所有信息安全控制的共同特征是以日志事件和警告形式生成的數(shù)據(jù)輸出。隨著企業(yè)規(guī)?;虬踩降奶嵘?,這種數(shù)據(jù)的規(guī)模及存儲要求也要快速增長。傳統(tǒng)上,企業(yè)往往購買越來越多的相對廉價的存儲來處理和歸檔這些日志。某些行業(yè)和法律要求日志數(shù)據(jù)的保留時間可達數(shù)年之久,所以,我們很容易想象到,在如此長的時間之后這些日志可能達到的絕對規(guī)模。
最近,向云服務的遷移給試圖應對這些海量數(shù)據(jù)(可能位于同樣云平臺中的外部)的企業(yè)帶來不少挑戰(zhàn)。幸運的是,很多云服務供應商已經(jīng)在此領(lǐng)域有著積極的表現(xiàn),而且出現(xiàn)了一些激動人心的機會。
云中分析
有一千個員工的企業(yè)其網(wǎng)絡(luò)規(guī)模也就是一般水平,其每天生成的日志就可多達100GB。如果企業(yè)將多數(shù)環(huán)境都托管到一個云平臺中,對這些數(shù)據(jù)的分析卻在企業(yè)本地實施,例如,通過一套SIEM方案幾乎是不可能的。如何使這些數(shù)據(jù)同步快速地適應適時的分析?還有一種可能,攻擊者可以通過生成海量的日志數(shù)據(jù),造成安全監(jiān)視的臨時無效,從而延遲或中止這些數(shù)據(jù)流。在此,最可行的方案就是在云平臺內(nèi)部直接監(jiān)視和分析日志數(shù)據(jù)。有一種可能的方案就是,將一個SIEM應用或一個簡單的日志分析應用運行在一個基于云的服務器上,并且將一些更相關(guān)的或過濾后的數(shù)據(jù)提交給企業(yè)的本地環(huán)境。正如前文所述,云服務供應商的系統(tǒng)可以使客戶根據(jù)其環(huán)境來配置這些方案。
微軟已經(jīng)為其Azure平臺發(fā)布了一份白皮書,內(nèi)容涉及到Azure部署監(jiān)視和事件轉(zhuǎn)發(fā)。亞馬遜提供了類似的選擇,而且多數(shù)云服務供應商都允許客戶部署自己的SIEM或相關(guān)的Splunk服務。
云下載
即使其數(shù)量巨大,安全日志數(shù)據(jù)也可以定期地或?qū)iT從供應商下載。這些數(shù)據(jù)可以在必要時連同其它的事件,提交給本地的SIEM方案進行分析。定期的下載可以基于API連接。下載可以是每天進行或經(jīng)常實施,這看起來就如同是有效地持續(xù)地進行數(shù)據(jù)同步。這種方法往往用于從基于云的安全產(chǎn)品獲取數(shù)據(jù),例如,云反病毒方案和入侵檢測系統(tǒng)。如前所述,在進行這類設(shè)置時,帶寬的使用、提交數(shù)據(jù)時的中斷、限制安全事件的可見性都是必須考慮的問題。對于合規(guī)原因或深入的事件調(diào)查來說,有時需要幾個月的數(shù)據(jù)。由于這些數(shù)據(jù)的巨大規(guī)模,下載未必可行。云服務供應商可以協(xié)助這種定制化的適當?shù)姆桨浮@?,亞馬遜開發(fā)了一種稱為“雪球”的安全傳輸解決方案,其設(shè)計目的就是可以使海量的數(shù)據(jù)進出其AWS云。其它的供應商也有類似的選擇,因為這些海量的數(shù)據(jù)請求并不罕見。
上傳至云
有些企業(yè)并不期望從云下載安全數(shù)據(jù),而是需要將安全數(shù)據(jù)上傳到云環(huán)境中。例如,如果企業(yè)的云環(huán)境中有一個SIEM產(chǎn)品,就會存在這種需求。就像前面所討論的,由于有些企業(yè)在其云環(huán)境中生成的安全日志數(shù)據(jù)比在本地生成的更多,所以才有了這種可能性。這些在本地生成的日志數(shù)據(jù)需要上傳到云進行分析和關(guān)聯(lián)。
企業(yè)還可以利用可靠的離線存儲形式,用于合規(guī)或數(shù)據(jù)冗余的目的。攻擊者可以針對安全日志數(shù)據(jù)進行攻擊,而擁有一個安全的離線副本就成為信息安全的一種最佳實踐。企業(yè)將海量數(shù)據(jù)上傳到云,服務供應商會遇到與從云下載大量數(shù)據(jù)相同的問題:上傳所占用的時間和所需要的帶寬使其根本無法實現(xiàn)。將數(shù)據(jù)安放到安全的硬件上就成為了唯一的方案。
SIEM作為服務
專門的第三方的基于云的安全運營中心(SOC)供應商也逐步受到歡迎。例如,有的供應商可以允許客戶上傳其安全日志數(shù)據(jù),并且可以為用戶監(jiān)視和分析這些數(shù)據(jù),并在必要時發(fā)出警告。這種設(shè)置可稱為“安全運營即服務”,或“SIEM即服務”。如今,這種“SIEM即服務”越來越多,今后,這種趨勢將會繼續(xù)增長。使用“SIEM即服務”供應商意味著,企業(yè)不必花費高昂成本建立其自己的全天候的安全運營中心。但是,企業(yè)需要考慮的一個很重要的問題是,由此所需要的帶寬、服務的可用性、可能的合規(guī)和法律問題意味著這種方案并不是適用于每個企業(yè)的最佳選擇。
結(jié)語
在過去的幾年中,云客戶必須要應對與安全日志數(shù)據(jù)有關(guān)的挑戰(zhàn),這些困難多數(shù)都得到了解決,而且有許多方案可供使用。其中的多數(shù)方案都創(chuàng)造了一種類似“混搭”的云配置,其中的部分數(shù)據(jù)位于本地,還有部分數(shù)據(jù)位于云中。企業(yè)應當通過使用相對容易的上傳和下載選擇,以某種形式來實現(xiàn)數(shù)據(jù)的同步。在數(shù)據(jù)規(guī)模成為一個挑戰(zhàn)時,與云服務供應商的選擇有關(guān)的討論可能導致一種定制化的方案,從而更適合需求。最近的“SIEM即服務”的出現(xiàn)展示出,云安全領(lǐng)域是動態(tài)變化的,而且在此領(lǐng)域更為有趣的許多發(fā)展都有望在未來幾年嶄露頭角。