所有信息安全控制的共同特征是以日志事件和警告形式生成的數據輸出。隨著企業規模或安全水平的提升，這種數據的規模及存儲要求也要快速增長。傳統上，企業往往購買越來越多的相對廉價的存儲來處理和歸檔這些日志。某些行業和法律要求日志數據的保留時間可達數年之久，所以，我們很容易想象到，在如此長的時間之后這些日志可能達到的絕對規模。

最近，向云服務的遷移給試圖應對這些海量數據(可能位于同樣云平臺中的外部)的企業帶來不少挑戰。幸運的是，很多云服務供應商已經在此領域有著積極的表現，而且出現了一些激動人心的機會。

云中分析

有一千個員工的企業其網絡規模也就是一般水平，其每天生成的日志就可多達100GB。如果企業將多數環境都托管到一個云平臺中，對這些數據的分析卻在企業本地實施，例如，通過一套SIEM方案幾乎是不可能的。如何使這些數據同步快速地適應適時的分析?還有一種可能，攻擊者可以通過生成海量的日志數據，造成安全監視的臨時無效，從而延遲或中止這些數據流。在此，最可行的方案就是在云平臺內部直接監視和分析日志數據。有一種可能的方案就是，將一個SIEM應用或一個簡單的日志分析應用運行在一個基于云的服務器上，并且將一些更相關的或過濾后的數據提交給企業的本地環境。正如前文所述，云服務供應商的系統可以使客戶根據其環境來配置這些方案。

微軟已經為其Azure平臺發布了一份白皮書，內容涉及到Azure部署監視和事件轉發。亞馬遜提供了類似的選擇，而且多數云服務供應商都允許客戶部署自己的SIEM或相關的Splunk服務。

云下載

即使其數量巨大，安全日志數據也可以定期地或專門從供應商下載。這些數據可以在必要時連同其它的事件，提交給本地的SIEM方案進行分析。定期的下載可以基于API連接。下載可以是每天進行或經常實施，這看起來就如同是有效地持續地進行數據同步。這種方法往往用于從基于云的安全產品獲取數據，例如，云反病毒方案和入侵檢測系統。如前所述，在進行這類設置時，帶寬的使用、提交數據時的中斷、限制安全事件的可見性都是必須考慮的問題。對于合規原因或深入的事件調查來說，有時需要幾個月的數據。由于這些數據的巨大規模，下載未必可行。云服務供應商可以協助這種定制化的適當的方案。例如，亞馬遜開發了一種稱為 雪球 的安全傳輸解決方案，其設計目的就是可以使海量的數據進出其AWS云。其它的供應商也有類似的選擇，因為這些海量的數據請求并不罕見。

上傳至云

有些企業并不期望從云下載安全數據，而是需要將安全數據上傳到云環境中。例如，如果企業的云環境中有一個SIEM產品，就會存在這種需求。就像前面所討論的，由于有些企業在其云環境中生成的安全日志數據比在本地生成的更多，所以才有了這種可能性。這些在本地生成的日志數據需要上傳到云進行分析和關聯。

企業還可以利用可靠的離線存儲形式，用于合規或數據冗余的目的。攻擊者可以針對安全日志數據進行攻擊，而擁有一個安全的離線副本就成為信息安全的一種最佳實踐。企業將海量數據上傳到云，服務供應商會遇到與從云下載大量數據相同的問題：上傳所占用的時間和所需要的帶寬使其根本無法實現。將數據安放到安全的硬件上就成為了唯一的方案。

SIEM作為服務

專門的第三方的基于云的安全運營中心(SOC)供應商也逐步受到歡迎。例如，有的供應商可以允許客戶上傳其安全日志數據，并且可以為用戶監視和分析這些數據，并在必要時發出警告。這種設置可稱為 安全運營即服務 ，或 SIEM即服務 。如今，這種 SIEM即服務 越來越多，今后，這種趨勢將會繼續增長。使用 SIEM即服務 供應商意味著，企業不必花費高昂成本建立其自己的全天候的安全運營中心。但是，企業需要考慮的一個很重要的問題是，由此所需要的帶寬、服務的可用性、可能的合規和法律問題意味著這種方案并不是適用于每個企業的最佳選擇。

結語

在過去的幾年中，云客戶必須要應對與安全日志數據有關的挑戰，這些困難多數都得到了解決，而且有許多方案可供使用。其中的多數方案都創造了一種類似 混搭 的云配置，其中的部分數據位于本地，還有部分數據位于云中。企業應當通過使用相對容易的上傳和下載選擇，以某種形式來實現數據的同步。在數據規模成為一個挑戰時，與云服務供應商的選擇有關的討論可能導致一種定制化的方案，從而更適合需求。最近的 SIEM即服務 的出現展示出，云安全領域是動態變化的，而且在此領域更為有趣的許多發展都有望在未來幾年嶄露頭角。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn，網址www.54hr.com.cn