如何构建多云日志记录策略
云计算基础设施的日志记录和监控已成为人们近年来关注的主要话题。即使是关于将应用程序迁移到云端的一般性对话,也总是以客户询问如何实施日志记录和监控云计算基础设施而告终。日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登录和跨越云计算平台基础设施非常复杂,如果实施不当,则会带来技术挑战和成本超支。
在通往云计算的旅途上,许多企业试图创建多云日志记录的案例都失败或终止了。但云计算服务在结构和操作上与内部部署系统截然不同。企业不一定拥有相同的事件源,并且数据通常不同或不完整,因此现有报告和分析可能无法正常工作。云计算服务是短暂的,因此当用户寻找它时,不能指望仍然还在原有的服务器中,并且IP地址是不可靠的标识符。而从网络上可能看起来行为相同,但它们是软件定义的,因此用户无法以与内部部署相同的方式接入它们,即使可以,也不会理解数据包。用户检测和响应攻击有所不同,利用自动化与用户的基础设施一样灵活。一些日志可以捕获每个API调用,但信息量也很大。此外,许多企业都缺少了解云计算技术的员工,存在技能差距,因此他们将所做的工作“提升并转移”到云计算服务中,然后被迫在未来重构部署。
很多企业采用了多云,但并不仅仅意味着采用某些软件即服务(SaaS)以及单一的基础设施即服务(IaaS)提供商的服务就是多云,而是企业选择采用多个IaaS供应商的服务,并为每个供应商部署不同的应用程序。有时这是一种“最佳选择”的方法,但更多时候,企业选择多个供应商的服务是由于担心被单一供应商锁定而导致的。这使得日志记录和监控变得更加困难,因为IaaS提供商和内部部署的集合在功能、事件和集成点方面各不相同。
更复杂的是,现有的安全信息和事件管理(SIEM)供应商以及一些安全分析供应商落后于云采用曲线。有些是因为他们的云计算部署模型与为内部部署提供的模型没有什么不同,这使得与云服务的集成变得尴尬。一些是因为他们的解决方案依赖于传统的网络方法,这些方法不适用于软件定义网络,还有一些人使用定价模型,当这些定价模型陷入高度冗长的云计算日志源时,会给客户带来一些收益。将在以后展示其中一些定价模型。
以下是一些常见问题:
需要哪些数据或日志?服务器、网络、容器、应用、API、存储等?
如何打开它们?如何将它们从源头上移开?
如何将数据恢复到自己的安全信息和事件管理(SIEM)?现有的安全信息和事件管理(SIEM)可以根据不同的架构和数量和速率处理这些日志吗?
是否应该使用日志聚合器,并将所有内容发送回自己的分析平台吗?在过渡到云平台的过程中,这会发生什么变化?
如何捕获数据包以及将其放在何处?
在此提出了这些问题以及其他问题,因为它们来自于尝试将云计算事件融入现有/内部部署的工具和流程。并不是说他们做错了,而是强调了将新数据映射到原有的以及熟悉的系统的努力。相反,企业需要重新考虑其日志记录和监控方法。
企业应该询问的问题包括:
日志记录架构现在应该是什么样子?它应该如何改变?
如何跨多个提供商处理多个帐户?
应该利用哪些云原生资源?
如何保持成本可管理?存储在云平台价格可能非常便宜和丰富,但是各种服务的定价模型是什么?它们能否摄取和分析发送的数据?
应该将哪些内容发送到现有的数据分析工具?是安全信息和事件管理(SIEM)吗?
如何调整企业监控的云计算安全性?
批量或实时流?或两者兼有?
如何调整云计算的分析?
企业需要重新审视日志记录和监视,并调整IT和安全工作流以适应云计算服务,特别是如果企业从内部部署环境过渡到云计算平台,并且将在过渡期间运行混合环境,而这个过渡期可能是几年的时间。
如今,行业厂商推出了一个关于构建多云日志记录战略的新系列。此外,还将深入研究以下主题,讨论帮助企业迁移到云平台时所看到的内容。
初步纲要如下:
(1)成功的障碍:本文将讨论传统方法不起作用的一些原因,以及企业可能缺乏可见性的领域。
(2)云计算日志架构:讨论了反模式和更高效的日志记录方法。并提供有关参考体系结构的建议,以帮助实现多云以及集中管理。
(3)本机日志记录特性:将讨论企业可以从各种类型的云计算服务中获得哪些日志,在共享责任服务中可能无法获得的内容,企业所期望的不同数据源以及如何获得。还将提供有关登录谷歌云、微软Azure和AWS等云平台的实用注释。将帮助用户浏览其原生产品以及PaaS/SaaS供应商的功能。
(4)BYO日志:企业在何处以及如何填补第三方工具的空白,或将其构建到企业在云中部署的应用程序和服务中。
(5)云计算还是内部部署管理?需要将日志管理迁移到云中,权衡保持在内部部署数据中心以及使用混合模型之间的这些活动。这包括将云计算工作负载连接到内部部署网络的风险和好处。
(6)安全分析:越来越多的企业正在通过安全分析、数据湖,以及机器学习/人工智能来扩充或取代传统的安全信息和事件管理(SIEM)。因此,还要讨论其中一些方法以及威胁检测,合规性和治理的各种数据源。以上这5个目标将会促进企业收集、转换和存储数据的能力,获得实时和历史洞察力。
最新活动更多
-
12月19日立即报名>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
即日-2025.8.1立即下载>> 《2024智能制造产业高端化、智能化、绿色化发展蓝皮书》
-
精彩回顾立即查看>> 2024先进激光技术博览展
-
精彩回顾立即查看>> 全数会2024中国深圳智能制造与机器人展览会
-
精彩回顾立即查看>> 2024(第五届)全球数字经济产业大会暨展览会
-
精彩回顾立即查看>> 维科杯·OFweek2024中国工业自动化及数字化行业年度评选
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论