在花费大量资金和大量人力资源在部署全面的安全信息和事件监控(SIEM)工具和技术上后,很多企业发现这些宝贵的投资却在云计算部署方面失去了价值。公共云计算计划,在一定程度上,甚至包括虚拟化部署都给企业安全监控框架增添了安全黑洞。没有“光”能够照亮这些盲点。
为了在越来越分布化虚拟化和外包化的IT基础设施内确保安全标准,如果企业想要知道影响他们基础设施以及影响在传统企业网络边界内用户及数据流的事件,企业将不得不进行调整。
“虚拟化和云计算打破了目前的模式,”Securosis公司的分析师Mike Rothman表示,“你无法看到云计算中的基础设施,所以现有的针对网络和安全设备安全信息和事件监控/日志管理其实并没有实际意义。”
这个问题在公共云舞台被放大,因为在公共云环境企业与其他组织动态地共享基础设施,无法控制或者甚至看不到数据是如何放在一起以及如何流动的。
“大多数安全信息和事件监控产品在提供对虚拟环境和私有云(在私有云环境中,你可以同时控制物理和虚拟环境)的完整能见度方面并没有困难。当系统访问和控制被限制时,透明度必然也限制了,”TriGeo网络安全公司首席技术官Michael Maloof表示,“虽然基于云计算的应用程序对于生产效率和数据方面都有好处,但是他们无法提供与在更加传统的环境中所提供的对事件监控相同的监控水平,例如,连接到Active Directory的云计算应用程序可以提供给你访问控制数据。”
但是即使当虚拟环境实际上是在企业的基础设施范围内被控制,仍然需要追踪在不同虚拟层发生的所有活动,以符合合规要求。
“我认为大家可以作出假设,假设位于环境内部的所有信息都是安全的,但是这样的话,你可能会看到虚假的虚拟环境,”LogLogic公司首席营销官Bill Roth表示。他警告说,保持对虚拟环境的监控的第一个步骤就是确保只有绝对必要的虚拟机参与进来,“事情很容易累计起来,存储和处理也变得非常便宜,导致可能出现虚拟机杂乱无章的风险,对此企业必须非常谨慎,”他表示。
不管是在公共云环境还是在私有云环境,企业需要认识到,应用程序最好调整为输出监控信息,Securosis公司的Rothman表示。
“我们需要开始将应用程序调整为提供监控信息,并且提供一些透明度,”他表示,“而事实上,大多数应用程序人员在建立应用程序的透明度方面做的并不是很好。但是他们需要这样做,考虑到企业真的想要在云类型的环境运行一部分或者全部应用程序以获得灵活性。”
在云计算环境最重要的事情就是 对提供关于影响企业数据的基础设施究竟是如何运行的更好的意见的关键日志的收集。
“如果你决定进入云环境,需要日志来帮助你理解你的系统的运行状态,所以你知道你目前的性能情况,”Roth表示,“要求提供日志和透明度,如果云服务供应商不能提供这两者,这将是致命弱点。并不能因为‘云’意味着朦胧,而实际情况也是这样,我们需要透明度。”
Maloof同意这样的观点,并解释说,企业将不能够将数据泄漏事故的责任推卸到他们的云服务供应商身上,所以他们需要对潜在的问题保持高度警惕。
“事实上,现在尽管你可以将很多应用程序‘云资源化’,但是这并不能消除与数据丢失相关的责任以及出于合规要求,提供完善的监控政策的需要,”Maloof表示。
“这不应该停留在日志问题上。企业还需要与云服务供应商合作以更好地规划用户活动和数据访问趋势(基于云服务的信息池)的蓝图,这将从改善的云访问控制开始。”
“身份和访问管理系统是这个难题的关键部分,与明确的政策以及应用程序层政策执行紧密联系,”Maloof表示,“虽然数据和应用程序存在于传统网络边界之外,身份和访问控制系统将成为沟通物理系统和虚拟系统的桥梁。”
但是,这些促进透明度的工作的成功真正取决于云服务供应商的参与。根据LogLogic公司的Roth(他也是云安全联盟的积极参与者)表示,用户名在说服大型云服务供应商改善他们的透明度方面仍然存在很大困难。他认为,用户名需要将这种压力持续施加在供应商身上。此外,加入相关组织(例如云安全联盟)将能够帮助行业开发云环境内的安全监控标准。
“我们目前正在努力解决几个我们认为十分重要的问题,”云安全联盟的Roth表示,云安全梁梦预计将于今年11月份发布一份关于安全监控的草案,“我认为这些事件将促进云安全的发展。”
