机房360首页
当前位置:首页 » 云安全 » 云安全警报:日志文件不是答案

云安全警报:日志文件不是答案

来源:机房360 作者:Harris编译 更新时间:2018/5/4 6:46:01

摘要:一旦企业将其生产应用程序和工作负载移动到云端,重新评估其安全态势并调整用于从网络攻击中保护数据和应用程序的过程是其一个重要的步骤。

    一旦企业将其生产应用程序和工作负载移动到云端,重新评估其安全态势并调整用于从网络攻击中保护数据和应用程序的过程是其一个重要的步骤。
  
  云计算基础设施非常适合按需提供资源,并显著降低获取、部署和维护内部资源的成本。
  
  此外,企业可以快速扩展或缩减云计算资源,从而避免过度配置。但是失去对物理基础设施的控制,意味着企业无法使用熟悉的工具来深入了解这个基础设施中正在发生的事情。
  
  负责IT安全的专业人士需要监控企业所采用云平台中发生的事情,以便他们可以应对发生的任何攻击并限制损害。
  
  日志文件的使用
  
  尽管用户无法直接访问公共云基础设施,但云计算提供商确实可以访问用户云中发生的事件日志,这通常需要支付额外的费用。借助日志,管理员可以查看、搜索、分析,甚至响应特定事件,只要他们使用API将事件数据与安全事件和事件管理(SEIM)解决方案集成即可。那为什么没有足够的日志文件来维护安全呢?
  
  首先,所有必要的数据可能不会通过日志文件收集。虽然管理事件会自动记录,但数据事件不会记录。某些提供商可能支持收集自定义日志,但用户需要提前指定,并激活日志。这使得返回并调查尚未被跟踪的区域变得困难或有时不可能。
  
  其次,事件日志对于识别何时触发警报很有用,但它们不能提供足够的信息来确定导致警报的原因。需要更详细的信息来执行根本原因分析,并及时执行补救措施。高级持续性威胁(APT)作为最具破坏性的违规类型的出现不能仅仅通过分析日志文件来阻止。最先进的网络安全解决方案需要实时详细数据才有机会检测APT。日志文件通常以指定的时间间隔生成,具体取决于用户付费的服务级别。然后用户需要建立一个机制来存储日志文件以供将来分析,这不是默认设置。因此,虽然可以收集违规调查中有用的数据,但它不能实时提供,并限制了遏制和恢复的速度。
  
  第三,黑客越来越善于在不触发任何警报的情况下进入组织。在许多攻击中,一些恶意软件进入企业的程序中,潜伏在那里未被发现,在数月内泄露数据。如今的安全需要比日志文件提供更严格的监督。
  
  最后,从长远来看,日志管理起来可能很昂贵。获取足够的日志数据并通过筛选需要时间和资金,以及对数据集成的承诺。使用日志数据的现有安全监控工具可能不足以调查新的威胁,并且可能需要其他工具进行投资。安全分析师最终可能花更多时间在复杂的数据管理上,而不是专注于关联分析和事件响应。
  
  分组数据可以做什么?
  
  数据包就像嵌套的俄罗斯套娃一样,内容包含在不同的头文件中,这些头文件有效地通过网络移动数据包。标头可以提供很多信息,但如今的安全性取决于数据包的有效载荷或内容的所谓深度包检测(DPI)。DPI公开了交互中涉及的特定网站、用户、应用程序、文件或主机,通过单独检查标题数据而无法获得的信息。
  
  云计算环境有很多攻击者可以利用的潜在漏洞。攻击经常在多个阶段进行,这些阶段可能不会被入侵检测系统或下一代防火墙所捕获。为了应用对潜在的攻击者的攻击,安全分析师越来越多地使用数据关联和多因素分析来查找与非法活动相关的模式。这些复杂的解决方案需要细化的数据才能有效地工作,大多数组织都有类似部署在本地的解决方案来评估从物理基础设施捕获的数据包数据。
  
  如何访问云中的数据包级数据
  
  与可用于生成数据包副本的物理基础设施不同,云计算设施不能直接访问。如果发生持续的攻击或数据泄露事件,用户可能会感到沮丧,他们需要了解隔离和解决问题所需的数据未包含在与供应商签订的服务级别协议中。幸运的是,有一些新的方法可以访问云中的数据包级数据。
  
  已经开发了基于容器的传感器,它们位于云实例内部并生成分组数据的副本。传感器会自动部署在每个启动的新云中,以实现无限的可扩展性。由于传感器位于每个云实例内部,因此他们可以访问来自该实例的每个原始数据包。这种云原生数据访问方法确保不会遗漏任何数据,从而实现强大的云安全
  
  编辑:Harris

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/201854/n6257103392.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片