如何构建多云日志记录策略

日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登录和跨越云计算平台基础设施非常复杂,如果实施不当,则会带来技术挑战和成本超支。

云计算基础设施的日志记录和监控已成为人们近年来关注的主要话题。即使是关于将应用程序迁移到云端的一般性对话,也总是以客户询问如何实施日志记录和监控云计算基础设施而告终。日志是迁移到云计算服务(用户实际上并不控制基础设施)的安全性和合规性的关键,并且这使得日志对于运营、风险和安全团队来说更为重要。但这些问题非常有意义,这是因为登录和跨越云计算平台基础设施非常复杂,如果实施不当,则会带来技术挑战和成本超支。

在通往云计算的旅途上,许多企业试图创建多云日志记录的案例都失败或终止了。但云计算服务在结构和操作上与内部部署系统截然不同。企业不一定拥有相同的事件源,并且数据通常不同或不完整,因此现有报告和分析可能无法正常工作。云计算服务是短暂的,因此当用户寻找它时,不能指望仍然还在原有的服务器中,并且IP地址是不可靠的标识符。而从网络上可能看起来行为相同,但它们是软件定义的,因此用户无法以与内部部署相同的方式接入它们,即使可以,也不会理解数据包。用户检测和响应攻击有所不同,利用自动化与用户的基础设施一样灵活。一些日志可以捕获每个API调用,但信息量也很大。此外,许多企业都缺少了解云计算技术的员工,存在技能差距,因此他们将所做的工作“提升并转移”到云计算服务中,然后被迫在未来重构部署。

很多企业采用了多云,但并不仅仅意味着采用某些软件即服务(SaaS)以及单一的基础设施即服务(IaaS)提供商的服务就是多云,而是企业选择采用多个IaaS供应商的服务,并为每个供应商部署不同的应用程序。有时这是一种“最佳选择”的方法,但更多时候,企业选择多个供应商的服务是由于担心被单一供应商锁定而导致的。这使得日志记录和监控变得更加困难,因为IaaS提供商和内部部署的集合在功能、事件和集成点方面各不相同。

更复杂的是,现有的安全信息和事件管理(SIEM)供应商以及一些安全分析供应商落后于云采用曲线。有些是因为他们的云计算部署模型与为内部部署提供的模型没有什么不同,这使得与云服务的集成变得尴尬。一些是因为他们的解决方案依赖于传统的网络方法,这些方法不适用于软件定义网络,还有一些人使用定价模型,当这些定价模型陷入高度冗长的云计算日志源时,会给客户带来一些收益。将在以后展示其中一些定价模型。

以下是一些常见问题:

•需要哪些数据或日志?服务器、网络、容器、应用、API、存储等?

•如何打开它们?如何将它们从源头上移开?

•如何将数据恢复到自己的安全信息和事件管理(SIEM)?现有的安全信息和事件管理(SIEM)可以根据不同的架构和数量和速率处理这些日志吗?

•是否应该使用日志聚合器,并将所有内容发送回自己的分析平台吗?在过渡到云平台的过程中,这会发生什么变化?

•如何捕获数据包以及将其放在何处?

在此提出了这些问题以及其他问题,因为它们来自于尝试将云计算事件融入现有/内部部署的工具和流程。并不是说他们做错了,而是强调了将新数据映射到原有的以及熟悉的系统的努力。相反,企业需要重新考虑其日志记录和监控方法。

企业应该询问的问题包括:

•日志记录架构现在应该是什么样子?它应该如何改变?

•如何跨多个提供商处理多个帐户?

•应该利用哪些云原生资源?

•如何保持成本可管理?存储在云平台价格可能非常便宜和丰富,但是各种服务的定价模型是什么?它们能否摄取和分析发送的数据?

•应该将哪些内容发送到现有的数据分析工具?是安全信息和事件管理(SIEM)吗?

•如何调整企业监控的云计算安全性?

•批量或实时流?或两者兼有?

•如何调整云计算的分析?

企业需要重新审视日志记录和监视,并调整IT和安全工作流以适应云计算服务,特别是如果企业从内部部署环境过渡到云计算平台,并且将在过渡期间运行混合环境,而这个过渡期可能是几年的时间。

如今,行业厂商推出了一个关于构建多云日志记录战略的新系列。此外,还将深入研究以下主题,讨论帮助企业迁移到云平台时所看到的内容。

初步纲要如下:

(1)成功的障碍:本文将讨论传统方法不起作用的一些原因,以及企业可能缺乏可见性的领域。

(2)云计算日志架构:讨论了反模式和更高效的日志记录方法。并提供有关参考体系结构的建议,以帮助实现多云以及集中管理。

(3)本机日志记录特性:将讨论企业可以从各种类型的云计算服务中获得哪些日志,在共享责任服务中可能无法获得的内容,企业所期望的不同数据源以及如何获得。还将提供有关登录谷歌云、微软Azure和AWS等云平台的实用注释。将帮助用户浏览其原生产品以及PaaS/SaaS供应商的功能。

(4)BYO日志:企业在何处以及如何填补第三方工具的空白,或将其构建到企业在云中部署的应用程序和服务中。

(5)云计算还是内部部署管理?需要将日志管理迁移到云中,权衡保持在内部部署数据中心以及使用混合模型之间的这些活动。这包括将云计算工作负载连接到内部部署网络的风险和好处。

(6)安全分析:越来越多的企业正在通过安全分析、数据湖,以及机器学习/人工智能来扩充或取代传统的安全信息和事件管理(SIEM)。因此,还要讨论其中一些方法以及威胁检测,合规性和治理的各种数据源。以上这5个目标将会促进企业收集、转换和存储数据的能力,获得实时和历史洞察力。

(来源:企业网D1Net)

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2018-11-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算

管理混合云环境的5个要点

如今,大多数企业都意识到了采用云计算的好处,那么企业将业务迁移到混合云管理平台的最佳实践是什么呢? 混合云可能非常复杂。企业的IT团队必须考虑他们的平台和应用程...

20970
来自专栏云计算D1net

全球化,云计算和移动性将改变网络需求

如今,网络需求正在不断发展。全球化要求企业在洲际距离与他人联系。云迁移意味着大多数流量现在流向互联网,而不是直接流向数据中心。此外,传统VPN连接不良,并要求企...

37870
来自专栏技术翻译

12个用于构建物联网项目的物联网平台

物联网是增长最快的行业之一。我们周围都有连接设备 - 智能家居,汽车,可穿戴设备等。Gartner预测,95%的电子产品将包括物联网功能。在接近物联网项目时,我...

46700
来自专栏杨建荣的学习笔记

重新构建自动化运维平台的起步工作

每个公司随着业务的发展都会沉淀下来一套独有的问题处理流程,映射到技术线就会有一系列的解决方案。毫无疑问,起先都是基于人工或者脚本,在这个基础上逐渐沉淀成工...

38260
来自专栏知晓程序

腾讯地图工程师,教你快速上手小程序插件开发 | 知晓课堂

19730
来自专栏ThoughtWorks

TW洞见〡如何快速发布你的点子?

文章作者来自:邱俊涛,图片来自网络。 过去的几年中,我参加过好多次Hackday活动。每次看到在为期两天的时间里,2-3个人将一个想法变成现实,都会有一种强烈...

303130
来自专栏WeTest质量开放平台团队的专栏

远离服务器宕机,腾讯WeTest正式推出服务器深度性能测试服务

原文链接:https://wetest.qq.com/lab/view/415.html

17320
来自专栏SDNLAB

解密:“云”上的安全

安全是一个多层级的话题,包括物理、硬件、引导、存储和其他方面。本文只探讨数据中心工作负载的访问控制。 几乎所有企业数据中心里都有很多防火墙/VPN设备,但是Go...

28470
来自专栏Java技术栈

Java架构师必看的10本书

1、大型网站系统与JAVA中间件实践 本书围绕大型网站和支撑大型网站架构的Java中间件的实践展开介绍。 从分布式系统的知识切入,让读者对分布式系统有基本的了解...

56670
来自专栏喔家ArchiSelf

面向数据架构的云演变

现代数据架构的概念在过去的10多年里发生了巨大的变化,具体可以参见公众号“补天遗石”的《从数据仓库到数据湖——浅谈数据架构演进》一文。

13120

扫码关注云+社区

领取腾讯云代金券