探索中国CIO人才现状 | 第四季调研报告
混合时代,你的连续监控策略过硬吗?
2016-02-23  来源:51CTO

很多企业正专注于构建内部连续监控策略来提高对漏洞和配置问题的检测和修复。虽然部署连续监控策略是提高网络可视性和安全性的重要方面,但在混合云环境实现这种可视性面临很大挑战。

CDM控制

对于很多安全团队而言,符合美国国土安全局连续诊断与缓解(CDM)的连续监控策略的基础应该包括以下控制:

• 补丁和配置管理:理想情况下,系统会安装基于主机的代理,它可提供有关补丁状态和配置项的更新信息,或者发送预设的更新信息到中央监控工具。

• 漏洞扫描:对于连续监控,安排每天或每周对系统和子网的经验证和未经验证的扫描可让管理员全面了解在系统级环境中在运行着什么。

• 日志和事件管理:企业应该部署某种形式的中央日志和事件收集与监控,以收集和报告连续监控信息,以及便于进行任何调查。

• 网络监控:利用网络流量数据或传统事件(防火墙、IDS等)的网络监控工具可在连续监控中发挥一定作用。

• 反恶意软件工具:基于网络的恶意软件检测沙箱工具和基于主机的防病毒及白名单工具都可提供重要的监控和事件数据来帮助实现连续监控。

对于转移到混合云模式的企业而言,在过去,在云服务提供商环境中寻找可提供相同连续安全监控功能的替代解决方案很困难。幸运的是,现在已经有更多的可用选项来帮助实现连续监控,在不久的将来还会有更多选项。

如何应对混合云

为了确定在混合云中如何实现连续安全监控,企业应该采取的第一步是查看其现有的供应商及其产品。大多数成熟的安全团队已经在使用各种工具,可整合到虚拟环境。云基础设施始终是虚拟化的,所以企业将需要基于主机而不会占用太多系统资源的工具,例如McAfee MOVE或趋势科技的Deep Security,企业还应该使用轻量级可整合到云提供商环境内虚拟机的补丁和配置代理,例如CloudPassage可在任何基础设施即服务(IaaS)云实现这种主机监控和控制。亚马逊公司现在也已经内置Config程序用于监控配置,微软最近发布的Security Center中也有用于Azure实例的监控功能。微软还为所有Azure实例提供内置防病毒功能。

很多商业漏洞扫描器(例如Qualys和Tenable Nessus)现在通过API被完全整合到云计算环境,并提供SCAP兼容的监控和报告。另外,网络监控工具(例如思科的Lancope Stratawatch和Palo Alto Networks的NGFW)可整合到云环境以及监控流量和活动。

然而,遗憾的是,很多大型事件管理工具还没有完全整合到云环境。有些供应商提供与云管理相关活动的日志记录,例如亚马逊的Cloudtrail,同时,微软Azure Diagnostics也提供对一些云事件的安全监控。还有很多事件监控产品可整合到云端—尽管大部分不是企业内部使用的相同的供应商或服务。Sumo Logic提供针对云环境的事件管理和监控服务,AlertLogic的平台可本地整合到Amazon云计算服务。Splunk和AlierVault也有AWS兼容的事件管理或SIEM平台。

在混合时代的CSM战略

对于迁移到混合云的企业来说,肯定会要管理新产品和新服务,这意味着更多的运营费用和成本。并且,这很可能会持续一段时间,因为并不是所有主流安全供应商都会调整自己的产品来适应虚拟和云形式。无论是通过内部使用的传统工具还是市场中的新产品,大多数企业都会发现他们可成功地在云提供商环境以及自己的数据中心内实现其连续监控策略的目标。