云时代：“SIEM即服务”，你怎么看？

[[171590]]

所有信息安全控制的共同特征是以日志事件和警告形式生成的数据输出。随着企业规模或安全水平的提升，这种数据的规模及存储要求也要快速增长。传统上，企业往往购买越来越多的相对廉价的存储来处理和归档这些日志。某些行业和法律要求日志数据的保留时间可达数年之久，所以，我们很容易想象到，在如此长的时间之后这些日志可能达到的绝对规模。

最近，向云服务的迁移给试图应对这些海量数据(可能位于同样云平台中的外部)的企业带来不少挑战。幸运的是，很多云服务供应商已经在此领域有着积极的表现，而且出现了一些激动人心的机会。

云中分析

有一千个员工的企业其网络规模也就是一般水平，其每天生成的日志就可多达100GB。如果企业将多数环境都托管到一个云平台中，对这些数据的分析却在企业本地实施，例如，通过一套SIEM方案几乎是不可能的。如何使这些数据同步快速地适应适时的分析?还有一种可能，攻击者可以通过生成海量的日志数据，造成安全监视的临时无效，从而延迟或中止这些数据流。在此，最可行的方案就是在云平台内部直接监视和分析日志数据。有一种可能的方案就是，将一个SIEM应用或一个简单的日志分析应用运行在一个基于云的服务器上，并且将一些更相关的或过滤后的数据提交给企业的本地环境。正如前文所述，云服务供应商的系统可以使客户根据其环境来配置这些方案。

微软已经为其Azure平台发布了一份白皮书，内容涉及到Azure部署监视和事件转发。亚马逊提供了类似的选择，而且多数云服务供应商都允许客户部署自己的SIEM或相关的Splunk服务。

云下载

即使其数量巨大，安全日志数据也可以定期地或专门从供应商下载。这些数据可以在必要时连同其它的事件，提交给本地的SIEM方案进行分析。定期的下载可以基于API连接。下载可以是每天进行或经常实施，这看起来就如同是有效地持续地进行数据同步。这种方法往往用于从基于云的安全产品获取数据，例如，云反病毒方案和入侵检测系统。如前所述，在进行这类设置时，带宽的使用、提交数据时的中断、限制安全事件的可见性都是必须考虑的问题。对于合规原因或深入的事件调查来说，有时需要几个月的数据。由于这些数据的巨大规模，下载未必可行。云服务供应商可以协助这种定制化的适当的方案。例如，亚马逊开发了一种称为“雪球”的安全传输解决方案，其设计目的就是可以使海量的数据进出其AWS云。其它的供应商也有类似的选择，因为这些海量的数据请求并不罕见。

上传至云

有些企业并不期望从云下载安全数据，而是需要将安全数据上传到云环境中。例如，如果企业的云环境中有一个SIEM产品，就会存在这种需求。就像前面所讨论的，由于有些企业在其云环境中生成的安全日志数据比在本地生成的更多，所以才有了这种可能性。这些在本地生成的日志数据需要上传到云进行分析和关联。

企业还可以利用可靠的离线存储形式，用于合规或数据冗余的目的。攻击者可以针对安全日志数据进行攻击，而拥有一个安全的离线副本就成为信息安全的一种最佳实践。企业将海量数据上传到云，服务供应商会遇到与从云下载大量数据相同的问题：上传所占用的时间和所需要的带宽使其根本无法实现。将数据安放到安全的硬件上就成为了唯一的方案。

SIEM作为服务

专门的第三方的基于云的安全运营中心(SOC)供应商也逐步受到欢迎。例如，有的供应商可以允许客户上传其安全日志数据，并且可以为用户监视和分析这些数据，并在必要时发出警告。这种设置可称为“安全运营即服务”，或“SIEM即服务”。如今，这种“SIEM即服务”越来越多，今后，这种趋势将会继续增长。使用“SIEM即服务”供应商意味着，企业不必花费高昂成本建立其自己的全天候的安全运营中心。但是，企业需要考虑的一个很重要的问题是，由此所需要的带宽、服务的可用性、可能的合规和法律问题意味着这种方案并不是适用于每个企业的最佳选择。

结语

在过去的几年中，云客户必须要应对与安全日志数据有关的挑战，这些困难多数都得到了解决，而且有许多方案可供使用。其中的多数方案都创造了一种类似“混搭”的云配置，其中的部分数据位于本地，还有部分数据位于云中。企业应当通过使用相对容易的上传和下载选择，以某种形式来实现数据的同步。在数据规模成为一个挑战时，与云服务供应商的选择有关的讨论可能导致一种定制化的方案，从而更适合需求。最近的“SIEM即服务”的出现展示出，云安全领域是动态变化的，而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。