所有信息安全控制的共同點是都有以日志事件和報警的格式所生成的數(shù)據(jù)輸出。隨著企業(yè)規(guī)模的增加或者安全級別的增加，安全日志數(shù)據(jù)及其存儲需求也在快速增長。

　　最近很多服務遷移到云服務提供商的過程給企業(yè)帶來了一些挑戰(zhàn)，如何處理這樣大規(guī)模的數(shù)據(jù)——這些數(shù)據(jù)現(xiàn)在位于同一個云平臺的外部。幸運的是，很多這樣的CSP在該領域非?；钴S，并且一些令人激動的新機遇也隨之出現(xiàn)。

[[171227]]

　　分析云上的安全日志數(shù)據(jù)

　　有1000多名員工以及平均網(wǎng)絡規(guī)模的企業(yè)能夠在一天內輕松生成100GB的日志。如果該企業(yè)的大多數(shù)環(huán)境都托管在云平臺上，那么在企業(yè)本地站點里對這么大量的數(shù)據(jù)進行分析，比如，SIEM幾乎是不可能完成的任務。這些數(shù)據(jù)如何能夠快速同步從而允許實時分析呢?而且黑客還有可能通過生成大量日志數(shù)據(jù)來延遲或者阻塞數(shù)據(jù)流，從而導致安全監(jiān)控的臨時缺失。這里最有效的方案是在云平臺里直接監(jiān)控并且分析日志數(shù)據(jù)。一種可能的混合方案就是在基于云的服務器上運行SIEM應用程序或者運行簡單的日志分析應用，并且將一些更有意思，更相關或者過濾后的數(shù)據(jù)傳送回企業(yè)的本地環(huán)境。

　　Microsoft為其Azure平臺發(fā)布了白皮書，介紹了Azure Deployment Monitoring 和 Windows Event Forwarding。Amazon也提供了類似方案，并且大多數(shù)CSP允許客戶部署自己的SIEM或者Splunk的相關服務。

　　從云上下載安全日志數(shù)據(jù)

　　可以周期地或者臨時地從供應商那里下載安全日志數(shù)據(jù)，即使這樣的數(shù)據(jù)非常多。然后這些數(shù)據(jù)可以輸入本地的SIEM，比如Alien Vault或者ArcSight來做本地分析，并且如果需要的話，可以和其他事件輸入源相關聯(lián)。周期下載可以基于API的連接?？梢悦刻旎蛘咦銐蝾l繁地安排下載，從而使得看上去這些數(shù)據(jù)是持續(xù)高效同步的。通常也會使用這樣的方法獲取基于云的安全產(chǎn)品的數(shù)據(jù)，比如云殺毒以及入侵監(jiān)測系統(tǒng)。

　　如上所述，在計劃這樣的方案時，還需要考慮帶寬的使用和數(shù)據(jù)輸入被中斷的可能性，以及限制安全事件的可見性?；诤弦?guī)要求或者深入的事件調查，有時候需要好多個月的數(shù)據(jù)?；谶@樣的數(shù)據(jù)規(guī)模，下載可能無法進行。CSP通常還能夠幫助實現(xiàn)自定義的可適應的解決方案。比如，Amazon，開發(fā)了Snowball，這是一個PB節(jié)規(guī)模的，保護數(shù)據(jù)傳輸?shù)墓ぞ?，設計用來將大量數(shù)據(jù)移入或者移出AWS云。其他供應商也提供了類似方案，因為這樣的海量數(shù)據(jù)請求并不少見。

　　將安全日志數(shù)據(jù)上傳到云里

　　一些企業(yè)不需要從云里下載安全數(shù)據(jù);他們需要將數(shù)據(jù)上傳到云環(huán)境里。這樣的情況發(fā)生在云環(huán)境里存在SIEM產(chǎn)品時。如上所述，這是可能的，因為一些企業(yè)在云環(huán)境里生成的安全日志數(shù)據(jù)比本地生成的要多得多。這些本地生成的日志數(shù)據(jù)就需要上傳到云上作分析和關聯(lián)。

　　它還能夠為合規(guī)或者數(shù)據(jù)冗余的目的，提供線下存儲的可靠格式。黑客能夠攻擊安全日志數(shù)據(jù)，那么擁有一個安全的線下副本就是一種信息安全的最佳實踐。

　　SIEM即服務

　　獨占的第三方基于云的安全運維中心(SOC)供應商也越來越流行。Loggly就是這樣的一個公司，它允許客戶上傳自己的安全日志數(shù)據(jù)。Loggly SOC監(jiān)控并且分析這些數(shù)據(jù)，在需要的地方給客戶報警。這樣的方案有時候稱之為SOC即服務，或者SIEM即服務(SaaS)。每年有越來越多的SaaS供應商出現(xiàn)，比如Alert Logic和Proficio，并且這樣的趨勢很可能會持續(xù)。使用SaaS供應商意味著企業(yè)不需要高價搭建自己的，高技能24/7的SOC。但是，也要考慮到所需的帶寬，服務的可用性和可能的合規(guī)和本地規(guī)范，也就是說這樣的系統(tǒng)并不是所有公司的最佳選擇。

　　結論

　　安全日志數(shù)據(jù)所帶來了一些云客戶必須處理的挑戰(zhàn)，其中大部分在去年已經(jīng)都解決了，出現(xiàn)了很多可用的工具和服務。這些方案中的絕大多數(shù)都創(chuàng)建了一種類似混合的云配置，一部分數(shù)據(jù)儲存在本地，另一部分數(shù)據(jù)儲存在云端。使用市面上可用的相對簡單的上傳以及下載方案，這些數(shù)據(jù)能夠并且應該能夠以這種或那種的格式同步。SIEM即服務的引入說明了云安全的領域仍然非常動態(tài)，可以期待在最近幾年里，這個領域會出現(xiàn)很多更加激動人心的產(chǎn)品。