如何构建多云日志记录策略

2018-11-02 11:45

云计算基础设施的日志记录和监控已成为人们近年来关注的主要话题。即使是关于将应用程序迁移到云端的一般性对话，也总是以客户询问如何实施日志记录和监控云计算基础设施而告终。日志是迁移到云计算服务（用户实际上并不控制基础设施）的安全性和合规性的关键，并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义，这是因为登录和跨越云计算平台基础设施非常复杂，如果实施不当，则会带来技术挑战和成本超支。

在通往云计算的旅途上，许多企业试图创建多云日志记录的案例都失败或终止了。但云计算服务在结构和操作上与内部部署系统截然不同。企业不一定拥有相同的事件源，并且数据通常不同或不完整，因此现有报告和分析可能无法正常工作。云计算服务是短暂的，因此当用户寻找它时，不能指望仍然还在原有的服务器中，并且IP地址是不可靠的标识符。而从网络上可能看起来行为相同，但它们是软件定义的，因此用户无法以与内部部署相同的方式接入它们，即使可以，也不会理解数据包。用户检测和响应攻击有所不同，利用自动化与用户的基础设施一样灵活。一些日志可以捕获每个API调用，但信息量也很大。此外，许多企业都缺少了解云计算技术的员工，存在技能差距，因此他们将所做的工作“提升并转移”到云计算服务中，然后被迫在未来重构部署。

很多企业采用了多云，但并不仅仅意味着采用某些软件即服务（SaaS）以及单一的基础设施即服务（IaaS）提供商的服务就是多云，而是企业选择采用多个IaaS供应商的服务，并为每个供应商部署不同的应用程序。有时这是一种“最佳选择”的方法，但更多时候，企业选择多个供应商的服务是由于担心被单一供应商锁定而导致的。这使得日志记录和监控变得更加困难，因为IaaS提供商和内部部署的集合在功能、事件和集成点方面各不相同。

更复杂的是，现有的安全信息和事件管理（SIEM）供应商以及一些安全分析供应商落后于云采用曲线。有些是因为他们的云计算部署模型与为内部部署提供的模型没有什么不同，这使得与云服务的集成变得尴尬。一些是因为他们的解决方案依赖于传统的网络方法，这些方法不适用于软件定义网络，还有一些人使用定价模型，当这些定价模型陷入高度冗长的云计算日志源时，会给客户带来一些收益。将在以后展示其中一些定价模型。

以下是一些常见问题：

需要哪些数据或日志？服务器、网络、容器、应用、API、存储等？

如何打开它们？如何将它们从源头上移开？

如何将数据恢复到自己的安全信息和事件管理（SIEM）？现有的安全信息和事件管理（SIEM）可以根据不同的架构和数量和速率处理这些日志吗？

是否应该使用日志聚合器，并将所有内容发送回自己的分析平台吗？在过渡到云平台的过程中，这会发生什么变化？

如何捕获数据包以及将其放在何处？

在此提出了这些问题以及其他问题，因为它们来自于尝试将云计算事件融入现有／内部部署的工具和流程。并不是说他们做错了，而是强调了将新数据映射到原有的以及熟悉的系统的努力。相反，企业需要重新考虑其日志记录和监控方法。

企业应该询问的问题包括：

日志记录架构现在应该是什么样子？它应该如何改变？

如何跨多个提供商处理多个帐户？

应该利用哪些云原生资源？

如何保持成本可管理？存储在云平台价格可能非常便宜和丰富，但是各种服务的定价模型是什么？它们能否摄取和分析发送的数据？