業還(huan)可以利用(yong)可靠(kao)的(de)(de)離(li)線(xian)存儲形式(shi)，用(yong)于(yu)合規或數(shu)據(ju)冗余的(de)(de)目的(de)(de)。攻(gong)擊者可以針對安全(quan)(quan)日志(zhi)數(shu)據(ju)進(jin)行(xing)攻(gong)擊，而擁有(you)一(yi)個安全(quan)(quan)的(de)(de)離(li)線(xian)副(fu)本就(jiu)成為信(xin)息(xi)安全(quan)(quan)的(de)(de)一(yi)種最佳實踐。企(qi)業將海量數(shu)據(ju)上傳到云，服務供應商(shang)會遇(yu)到與從云下(xia)載大量數(shu)據(ju)相同的(de)(de)問題：上傳所占用(yong)的(de)(de)時間和所需要的(de)(de)帶寬使其根本無(wu)法(fa)實現(xian)。將數(shu)據(ju)安放到安全(quan)(quan)的(de)(de)硬件上就(jiu)成為了唯一(yi)的(de)(de)方案(an)。

SIEM作為服務

專(zhuan)門的(de)第三(san)方的(de)基于云(yun)的(de)安(an)全運(yun)(yun)營中心(SOC)供(gong)應(ying)商也逐(zhu)步受到歡迎。例如(ru)，有的(de)供(gong)應(ying)商可以允(yun)許客戶上(shang)傳其(qi)安(an)全日志數(shu)據(ju)，并且可以為(wei)用(yong)戶監(jian)視(shi)和(he)分析(xi)這(zhe)(zhe)些數(shu)據(ju)，并在必(bi)要(yao)時發(fa)出警告(gao)。這(zhe)(zhe)種設(she)置可稱為(wei) 安(an)全運(yun)(yun)營即服務(wu) ，或(huo) SIEM即服務(wu) 。如(ru)今，這(zhe)(zhe)種 SIEM即服務(wu) 越來(lai)越多，今后(hou)，這(zhe)(zhe)種趨勢(shi)將會繼(ji)續增長。使用(yong) SIEM即服務(wu) 供(gong)應(ying)商意(yi)味著，企業(ye)不必(bi)花費(fei)高(gao)昂成本建(jian)立其(qi)自己(ji)的(de)全天(tian)候的(de)安(an)全運(yun)(yun)營中心。但是(shi)(shi)，企業(ye)需(xu)要(yao)考慮的(de)一個很(hen)重(zhong)要(yao)的(de)問題是(shi)(shi)，由此(ci)所需(xu)要(yao)的(de)帶寬、服務(wu)的(de)可用(yong)性、可能的(de)合(he)規和(he)法律問題意(yi)味著這(zhe)(zhe)種方案(an)并不是(shi)(shi)適用(yong)于每個企業(ye)的(de)最佳選擇。

結語

在過去的幾年中(zhong)(zhong)，云客戶必須要應(ying)對與安(an)全(quan)日(ri)志數(shu)據(ju)有(you)(you)關的挑戰，這些困難多數(shu)都(dou)(dou)得到(dao)了解(jie)決(jue)，而且(qie)有(you)(you)許多方(fang)案可供使用(yong)。其(qi)中(zhong)(zhong)的多數(shu)方(fang)案都(dou)(dou)創造了一(yi)種(zhong)類似(si) 混搭 的云配置，其(qi)中(zhong)(zhong)的部分(fen)數(shu)據(ju)位于本地，還有(you)(you)部分(fen)數(shu)據(ju)位于云中(zhong)(zhong)。企業應(ying)當通過使用(yong)相對容易的上傳和下載選(xuan)擇(ze)，以某(mou)種(zhong)形式(shi)來實現(xian)數(shu)據(ju)的同(tong)步(bu)。在數(shu)據(ju)規模(mo)成為一(yi)個挑戰時，與云服(fu)(fu)務(wu)供應(ying)商的選(xuan)擇(ze)有(you)(you)關的討論可能導致(zhi)一(yi)種(zhong)定制化的方(fang)案，從而更適合需求。最近(jin)的 SIEM即服(fu)(fu)務(wu) 的出(chu)現(xian)展(zhan)(zhan)示出(chu)，云安(an)全(quan)領域是(shi)動態(tai)變化的，而且(qie)在此(ci)領域更為有(you)(you)趣(qu)的許多發(fa)展(zhan)(zhan)都(dou)(dou)有(you)(you)望在未來幾年嶄露頭角。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡迎來電咨詢0574 88168918,郵箱sales@aliance.cn，網址aliance.cn