در قسمت اول این مقاله شرح داده شد که چگونه یک راهکار Security Information Event Management یا SIEM همانند یک سیستم رادار عمل نموده و مصرف ترافیک کنترلکنندگان ترافیک را هدایت و پخش مینماید. همچنین به محتوا، وظایف و برخی از مزیتهای پیادهسازی این راهکار در محیط Cloud همچون معماری Hybrid منعطف و بهروزرسانیهای خودکار نرمافزارها و مدیریت سادهسازیشدهی پیکربندی نیز اشاره گردید. در این قسمت که بخش پایانی میباشد به بررسی سایر مزایای پیادهسازی یک SIEM در محیط Cloud خواهیم پرداخت.
سازمانها بهمنظور تقویت مدیریت امنیت و درعینحال کاهش منابع مورد نیاز جهت محافظت از خود، بصورت روز افزون درحال تکیه بر SIEM میباشند که یا بهصورت پیادهسازیشده در Cloud و یا بهصورت Software-as-a-Service (به اختصار SaaS) در اختیار آنها قرار میگیرد.
ویژگیهای SIEM مبتنی بر Cloud
- زیرساخت قدرتمند و مقیاسپذیر
- کنترلهای قوی و دسترسپذیری بالا
- قدرت Big Data Analytics
زیرساخت قدرتمند و مقیاسپذیرِ SIEM
آمادهسازی و راهاندازی زیرساخت برای یک SIEM در همان پروژه مستلزم زمان عملیاتی میباشد.
سیستمهای امنیتی باید خود را با رشد دادهها و همچنین با تنوع منابع وفق دهند. SIEM در مبحث Cloud، به شرکتها اجازه میدهد که بلافاصله و با درنظرگرفتن نیاز دادههایشان، پیادهسازی شده و بهراحتی توسعه یابند. تجمیع تمام دادههای مرتبط امنیتی در یک مخزن واحد و اطمینان حاصل نمودن از اینکه از آن محافظت میشوند، Index میشود و مورد تجزیهوتحلیل قرار میگیرد، بهترین روش برای بهبود تصمیمات امنیتی است.
مدیریت قوی و دسترسپذیری بالا
سرویسهای سازمانی، خصوصاً برای امری حیاتی همچون SIEM، باید به رفع نگرانیهای رایج حول امنیت، کنترلها و عملکرد سرویسهای Cloud بپردازند.
امنیت دادهها و سیستم: ارائهدهندگان SaaS اغلب بر روی یکی از پلتفرمهای اصلی IaaS همچون Amazon Web Services یا به اختصار AWS، Google Cloud Platform یا Microsoft Azure اجرا میشوند. این پیشتازان ارائهی زیرساخت Cloud دیتاسنترهای امن دادهها را با Policyهای ممیزیشدهی امنیتی، کنترل میکنند که توانایی دستیابی به گواهیهای SOC 2 Type II و ISO 27001 را دارا هستند.
یکی از بهترین اقدامات برای سرویسهای SIEM این است که با تخصیص سرورهای مجازی اختصاصی و Storageهای مختصبهمشتری، دادههای مشتریان بهصورت منطقی جداسازی شود. دادههای مشتریان در مراحل انتقال باید با استفاده از SSL رمزگذاری شود و برای ثبات بیشتر به صورت اختیاری از AES-256 با کلیدهای ویژه که بهطور مداوم عوض شوند، استفاده گردد.
ملزومات استقلال و ثبات دادهها: استفاده از یک معماری Hybrid در محیط Cloud گزینهی خوبی برای SIEM میباشد چرا که بدین معنی است که دادههایی که در معرض ملزومات حوزهی امنیتی مختص به محل، Handling یا Regulatory باشند، میتوانند بهصورت محلی یا در یک منطقهی دیگر از یک ارائهدهنده IaaS باقی بمانند. با میزبانی نمودن از یک ارائهدهنده بزرگ IaaS، شرکتها از گزینهی پیادهسازی در تمام مناطق سرتاسر دنیا بهرهمند هستند. برای کاربران فدرال آمریکایی که از AWS GovCloud استفاده مینمایند، AWS یک منطقهی گواهیشده توسط FedRAMP نیز ارائه میدهد.
کنترل سرویس و شخصیسازی: انتقال زیرساخت به محیط Cloud نباید به معنی از دست دادن کنترل بر روی تنظیمات مهم برنامههای کاربردی و Policyهای امنیتی باشد. یک سرویس SIEM مبتنی بر Cloud باید در عین مجزا نمودن کاربران، از جزئیات در سطح زیرساختها و برنامههای کاربردی کنترل کامل بر مدیریت و نظارت فراهم آورد. این امر به شرکتها اجازه میدهد که جهت رسیدگی به ملزومات درونی و برونی، کنترل خود را حفظ نمایند.
عملکرد برنامههای کاربردی و دسترسپذیری آنها: اجرا بر روی یک ارائهدهنده بزرگ IaaS همچون AWS به یک سرویس SIEM اجازه میدهد که با قیمتی مناسب، بهترین دسترسپذیری سیستمی را ارائه دهد. برای مثال، میتوان سرویس را طوری معماری نمود که شامل چندین منطقه یا محل دسترسپذیری در محیط Cloud باشد که این بدین معنی است که حتی اگر یکی از دیتاسنترها آفلاین شود، خدمات همچنان در دسترس هستند.
قدرت Big Data Analytics و SIEM در محیط Cloud
اجرا نمودن SIEM در محیط Cloud مزایای بسیاری دارد، اما ترکیب آن با پلتفرم Big Data Analysis برای تمام معیارهای سنجش سیستمها و برنامههای کاربردی Log Analysis و گزارشدهی فراهم میآورد. محصولاتی که بر روی یک هوش عملیاتی (Operational Intelligence) و پلتفرم Log Analysis بنا شدهاند به دادههای مرتبط با امنیت و Logهای عملیاتی اجازه میدهند که با یکدیگر ترکیب و هماهنگ شوند تا کسبوکار مربوطه بتواند تصمیمات امنیتی مطلوبی را اتخاذ کند. چنین ترکیب دوجانبهای Monitor نمودن برنامههای کاربردی را بهصورت End-to-End، عیبیابی و هوش عملیاتی و همچنین یک SIEM بهرهمند از تمام امکانات فراهم میآورد.
بهترین پلتفرمهای هوش عملیاتی بهمنظور مصرف، جمعآوری و ایجاد تمایز میان Log Recordها از سیستمهای Myriad طراحی شدهاند؛ پلتفرمهایی که در طول زمان ارزش خود را اثبات کردهاند و چه در شرکتهای بزرگ و چه در شرکتهای کوچک، از آنها استفاده میشود. این پلتفرمها موارد پیشِ رو را ارائه میدهند: جمعآوری Real-Time دادهها؛ جستجو در میان تمام دادههای موجود با بهرهمندی از یک Query Language غنی؛ مصورسازی (Visualization) دادهها؛ ویژگیهای تجزیهوتحلیل آماری که میتوانند داشبوردهای اطلاعات Real-Time را تغذیه کنند.
این پلتفرمها باید برای SIEM، گزینهی پشتیبانی از Data Feedهای هوش تهدیدات برونی از جمله فرمتهای STIX/TAXII را فراهم آورند، بهصورتی که چندین منبع هوش تهدیدات بتوانند روی هم انباشتهشده و اندازهگیری شوند تا طیفی از نشانگرهای امنیتی را ایجاد نمایند.
ترکیب SIEM با پلتفرم Big Dataی که بتواند دادهها را از هر سیستمی استخراج نماید، به کسبوکارها اجازه میدهد که به نمایهای یکپارچه از مهمترین معیارهای سنجش عملیاتی، عملکرد برنامههای کاربردی و امنیتی دست پیدا کنند. با پیادهسازی SIEM بهصورت یک سرویس Cloud، شرکتها بدون نصب زمانبر و منحنیهای یادگیری و هزینههای هنگفت اولیه، میتوانند بلافاصله به استفاده از سرویس بپردازند و همچنان بتوانند از تمام محیطها از جمله هر دو محیط Cloud و محلی، داده جمعآوری کرده و تجزیه و تحلیل نمایند. از آنجایی که دادههای مرتبط امنیتی و حجم کلی دادهها درحال افزایش است، یک سرویس Cloud راهکار بینقصی برای پیادهسازیهای SIEM میباشد. ساخت SIEM بر مبنای یک پلتفرم تجزیهوتحلیل و Aggregation دادهی معتبر همچون Splunk سبب میشود که شرکتها از تمام ویژگیهای غنی که بهمنظور بهبود عملیاتهای IT در جهت مدیریت امنیتی طراحی شدهاند، بهصورت یک پکیج کامل بهرهمند شوند.
ــــــــــــــــــــــــــــــــــــــــــ
تسهیل مدیریت امنیتی با استفاده از SIEM مبتنی بر Cloud – قسمت اول
تسهیل مدیریت امنیتی با استفاده از SIEM مبتنی بر Cloud – قسمت دوم (پایانی)