所有資訊安全控制的共同點是都有以日志事件和報警的格式所生成的資料輸出。随着企業規模的增加或者安全級别的增加,安全日志資料及其存儲需求也在快速增長。
最近很多服務遷移到雲服務提供商的過程給企業帶來了一些挑戰,如何處理這樣大規模的資料——這些資料現在位于同一個雲平台的外部。幸運的是,很多這樣的csp在該領域非常活躍,并且一些令人激動的新機遇也随之出現。
分析雲上的安全日志資料
有1000多名員工以及平均網絡規模的企業能夠在一天内輕松生成100gb的日志。如果該企業的大多數環境都托管在雲平台上,那麼在企業本地站點裡對這麼大量的資料進行分析,比如,siem幾乎是不可能完成的任務。這些資料如何能夠快速同步進而允許實時分析呢?而且黑客還有可能通過生成大量日志資料來延遲或者阻塞資料流,進而導緻安全監控的臨時缺失。這裡最有效的方案是在雲平台裡直接監控并且分析日志資料。一種可能的混合方案就是在基于雲的伺服器上運作siem應用程式或者運作簡單的日志分析應用,并且将一些更有意思,更相關或者過濾後的資料傳送回企業的本地環境。
microsoft為其azure平台釋出了白皮書,介紹了azure deployment monitoring 和 windows event forwarding。amazon也提供了類似方案,并且大多數csp允許客戶部署自己的siem或者splunk的相關服務。
從雲上下載下傳安全日志資料
可以周期地或者臨時地從供應商那裡下載下傳安全日志資料,即使這樣的資料非常多。然後這些資料可以輸入本地的siem,比如alien vault或者arcsight來做本地分析,并且如果需要的話,可以和其他事件輸入源相關聯。周期下載下傳可以基于api的連接配接。可以每天或者足夠頻繁地安排下載下傳,進而使得看上去這些資料是持續高效同步的。通常也會使用這樣的方法擷取基于雲的安全産品的資料,比如雲殺毒以及入侵監測系統。
如上所述,在計劃這樣的方案時,還需要考慮帶寬的使用和資料輸入被中斷的可能性,以及限制安全事件的可見性。基于合規要求或者深入的事件調查,有時候需要好多個月的資料。基于這樣的資料規模,下載下傳可能無法進行。csp通常還能夠幫助實作自定義的可适應的解決方案。比如,amazon,開發了snowball,這是一個pb節規模的,保護資料傳輸的工具,設計用來将大量資料移入或者移出aws雲。其他供應商也提供了類似方案,因為這樣的海量資料請求并不少見。
将安全日志資料上傳到雲裡
一些企業不需要從雲裡下載下傳安全資料;他們需要将資料上傳到雲環境裡。這樣的情況發生在雲環境裡存在siem産品時。如上所述,這是可能的,因為一些企業在雲環境裡生成的安全日志資料比本地生成的要多得多。這些本地生成的日志資料就需要上傳到雲上作分析和關聯。
它還能夠為合規或者資料備援的目的,提供線下存儲的可靠格式。黑客能夠攻擊安全日志資料,那麼擁有一個安全的線下副本就是一種資訊安全的最佳實踐。
siem即服務
獨占的第三方基于雲的安全運維中心(soc)供應商也越來越流行。loggly就是這樣的一個公司,它允許客戶上傳自己的安全日志資料。loggly soc監控并且分析這些資料,在需要的地方給客戶報警。這樣的方案有時候稱之為soc即服務,或者siem即服務(saas)。每年有越來越多的saas供應商出現,比如alert logic和proficio,并且這樣的趨勢很可能會持續。使用saas供應商意味着企業不需要高價搭建自己的,高技能24/7的soc。但是,也要考慮到所需的帶寬,服務的可用性和可能的合規和本地規範,也就是說這樣的系統并不是所有公司的最佳選擇。
結論
安全日志資料所帶來了一些雲客戶必須處理的挑戰,其中大部分在去年已經都解決了,出現了很多可用的工具和服務。這些方案中的絕大多數都建立了一種類似混合的雲配置,一部分資料儲存在本地,另一部分資料儲存在雲端。使用市面上可用的相對簡單的上傳以及下載下傳方案,這些資料能夠并且應該能夠以這種或那種的格式同步。siem即服務的引入說明了雲安全的領域仍然非常動态,可以期待在最近幾年裡,這個領域會出現很多更加激動人心的産品。
本文作者:佚名
來源:51cto