信息化觀察網(wǎng)

云計(jì)算基礎(chǔ)設(shè)施的日志記錄和監(jiān)控已成為人們近年來關(guān)注的主要話題。即使是關(guān)于將應(yīng)用程序遷移到云端的一般性對話，也總是以客戶詢問如何實(shí)施日志記錄和監(jiān)控云計(jì)算基礎(chǔ)設(shè)施而告終。日志是遷移到云計(jì)算服務(wù)(用戶實(shí)際上并不控制基礎(chǔ)設(shè)施)的安全性和合規(guī)性的關(guān)鍵，并且這使得日志對于運(yùn)營、風(fēng)險和安全團(tuán)隊(duì)來說更為重要。但這些問題非常有意義，這是因?yàn)榈卿浐涂缭皆朴?jì)算平臺基礎(chǔ)設(shè)施非常復(fù)雜，如果實(shí)施不當(dāng)，則會帶來技術(shù)挑戰(zhàn)和成本超支。

在通往云計(jì)算的旅途上，許多企業(yè)試圖創(chuàng)建多云日志記錄的案例都失敗或終止了。但云計(jì)算服務(wù)在結(jié)構(gòu)和操作上與內(nèi)部部署系統(tǒng)截然不同。企業(yè)不一定擁有相同的事件源，并且數(shù)據(jù)通常不同或不完整，因此現(xiàn)有報告和分析可能無法正常工作。云計(jì)算服務(wù)是短暫的，因此當(dāng)用戶尋找它時，不能指望仍然還在原有的服務(wù)器中，并且IP地址是不可靠的標(biāo)識符。而從網(wǎng)絡(luò)上可能看起來行為相同，但它們是軟件定義的，因此用戶無法以與內(nèi)部部署相同的方式接入它們，即使可以，也不會理解數(shù)據(jù)包。用戶檢測和響應(yīng)攻擊有所不同，利用自動化與用戶的基礎(chǔ)設(shè)施一樣靈活。一些日志可以捕獲每個API調(diào)用，但信息量也很大。此外，許多企業(yè)都缺少了解云計(jì)算技術(shù)的員工，存在技能差距，因此他們將所做的工作“提升并轉(zhuǎn)移”到云計(jì)算服務(wù)中，然后被迫在未來重構(gòu)部署。

很多企業(yè)采用了多云，但并不僅僅意味著采用某些軟件即服務(wù)(SaaS)以及單一的基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商的服務(wù)就是多云，而是企業(yè)選擇采用多個IaaS供應(yīng)商的服務(wù)，并為每個供應(yīng)商部署不同的應(yīng)用程序。有時這是一種“最佳選擇”的方法，但更多時候，企業(yè)選擇多個供應(yīng)商的服務(wù)是由于擔(dān)心被單一供應(yīng)商鎖定而導(dǎo)致的。這使得日志記錄和監(jiān)控變得更加困難，因?yàn)镮aaS提供商和內(nèi)部部署的集合在功能、事件和集成點(diǎn)方面各不相同。

更復(fù)雜的是，現(xiàn)有的安全信息和事件管理(SIEM)供應(yīng)商以及一些安全分析供應(yīng)商落后于云采用曲線。有些是因?yàn)樗麄兊脑朴?jì)算部署模型與為內(nèi)部部署提供的模型沒有什么不同，這使得與云服務(wù)的集成變得尷尬。一些是因?yàn)樗麄兊慕鉀Q方案依賴于傳統(tǒng)的網(wǎng)絡(luò)方法，這些方法不適用于軟件定義網(wǎng)絡(luò)，還有一些人使用定價模型，當(dāng)這些定價模型陷入高度冗長的云計(jì)算日志源時，會給客戶帶來一些收益。將在以后展示其中一些定價模型。

以下是一些常見問題：

需要哪些數(shù)據(jù)或日志?服務(wù)器、網(wǎng)絡(luò)、容器、應(yīng)用、API、存儲等?

如何打開它們?如何將它們從源頭上移開?

如何將數(shù)據(jù)恢復(fù)到自己的安全信息和事件管理(SIEM)?現(xiàn)有的安全信息和事件管理(SIEM)可以根據(jù)不同的架構(gòu)和數(shù)量和速率處理這些日志嗎?

是否應(yīng)該使用日志聚合器，并將所有內(nèi)容發(fā)送回自己的分析平臺嗎?在過渡到云平臺的過程中，這會發(fā)生什么變化?

如何捕獲數(shù)據(jù)包以及將其放在何處?

在此提出了這些問題以及其他問題，因?yàn)樗鼈儊碜杂趪L試將云計(jì)算事件融入現(xiàn)有/內(nèi)部部署的工具和流程。并不是說他們做錯了，而是強(qiáng)調(diào)了將新數(shù)據(jù)映射到原有的以及熟悉的系統(tǒng)的努力。相反，企業(yè)需要重新考慮其日志記錄和監(jiān)控方法。

企業(yè)應(yīng)該詢問的問題包括：

日志記錄架構(gòu)現(xiàn)在應(yīng)該是什么樣子?它應(yīng)該如何改變?

如何跨多個提供商處理多個帳戶?

應(yīng)該利用哪些云原生資源?

如何保持成本可管理?存儲在云平臺價格可能非常便宜和豐富，但是各種服務(wù)的定價模型是什么?它們能否攝取和分析發(fā)送的數(shù)據(jù)?

應(yīng)該將哪些內(nèi)容發(fā)送到現(xiàn)有的數(shù)據(jù)分析工具?是安全信息和事件管理(SIEM)嗎?

如何調(diào)整企業(yè)監(jiān)控的云計(jì)算安全性?

批量或?qū)崟r流?或兩者兼有?

如何調(diào)整云計(jì)算的分析?

企業(yè)需要重新審視日志記錄和監(jiān)視，并調(diào)整IT和安全工作流以適應(yīng)云計(jì)算服務(wù)，特別是如果企業(yè)從內(nèi)部部署環(huán)境過渡到云計(jì)算平臺，并且將在過渡期間運(yùn)行混合環(huán)境，而這個過渡期可能是幾年的時間。

如今，行業(yè)廠商推出了一個關(guān)于構(gòu)建多云日志記錄戰(zhàn)略的新系列。此外，還將深入研究以下主題，討論幫助企業(yè)遷移到云平臺時所看到的內(nèi)容。

初步綱要如下：

(1)成功的障礙：本文將討論傳統(tǒng)方法不起作用的一些原因，以及企業(yè)可能缺乏可見性的領(lǐng)域。

(2)云計(jì)算日志架構(gòu)：討論了反模式和更高效的日志記錄方法。并提供有關(guān)參考體系結(jié)構(gòu)的建議，以幫助實(shí)現(xiàn)多云以及集中管理。

(3)本機(jī)日志記錄特性：將討論企業(yè)可以從各種類型的云計(jì)算服務(wù)中獲得哪些日志，在共享責(zé)任服務(wù)中可能無法獲得的內(nèi)容，企業(yè)所期望的不同數(shù)據(jù)源以及如何獲得。還將提供有關(guān)登錄谷歌云、微軟Azure和AWS等云平臺的實(shí)用注釋。將幫助用戶瀏覽其原生產(chǎn)品以及PaaS/SaaS供應(yīng)商的功能。

(4)BYO日志：企業(yè)在何處以及如何填補(bǔ)第三方工具的空白，或?qū)⑵錁?gòu)建到企業(yè)在云中部署的應(yīng)用程序和服務(wù)中。

(5)云計(jì)算還是內(nèi)部部署管理?需要將日志管理遷移到云中，權(quán)衡保持在內(nèi)部部署數(shù)據(jù)中心以及使用混合模型之間的這些活動。這包括將云計(jì)算工作負(fù)載連接到內(nèi)部部署網(wǎng)絡(luò)的風(fēng)險和好處。

(6)安全分析：越來越多的企業(yè)正在通過安全分析、數(shù)據(jù)湖，以及機(jī)器學(xué)習(xí)/人工智能來擴(kuò)充或取代傳統(tǒng)的安全信息和事件管理(SIEM)。因此，還要討論其中一些方法以及威脅檢測，合規(guī)性和治理的各種數(shù)據(jù)源。以上這5個目標(biāo)將會促進(jìn)企業(yè)收集、轉(zhuǎn)換和存儲數(shù)據(jù)的能力，獲得實(shí)時和歷史洞察力。