如何構(gòu)建多云日志記錄策略-

1、如何構(gòu)建多云日志記錄策略？云計(jì)算基礎(chǔ)設(shè)施的日志記錄和監(jiān)控己成為人們近年來關(guān)注的主要話題。即使是關(guān)于將應(yīng)用 程序遷移到云端的一般性對話，也總是以客戶詢問如何實(shí)施日志記錄和監(jiān)控云計(jì)算基礎(chǔ)設(shè)施 而告終。n志是遷移到云計(jì)算服務(wù)(用戶實(shí)際上并不控制基礎(chǔ)設(shè)施)的安全性和合規(guī)性的關(guān) 鍵，并且這使得日志對于運(yùn)營、風(fēng)險(xiǎn)和安全團(tuán)隊(duì)來說更為重要。但這些問題非常有意義，這 是因?yàn)榈卿浐涂缭皆朴?jì)算平臺基礎(chǔ)設(shè)施非常復(fù)雜，如果實(shí)施不當(dāng)，則會(huì)帶來技術(shù)挑戰(zhàn)和成本 超支。在通往云計(jì)算的旅途上，許多企業(yè)試圖創(chuàng)建多云日志記錄的案例都失敗或終止了。但 云計(jì)算服務(wù)在結(jié)構(gòu)和操作上與內(nèi)部部署系統(tǒng)截然不同。企業(yè)不一定擁有相同的事件源，并且 數(shù)

2、據(jù)通常不同或不完整，因此現(xiàn)有報(bào)告和分析可能無法正常工作。云計(jì)算服務(wù)是短暫的，因 此當(dāng)用戶尋找它時(shí)，不能指望仍然還在原有的服務(wù)器中，并且ip地址是不可靠的標(biāo)識符。 而從網(wǎng)絡(luò)上可能看起來行為相同，但它們是軟件定義的，因此用戶無法以與內(nèi)部部署相同的 方式接入它們，即使可以，也不會(huì)理解數(shù)據(jù)包。用戶檢測和響應(yīng)攻擊有所不同，利用自動(dòng)化 與用戶的基礎(chǔ)設(shè)施一樣靈活。一些日志可以捕獲每個(gè)api調(diào)用，但信息量也很大。此外， 許多企業(yè)都缺少了解云計(jì)算技術(shù)的員工，存在技能差距，因此他們將所做的工作“提升并轉(zhuǎn) 移”到云計(jì)算服務(wù)中，然后被迫在未來重構(gòu)部署。很多企業(yè)采用了多云，但并不僅僅意味著采用某些軟件即服務(wù)(saas)

3、以及單一的基礎(chǔ) 設(shè)施即服務(wù)(laas)提供商的服務(wù)就是多云，而是企業(yè)選擇采用多個(gè)laas供應(yīng)商的服務(wù)，并為 每個(gè)供應(yīng)商部署不同的應(yīng)用程序。有時(shí)這是一種“最佳選擇”的方法，但更多時(shí)候，企業(yè)選擇 多個(gè)供應(yīng)商的服務(wù)是由于擔(dān)心被單一供應(yīng)商鎖定而導(dǎo)致的。這使得日志記錄和監(jiān)控變得更加 困難，因?yàn)閘aas提供商和內(nèi)部部署的集合在功能、事件和集成點(diǎn)方面各不相同。更復(fù)雜的是，現(xiàn)有的安全信息和事件管理(siem)供應(yīng)商以及一些安全分析供應(yīng)商落后 于云采用曲線。有些是因?yàn)樗麄兊脑朴?jì)算部署模型與為內(nèi)部部署提供的模型沒有什么不同， 這使得與云服務(wù)的集成變得尷尬。一些是因?yàn)樗麄兊慕鉀Q方案依賴于傳統(tǒng)的網(wǎng)絡(luò)方法，這些 方法不

4、適用于軟件定義網(wǎng)絡(luò)，還有一些人使用定價(jià)模型，當(dāng)這些定價(jià)模型陷入高度冗長的云 計(jì)算日志源時(shí)，會(huì)給客戶帶來一些收益。將在以后展示其中一些定價(jià)模型。以下是一些常見問題：需要哪些數(shù)據(jù)或日志?服務(wù)器、網(wǎng)絡(luò)、容器、應(yīng)用、apl存儲(chǔ)等？如何打開它們?如何將它們從源頭上移開？如何將數(shù)據(jù)恢復(fù)到自己的安全信息和事件管理(siem)?現(xiàn)有的安全信息和事件管理 (siem)可以根據(jù)不同的架構(gòu)和數(shù)量和速率處理這些日志嗎？是否應(yīng)該使用日志聚合器，并將所有內(nèi)容發(fā)送回自己的分析平臺嗎?在過渡到云平臺 的過程中，這會(huì)發(fā)生什么變化？如何捕獲數(shù)據(jù)包以及將其放在何處?在此提出了這些問題以及其他問題，因?yàn)樗鼈儊碜杂趪L試將云計(jì)算事件融入

5、現(xiàn)有/內(nèi) 部部署的工具和流程。并不是說他們做錯(cuò)了，而是強(qiáng)調(diào)了將新數(shù)據(jù)映射到原有的以及熟悉的 系統(tǒng)的努力。相反，企業(yè)需要重新考慮其日志記錄和監(jiān)控方法。企業(yè)應(yīng)該詢問的問題包括：日志記錄架構(gòu)現(xiàn)在應(yīng)該是什么樣子?它應(yīng)該如何改變？如何跨多個(gè)提供商處理多個(gè)帳戶？應(yīng)該利用哪些云原生資源？如何保持成本可管理?存儲(chǔ)在云平臺價(jià)格可能非常便宜和豐富，但是各種服務(wù)的定價(jià) 模型是什么?它們能否攝取和分析發(fā)送的數(shù)據(jù)？應(yīng)該將哪些內(nèi)容發(fā)送到現(xiàn)有的數(shù)據(jù)分析工具?是安全信息和事件管理(siem)嗎？如何調(diào)整企業(yè)監(jiān)控的云計(jì)算安全性？批量或?qū)崟r(shí)流?或兩者兼有？如何調(diào)整云計(jì)算的分析？企業(yè)需要重新審視日志記錄和監(jiān)視，并調(diào)整it和安全工作

6、流以適應(yīng)云計(jì)算服務(wù)，特 別是如果企業(yè)從內(nèi)部部署環(huán)境過渡到云計(jì)算平臺，并且將在過渡期間運(yùn)行混合環(huán)境，而這個(gè) 過渡期可能是幾年的時(shí)間。如今，行業(yè)廠商推出了一個(gè)關(guān)于構(gòu)建多云日志記錄戰(zhàn)略的新系列。此外，還將深入研 究以下主題，討論幫助企業(yè)遷移到云平臺時(shí)所看到的內(nèi)容。初步綱要如下：(1) 成功的障礙：本文將討論傳統(tǒng)方法不起作用的一些原因，以及企業(yè)可能缺乏可見性 的領(lǐng)域。(2) 云計(jì)算日志架構(gòu)：討論了反模式和更高效的日志記錄方法。并提供有關(guān)參考體系結(jié) 構(gòu)的建議，以幫助實(shí)現(xiàn)多云以及集中管理。(3) 本機(jī)日志記錄特性：將討論企業(yè)可以從各種類型的云計(jì)算服務(wù)中獲得哪些日志，在 共享責(zé)任服務(wù)中可能無法獲得的內(nèi)容，企業(yè)所期望的不同數(shù)據(jù)源以及如何獲得。還將提供有 關(guān)登錄谷歌云、微軟azure和aws等云平臺的實(shí)用注釋。將幫助用戶瀏覽其原生產(chǎn)品以及 paas/saas供應(yīng)商的功能。(4) by0日志：企業(yè)在何處以及如何填補(bǔ)第三方工具的空白，或?qū)⑵錁?gòu)建到企業(yè)在云 中部署的應(yīng)用程序和服務(wù)中。(5) 云計(jì)算還是內(nèi)部部署管理?需要將日志管理遷移到云中，權(quán)衡保持在內(nèi)部部署數(shù)據(jù) 中心以及使用混合模型之間的這些活動(dòng)。這包括將云計(jì)算工作負(fù)載連接到內(nèi)部部署網(wǎng)絡(luò)的風(fēng) 險(xiǎn)和好處。(6) 安全分析：越來越多的企業(yè)正在通過安全分析、數(shù)據(jù)湖，以及