新澳门
闲话置业

如何构建多云日志记录策略

作者: 来源: 时间:2019-07-13

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!


日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登录和跨越云计算平台基础设施非常复杂,如果实施不当,则会带来技术挑战和成本超支。

云计算基础设施的日志记录和监控已成为人们近年来关注的主要话题。即使是关于将应用程序迁移到云端的一般性对话,也总是以客户询问如何实施日志记录和监控云计算基础设施而告终。日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登录和跨越云计算平台基础设施非常复杂,如果实施不当,则会带来技术挑战和成本超支。

在通往云计算的旅途上,许多企业试图创建多云日志记录的案例都失败或终止了。但云计算服务在结构和操作上与内部部署系统截然不同。企业不一定拥有相同的事件源,并且数据通常不同或不完整,因此现有报告和分析可能无法正常工作。云计算服务是短暂的,因此当用户寻找它时,不能指望仍然还在原有的服务器中,并且IP地址是不可靠的标识符。而从网络上可能看起来行为相同,但它们是软件定义的,因此用户无法以与内部部署相同的方式接入它们,即使可以,也不会理解数据包。用户检测和响应攻击有所不同,利用自动化与用户的基础设施一样灵活。一些日志可以捕获每个API调用,但信息量也很大。此外,许多企业都缺少了解云计算技术的员工,存在技能差距,因此他们将所做的工作“提升并转移”到云计算服务中,然后被迫在未来重构部署。

很多企业采用了多云,但并不仅仅意味着采用某些软件即服务(SaaS)以及单一的基础设施即服务(IaaS)提供商的服务就是多云,而是企业选择采用多个IaaS供应商的服务,并为每个供应商部署不同的应用程序。有时这是一种“最佳选择”的方法,但更多时候,企业选择多个供应商的服务是由于担心被单一供应商锁定而导致的。这使得日志记录和监控变得更加困难,因为IaaS提供商和内部部署的集合在功能、事件和集成点方面各不相同。

更复杂的是,现有的安全信息和事件管理(SIEM)供应商以及一些安全分析供应商落后于云采用曲线。有些是因为他们的云计算部署模型与为内部部署提供的模型没有什么不同,这使得与云服务的集成变得尴尬。一些是因为他们的解决方案依赖于传统的网络方法,这些方法不适用于软件定义网络,还有一些人使用定价模型,当这些定价模型陷入高度冗长的云计算日志源时,会给客户带来一些收益。将在以后展示其中一些定价模型。

以下是一些常见问题:

•需要哪些数据或日志?服务器、网络、容器、应用、API、存储等?

•如何打开它们?如何将它们从源头上移开?

•如何将数据恢复到自己的安全信息和事件管理(SIEM)?现有的安全信息和事件管理(SIEM)可以根据不同的架构和数量和速率处理这些日志吗?

•是否应该使用日志聚合器,并将所有内容发送回自己的分析平台吗?在过渡到云平台的过程中,这会发生什么变化?

•如何捕获数据包以及将其放在何处?

在此提出了这些问题以及其他问题,因为它们来自于尝试将云计算事件融入现有/内部部署的工具和流程。并不是说他们做错了,而是强调了将新数据映射到原有的以及熟悉的系统的努力。相反,企业需要重新考虑其日志记录和监控方法。

企业应该询问的问题包括:

•日志记录架构现在应该是什么样子?它应该如何改变?

•如何跨多个提供商处理多个帐户?

•应该利用哪些云原生资源?

•如何保持成本可管理?存储在云平台价格可能非常便宜和丰富,但是各种服务的定价模型是什么?它们能否摄取和分析发送的数据?

•应该将哪些内容发送到现有的数据分析工具?是安全信息和事件管理(SIEM)吗?

•如何调整企业监控的云计算安全性?

•批量或实时流?或两者兼有?

•如何调整云计算的分析?

企业需要重新审视日志记录和监视,并调整IT和安全工作流以适应云计算服务,特别是如果企业从内部部署环境过渡到云计算平台,并且将在过渡期间运行混合环境,而这个过渡期可能是几年的时间。

如今,行业厂商推出了一个关于构建多云日志记录战略的新系列。此外,还将深入研究以下主题,讨论帮助企业迁移到云平台时所看到的内容。

初步纲要如下:

(1)成功的障碍:本文将讨论传统方法不起作用的一些原因,以及企业可能缺乏可见性的领域。

(2)云计算日志架构:讨论了反模式和更高效的日志记录方法。并提供有关参考体系结构的建议,以帮助实现多云以及集中管理。

(3)本机日志记录特性:将讨论企业可以从各种类型的云计算服务中获得哪些日志,在共享责任服务中可能无法获得的内容,企业所期望的不同数据源以及如何获得。还将提供有关登录谷歌云、微软Azure和AWS等云平台的实用注释。将帮助用户浏览其原生产品以及PaaS/SaaS供应商的功能。

(4)BYO日志:企业在何处以及如何填补第三方工具的空白,或将其构建到企业在云中部署的应用程序和服务中。

(5)云计算还是内部部署管理?需要将日志管理迁移到云中,权衡保持在内部部署数据中心以及使用混合模型之间的这些活动。这包括将云计算工作负载连接到内部部署网络的风险和好处。

(6)安全分析:越来越多的企业正在通过安全分析、数据湖,以及机器学习/人工智能来扩充或取代传统的安全信息和事件管理(SIEM)。因此,还要讨论其中一些方法以及威胁检测,合规性和治理的各种数据源。以上这5个目标将会促进企业收集、转换和存储数据的能力,获得实时和历史洞察力。

(来源:企业网D1Net)

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿

 投稿邮箱:editor@d1net.com

点击蓝色字体

关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO, 企业通信 ,企业应用软件,网络数通,信息安全,服务器,存储,AI人工智能,物联网智慧城市等)的子公众号。

企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源; 2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任; 3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 连续4场惨败 欧冠最水种子队浮出水面

  • 动漫史上三只狗,今天总算是齐聚一堂了!

  • 如何看翡翠原石内部有没有绿色?松花是很可...

  • 你吹牛归吹牛,总得给钱吧!

  • 福利!没抢到超人气 AJ4 “Tatto...

  • 10.30收评|茅台酒们的下跌代表大熊市...

  • 重磅!证监会盘中发声,A股探底回升,两大...

  • 嘿,那个正在刷抖音的你