డేటా మరియు అప్లికేషన్లను క్లౌడ్కి తరలించడం అనేది కార్పొరేట్ SOCలకు కొత్త సవాలును అందిస్తుంది, ఇవి ఇతరుల మౌలిక సదుపాయాలను పర్యవేక్షించడానికి ఎల్లప్పుడూ సిద్ధంగా ఉండవు. Netoskope ప్రకారం, సగటు సంస్థ (స్పష్టంగా USలో) 1246 విభిన్న క్లౌడ్ సేవలను ఉపయోగిస్తుంది, ఇది ఒక సంవత్సరం క్రితం కంటే 22% ఎక్కువ. 1246 క్లౌడ్ సేవలు!!! వాటిలో 175 HR సేవలకు సంబంధించినవి, 170 మార్కెటింగ్కు సంబంధించినవి, 110 కమ్యూనికేషన్స్ రంగంలో మరియు 76 ఫైనాన్స్ మరియు CRMకి సంబంధించినవి. సిస్కో "మాత్రమే" 700 బాహ్య క్లౌడ్ సేవలను ఉపయోగిస్తుంది. కాబట్టి ఈ సంఖ్యలతో నేను కొంచెం గందరగోళంగా ఉన్నాను. ఏదేమైనా, సమస్య వారితో కాదు, కానీ క్లౌడ్ తమ సొంత నెట్వర్క్లో వలె క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ను పర్యవేక్షించడానికి అదే సామర్థ్యాలను కలిగి ఉండాలని కోరుకునే పెరుగుతున్న కంపెనీలచే క్లౌడ్ చాలా చురుకుగా ఉపయోగించడం ప్రారంభించింది. మరియు ఈ ధోరణి పెరుగుతోంది - ప్రకారం
మీ కంపెనీ తన ఇన్ఫ్రాస్ట్రక్చర్లో కొంత భాగాన్ని క్లౌడ్కి తరలించిందని అనుకుందాం... ఆపు. ఈ విధంగా కాదు. ఇన్ఫ్రాస్ట్రక్చర్ బదిలీ చేయబడి, దాన్ని ఎలా పర్యవేక్షిస్తారనే దాని గురించి మీరు ఇప్పుడు ఆలోచిస్తుంటే, మీరు ఇప్పటికే కోల్పోయారు. ఇది Amazon, Google లేదా Microsoft (తర్వాత రిజర్వేషన్లతో) తప్ప, మీ డేటా మరియు అప్లికేషన్లను పర్యవేక్షించే సామర్థ్యం మీకు ఎక్కువగా ఉండదు. లాగ్లతో పని చేయడానికి మీకు అవకాశం ఇస్తే మంచిది. కొన్నిసార్లు భద్రతా ఈవెంట్ డేటా అందుబాటులో ఉంటుంది, కానీ మీరు దానికి యాక్సెస్ను కలిగి ఉండరు. ఉదాహరణకు, Office 365. మీరు చౌకైన E1 లైసెన్స్ని కలిగి ఉంటే, భద్రతా ఈవెంట్లు మీకు అస్సలు అందుబాటులో ఉండవు. మీకు E3 లైసెన్స్ ఉన్నట్లయితే, మీ డేటా కేవలం 90 రోజులు మాత్రమే నిల్వ చేయబడుతుంది మరియు మీకు E5 లైసెన్స్ ఉంటే మాత్రమే, లాగ్ల వ్యవధి ఒక సంవత్సరం పాటు అందుబాటులో ఉంటుంది (అయితే, ఇది విడిగా చేయవలసిన అవసరానికి సంబంధించిన దాని స్వంత సూక్ష్మ నైపుణ్యాలను కూడా కలిగి ఉంటుంది. Microsoft మద్దతు నుండి లాగ్లతో పని చేయడానికి అనేక విధులను అభ్యర్థించండి). మార్గం ద్వారా, కార్పొరేట్ ఎక్స్ఛేంజ్ కంటే E3 లైసెన్స్ పర్యవేక్షణ ఫంక్షన్ల పరంగా చాలా బలహీనంగా ఉంది. అదే స్థాయిని సాధించడానికి, మీకు E5 లైసెన్స్ లేదా అదనపు అడ్వాన్స్డ్ కంప్లయన్స్ లైసెన్స్ అవసరం, క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్కి వెళ్లడం కోసం మీ ఆర్థిక నమూనాలో చేర్చబడని అదనపు డబ్బు అవసరం కావచ్చు. మరియు క్లౌడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్కు సంబంధించిన సమస్యలను తక్కువగా అంచనా వేయడానికి ఇది ఒక ఉదాహరణ మాత్రమే. ఈ వ్యాసంలో, పూర్తి ఉన్నట్లు నటించకుండా, భద్రతా కోణం నుండి క్లౌడ్ ప్రొవైడర్ను ఎన్నుకునేటప్పుడు పరిగణనలోకి తీసుకోవలసిన కొన్ని సూక్ష్మ నైపుణ్యాలకు నేను దృష్టిని ఆకర్షించాలనుకుంటున్నాను. మరియు వ్యాసం చివరలో, క్లౌడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీని పర్యవేక్షించే సమస్య పరిష్కరించబడిందని పరిగణనలోకి తీసుకునే ముందు పూర్తి చేయడానికి విలువైన చెక్లిస్ట్ ఇవ్వబడుతుంది.
క్లౌడ్ పరిసరాలలో సంఘటనలకు దారితీసే అనేక విలక్షణమైన సమస్యలు ఉన్నాయి, వీటికి సమాచార భద్రతా సేవలకు ప్రతిస్పందించడానికి సమయం లేదు లేదా వాటిని అస్సలు చూడలేరు:
- భద్రతా లాగ్లు లేవు. ఇది చాలా సాధారణ పరిస్థితి, ముఖ్యంగా క్లౌడ్ సొల్యూషన్స్ మార్కెట్లోని అనుభవం లేని ఆటగాళ్లలో. కానీ మీరు వాటిని వెంటనే వదులుకోకూడదు. చిన్న ఆటగాళ్ళు, ముఖ్యంగా దేశీయ వ్యక్తులు, కస్టమర్ అవసరాలకు మరింత సున్నితంగా ఉంటారు మరియు వారి ఉత్పత్తుల కోసం ఆమోదించబడిన రోడ్మ్యాప్ను మార్చడం ద్వారా అవసరమైన కొన్ని ఫంక్షన్లను త్వరగా అమలు చేయవచ్చు. అవును, ఇది Amazon నుండి GuardDuty యొక్క అనలాగ్ లేదా Bitrix నుండి "ప్రోయాక్టివ్ ప్రొటెక్షన్" మాడ్యూల్ కాదు, కానీ కనీసం ఏదైనా.
- లాగ్లు ఎక్కడ నిల్వ చేయబడతాయో సమాచార భద్రతకు తెలియదు లేదా వాటికి ప్రాప్యత లేదు. క్లౌడ్ సర్వీస్ ప్రొవైడర్తో చర్చలు జరపడం ఇక్కడ అవసరం - బహుశా అతను క్లయింట్ను తనకు ముఖ్యమైనదిగా పరిగణించినట్లయితే అతను అలాంటి సమాచారాన్ని అందిస్తాడు. కానీ సాధారణంగా, లాగ్లకు యాక్సెస్ "ప్రత్యేక నిర్ణయం ద్వారా" అందించబడినప్పుడు ఇది చాలా మంచిది కాదు.
- క్లౌడ్ ప్రొవైడర్ లాగ్లను కలిగి ఉండటం కూడా జరుగుతుంది, కానీ అవి పరిమిత పర్యవేక్షణ మరియు ఈవెంట్ రికార్డింగ్ను అందిస్తాయి, ఇవి అన్ని సంఘటనలను గుర్తించడానికి సరిపోవు. ఉదాహరణకు, మీరు వెబ్సైట్లో మార్పుల లాగ్లను లేదా వినియోగదారు ప్రామాణీకరణ ప్రయత్నాల లాగ్లను మాత్రమే స్వీకరించవచ్చు, కానీ నెట్వర్క్ ట్రాఫిక్ వంటి ఇతర ఈవెంట్లు కాదు, ఇది మీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ను హ్యాక్ చేసే ప్రయత్నాలను వివరించే ఈవెంట్ల మొత్తం పొరను మీ నుండి దాచిపెడుతుంది.
- లాగ్లు ఉన్నాయి, కానీ వాటికి యాక్సెస్ ఆటోమేట్ చేయడం కష్టం, ఇది వాటిని నిరంతరంగా కాకుండా షెడ్యూల్లో పర్యవేక్షించడానికి బలవంతం చేస్తుంది. మరియు మీరు లాగ్లను స్వయంచాలకంగా డౌన్లోడ్ చేయలేకపోతే, లాగ్లను డౌన్లోడ్ చేయడం, ఉదాహరణకు, Excel ఫార్మాట్లో (అనేక దేశీయ క్లౌడ్ సొల్యూషన్ ప్రొవైడర్ల మాదిరిగానే), కార్పొరేట్ సమాచార భద్రతా సేవ వారితో టింకర్ చేయడానికి విముఖతకు దారితీయవచ్చు.
- లాగ్ పర్యవేక్షణ లేదు. క్లౌడ్ పరిసరాలలో సమాచార భద్రతా సంఘటనలు సంభవించడానికి ఇది చాలా అస్పష్టమైన కారణం కావచ్చు. లాగ్లు ఉన్నట్లు అనిపిస్తుంది మరియు వాటికి యాక్సెస్ను ఆటోమేట్ చేయడం సాధ్యమవుతుంది, కానీ ఎవరూ దీన్ని చేయరు. ఎందుకు?
షేర్డ్ క్లౌడ్ సెక్యూరిటీ కాన్సెప్ట్
క్లౌడ్కు మార్పు అనేది ఎల్లప్పుడూ మౌలిక సదుపాయాలపై నియంత్రణను కొనసాగించాలనే కోరిక మరియు దానిని నిర్వహించడంలో నైపుణ్యం కలిగిన క్లౌడ్ ప్రొవైడర్ యొక్క మరింత వృత్తిపరమైన చేతులకు బదిలీ చేయడం మధ్య సమతుల్యత కోసం అన్వేషణ. మరియు క్లౌడ్ సెక్యూరిటీ రంగంలో, ఈ బ్యాలెన్స్ కూడా వెతకాలి. అంతేకాకుండా, ఉపయోగించిన క్లౌడ్ సర్వీస్ డెలివరీ మోడల్ (IaaS, PaaS, SaaS) ఆధారంగా, ఈ బ్యాలెన్స్ అన్ని సమయాలలో భిన్నంగా ఉంటుంది. ఏది ఏమైనప్పటికీ, ఈ రోజు క్లౌడ్ ప్రొవైడర్లందరూ భాగస్వామ్య బాధ్యత మరియు భాగస్వామ్య సమాచార భద్రతా నమూనా అని పిలవబడే వాటిని అనుసరిస్తారని మనం గుర్తుంచుకోవాలి. క్లౌడ్ కొన్ని విషయాలకు బాధ్యత వహిస్తుంది మరియు మరికొన్నింటికి క్లయింట్ బాధ్యత వహిస్తాడు, అతని డేటా, అతని అప్లికేషన్లు, అతని వర్చువల్ మిషన్లు మరియు ఇతర వనరులను క్లౌడ్లో ఉంచడం. క్లౌడ్కి వెళ్లడం ద్వారా, మేము అన్ని బాధ్యతలను ప్రొవైడర్కు మారుస్తామని ఆశించడం నిర్లక్ష్యంగా ఉంటుంది. కానీ క్లౌడ్కి వెళ్లేటప్పుడు భద్రతను మీరే నిర్మించుకోవడం కూడా తెలివితక్కువ పని. బ్యాలెన్స్ అవసరం, ఇది అనేక అంశాలపై ఆధారపడి ఉంటుంది: - రిస్క్ మేనేజ్మెంట్ వ్యూహం, ముప్పు మోడల్, క్లౌడ్ ప్రొవైడర్కు అందుబాటులో ఉన్న భద్రతా విధానాలు, చట్టం మొదలైనవి.
ఉదాహరణకు, క్లౌడ్లో హోస్ట్ చేయబడిన డేటా వర్గీకరణ ఎల్లప్పుడూ కస్టమర్ యొక్క బాధ్యత. క్లౌడ్ ప్రొవైడర్ లేదా బాహ్య సేవా ప్రదాత క్లౌడ్లో డేటాను గుర్తించడం, ఉల్లంఘనలను గుర్తించడం, చట్టాన్ని ఉల్లంఘించే డేటాను తొలగించడం లేదా ఏదో ఒక పద్ధతిని ఉపయోగించి దానిని మాస్క్ చేయడంలో సహాయపడే సాధనాలతో మాత్రమే అతనికి సహాయం చేయగలరు. మరోవైపు, భౌతిక భద్రత ఎల్లప్పుడూ క్లౌడ్ ప్రొవైడర్ యొక్క బాధ్యత, ఇది క్లయింట్లతో భాగస్వామ్యం చేయదు. కానీ డేటా మరియు భౌతిక మౌలిక సదుపాయాల మధ్య ఉన్న ప్రతిదీ ఈ వ్యాసంలో ఖచ్చితంగా చర్చనీయాంశం. ఉదాహరణకు, క్లౌడ్ యొక్క లభ్యత ప్రొవైడర్ యొక్క బాధ్యత, మరియు ఫైర్వాల్ నియమాలను సెటప్ చేయడం లేదా ఎన్క్రిప్షన్ను ప్రారంభించడం క్లయింట్ యొక్క బాధ్యత. ఈ వ్యాసంలో, రష్యాలోని వివిధ ప్రముఖ క్లౌడ్ ప్రొవైడర్లు ఈ రోజు ఏ సమాచార భద్రతా పర్యవేక్షణ మెకానిజమ్లను అందించారు, వాటి ఉపయోగం యొక్క లక్షణాలు ఏమిటి మరియు బాహ్య అతివ్యాప్తి పరిష్కారాల వైపు చూడటం విలువైనది (ఉదాహరణకు, సిస్కో ఇ- మెయిల్ సెక్యూరిటీ) సైబర్ సెక్యూరిటీ పరంగా మీ క్లౌడ్ సామర్థ్యాలను విస్తరింపజేస్తుంది. కొన్ని సందర్భాల్లో, ప్రత్యేకించి మీరు బహుళ-క్లౌడ్ వ్యూహాన్ని అనుసరిస్తుంటే, ఒకేసారి అనేక క్లౌడ్ పరిసరాలలో (ఉదాహరణకు, Cisco CloudLock లేదా Cisco Stealthwatch Cloud) బాహ్య సమాచార భద్రతా పర్యవేక్షణ పరిష్కారాలను ఉపయోగించడం మినహా మీకు వేరే మార్గం ఉండదు. సరే, కొన్ని సందర్భాల్లో మీరు ఎంచుకున్న క్లౌడ్ ప్రొవైడర్ (లేదా మీపై విధించిన) ఎలాంటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలను అందించదని మీరు గ్రహిస్తారు. ఇది అసహ్యకరమైనది, కానీ కొంచెం కూడా కాదు, ఎందుకంటే ఈ క్లౌడ్తో పనిచేయడానికి సంబంధించిన ప్రమాద స్థాయిని తగినంతగా అంచనా వేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది.
క్లౌడ్ సెక్యూరిటీ మానిటరింగ్ లైఫ్సైకిల్
మీరు ఉపయోగించే మేఘాల భద్రతను పర్యవేక్షించడానికి, మీకు మూడు ఎంపికలు మాత్రమే ఉన్నాయి:
- మీ క్లౌడ్ ప్రొవైడర్ అందించిన సాధనాలపై ఆధారపడండి,
- మీరు ఉపయోగించే IaaS, PaaS లేదా SaaS ప్లాట్ఫారమ్లను పర్యవేక్షించే మూడవ పక్షాల నుండి పరిష్కారాలను ఉపయోగించండి,
- మీ స్వంత క్లౌడ్ మానిటరింగ్ ఇన్ఫ్రాస్ట్రక్చర్ను రూపొందించుకోండి (IaaS/PaaS ప్లాట్ఫారమ్ల కోసం మాత్రమే).
ఈ ఎంపికలలో ప్రతి ఒక్కటి ఏ లక్షణాలను కలిగి ఉందో చూద్దాం. అయితే ముందుగా, క్లౌడ్ ప్లాట్ఫారమ్లను పర్యవేక్షించేటప్పుడు ఉపయోగించబడే సాధారణ ఫ్రేమ్వర్క్ను మనం అర్థం చేసుకోవాలి. నేను క్లౌడ్లో సమాచార భద్రతా పర్యవేక్షణ ప్రక్రియ యొక్క 6 ప్రధాన భాగాలను హైలైట్ చేస్తాను:
- మౌలిక సదుపాయాల తయారీ. నిల్వలో సమాచార భద్రత కోసం ముఖ్యమైన ఈవెంట్లను సేకరించడానికి అవసరమైన అప్లికేషన్లు మరియు మౌలిక సదుపాయాలను నిర్ణయించడం.
- సేకరణ. ఈ దశలో, ప్రాసెసింగ్, నిల్వ మరియు విశ్లేషణ కోసం తదుపరి ప్రసారం కోసం భద్రతా సంఘటనలు వివిధ మూలాల నుండి సమగ్రపరచబడతాయి.
- చికిత్స. ఈ దశలో, తదుపరి విశ్లేషణను సులభతరం చేయడానికి డేటా రూపాంతరం చెందుతుంది మరియు మెరుగుపరచబడుతుంది.
- నిల్వ. సేకరించిన ప్రాసెస్ చేయబడిన మరియు ముడి డేటా యొక్క స్వల్పకాలిక మరియు దీర్ఘకాలిక నిల్వకు ఈ భాగం బాధ్యత వహిస్తుంది.
- విశ్లేషణ. ఈ దశలో, మీరు సంఘటనలను గుర్తించి, వాటికి స్వయంచాలకంగా లేదా మాన్యువల్గా ప్రతిస్పందించే సామర్థ్యాన్ని కలిగి ఉంటారు.
- నివేదించడం. ఈ దశ వాటాదారుల (నిర్వహణ, ఆడిటర్లు, క్లౌడ్ ప్రొవైడర్, క్లయింట్లు మొదలైనవి) కోసం కీలక సూచికలను రూపొందించడంలో సహాయపడుతుంది, ఇది మాకు నిర్దిష్ట నిర్ణయాలు తీసుకోవడంలో సహాయపడుతుంది, ఉదాహరణకు, ప్రొవైడర్ను మార్చడం లేదా సమాచార భద్రతను బలోపేతం చేయడం.
ఈ భాగాలను అర్థం చేసుకోవడం వల్ల భవిష్యత్తులో మీరు మీ ప్రొవైడర్ నుండి ఏమి తీసుకోవచ్చు మరియు మీరే లేదా బాహ్య కన్సల్టెంట్ల ప్రమేయంతో మీరు ఏమి చేయాలి అని త్వరగా నిర్ణయించుకోవడానికి మిమ్మల్ని అనుమతిస్తుంది.
అంతర్నిర్మిత క్లౌడ్ సేవలు
ఈ రోజు అనేక క్లౌడ్ సేవలు ఎటువంటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలను అందించడం లేదని నేను ఇప్పటికే పైన వ్రాసాను. సాధారణంగా, వారు సమాచార భద్రత అంశంపై ఎక్కువ శ్రద్ధ చూపరు. ఉదాహరణకు, ఇంటర్నెట్ ద్వారా ప్రభుత్వ సంస్థలకు నివేదికలను పంపడానికి ప్రసిద్ధ రష్యన్ సేవలలో ఒకటి (నేను దాని పేరును ప్రత్యేకంగా పేర్కొనను). ఈ సేవ యొక్క భద్రతకు సంబంధించిన మొత్తం విభాగం ధృవీకరించబడిన CIPF వినియోగం చుట్టూ తిరుగుతుంది. ఎలక్ట్రానిక్ డాక్యుమెంట్ మేనేజ్మెంట్ కోసం మరొక దేశీయ క్లౌడ్ సేవ యొక్క సమాచార భద్రతా విభాగం భిన్నంగా లేదు. ఇది పబ్లిక్ కీ సర్టిఫికేట్లు, ధృవీకరించబడిన క్రిప్టోగ్రఫీ, వెబ్ దుర్బలత్వాలను తొలగించడం, DDoS దాడుల నుండి రక్షణ, ఫైర్వాల్లను ఉపయోగించడం, బ్యాకప్లు మరియు సాధారణ సమాచార భద్రతా ఆడిట్ల గురించి మాట్లాడుతుంది. కానీ పర్యవేక్షణ గురించి లేదా ఈ సర్వీస్ ప్రొవైడర్ యొక్క క్లయింట్లకు ఆసక్తి కలిగించే సమాచార భద్రతా ఈవెంట్లకు ప్రాప్యత పొందే అవకాశం గురించి ఒక్క మాట కూడా లేదు.
సాధారణంగా, క్లౌడ్ ప్రొవైడర్ తన వెబ్సైట్లో మరియు దాని డాక్యుమెంటేషన్లో సమాచార భద్రతా సమస్యలను వివరించే విధానం ద్వారా, ఇది ఈ సమస్యను ఎంత తీవ్రంగా తీసుకుంటుందో మీరు అర్థం చేసుకోవచ్చు. ఉదాహరణకు, మీరు “నా ఆఫీస్” ఉత్పత్తుల కోసం మాన్యువల్లను చదివితే, భద్రత గురించి ఎటువంటి పదం లేదు, కానీ ప్రత్యేక ఉత్పత్తి “నా ఆఫీస్” కోసం డాక్యుమెంటేషన్లో. KS3", అనధికారిక యాక్సెస్ నుండి రక్షించడానికి రూపొందించబడింది, FSTEC యొక్క 17వ ఆర్డర్ యొక్క పాయింట్ల సాధారణ జాబితా ఉంది, ఇది "My Office.KS3" అమలు చేస్తుంది, కానీ అది ఎలా అమలు చేస్తుందో మరియు ముఖ్యంగా ఎలా చేయాలో వివరించబడలేదు. కార్పొరేట్ సమాచార భద్రతతో ఈ యంత్రాంగాలను ఏకీకృతం చేయండి. బహుశా అలాంటి డాక్యుమెంటేషన్ ఉంది, కానీ నేను దానిని పబ్లిక్ డొమైన్లో, “నా ఆఫీస్” వెబ్సైట్లో కనుగొనలేదు. బహుశా నాకు ఈ రహస్య సమాచారానికి ప్రాప్యత లేకపోయినా?..
Bitrix కోసం, పరిస్థితి మెరుగ్గా ఉంది. డాక్యుమెంటేషన్ ఈవెంట్ లాగ్ల ఫార్మాట్లను మరియు ఆసక్తికరంగా, క్లౌడ్ ప్లాట్ఫారమ్కు సంభావ్య బెదిరింపులకు సంబంధించిన ఈవెంట్లను కలిగి ఉన్న చొరబాటు లాగ్ను వివరిస్తుంది. అక్కడ నుండి మీరు IP, వినియోగదారు లేదా అతిథి పేరు, ఈవెంట్ మూలం, సమయం, వినియోగదారు ఏజెంట్, ఈవెంట్ రకం మొదలైనవాటిని తీసివేయవచ్చు. నిజమే, మీరు క్లౌడ్ నియంత్రణ ప్యానెల్ నుండి ఈ ఈవెంట్లతో పని చేయవచ్చు లేదా MS Excel ఫార్మాట్లో డేటాను అప్లోడ్ చేయవచ్చు. Bitrix లాగ్లతో పనిని ఆటోమేట్ చేయడం ఇప్పుడు కష్టంగా ఉంది మరియు మీరు కొన్ని పనిని మాన్యువల్గా చేయాల్సి ఉంటుంది (నివేదికను అప్లోడ్ చేయడం మరియు దానిని మీ SIEMలోకి లోడ్ చేయడం). కానీ సాపేక్షంగా ఇటీవల వరకు అలాంటి అవకాశం లేదని మనం గుర్తుంచుకుంటే, ఇది గొప్ప పురోగతి. అదే సమయంలో, చాలా మంది విదేశీ క్లౌడ్ ప్రొవైడర్లు “ప్రారంభకుల కోసం” ఇలాంటి కార్యాచరణను అందిస్తున్నారని నేను గమనించాలనుకుంటున్నాను - నియంత్రణ ప్యానెల్ ద్వారా మీ కళ్ళతో లాగ్లను చూడండి లేదా డేటాను మీకు అప్లోడ్ చేయండి (అయితే, చాలా వరకు డేటాను లో అప్లోడ్ చేయండి. csv ఫార్మాట్, ఎక్సెల్ కాదు).
నో-లాగ్స్ ఎంపికను పరిగణనలోకి తీసుకోకుండా, క్లౌడ్ ప్రొవైడర్లు సాధారణంగా భద్రతా ఈవెంట్లను పర్యవేక్షించడానికి మీకు మూడు ఎంపికలను అందిస్తారు - డాష్బోర్డ్లు, డేటా అప్లోడ్ మరియు API యాక్సెస్. మొదటిది మీ కోసం చాలా సమస్యలను పరిష్కరిస్తుంది, కానీ ఇది పూర్తిగా నిజం కాదు - మీకు అనేక మ్యాగజైన్లు ఉంటే, మీరు వాటిని ప్రదర్శించే స్క్రీన్ల మధ్య మారాలి, మొత్తం చిత్రాన్ని కోల్పోతారు. అదనంగా, క్లౌడ్ ప్రొవైడర్ మీకు భద్రతా ఈవెంట్లను పరస్పరం అనుసంధానించే సామర్థ్యాన్ని అందించే అవకాశం లేదు మరియు సాధారణంగా వాటిని భద్రతా కోణం నుండి విశ్లేషించవచ్చు (సాధారణంగా మీరు ముడి డేటాతో వ్యవహరిస్తున్నారు, ఇది మీరే అర్థం చేసుకోవాలి). మినహాయింపులు ఉన్నాయి మరియు మేము వాటి గురించి మరింత మాట్లాడుతాము. చివరగా, మీ క్లౌడ్ ప్రొవైడర్ ద్వారా ఏ ఈవెంట్లు రికార్డ్ చేయబడ్డాయి, ఏ ఫార్మాట్లో మరియు అవి మీ సమాచార భద్రతా పర్యవేక్షణ ప్రక్రియకు ఎలా అనుగుణంగా ఉంటాయి అని అడగడం విలువైనదే? ఉదాహరణకు, వినియోగదారులు మరియు అతిథుల గుర్తింపు మరియు ప్రమాణీకరణ. అదే Bitrix ఈ ఈవెంట్ల ఆధారంగా ఈవెంట్ యొక్క తేదీ మరియు సమయం, వినియోగదారు లేదా అతిథి పేరు (మీకు “వెబ్ అనలిటిక్స్” మాడ్యూల్ ఉంటే), యాక్సెస్ చేయబడిన వస్తువు మరియు వెబ్సైట్ కోసం విలక్షణమైన ఇతర అంశాలను రికార్డ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. . కానీ కార్పొరేట్ సమాచార భద్రతా సేవలకు వినియోగదారు విశ్వసనీయ పరికరం నుండి క్లౌడ్ను యాక్సెస్ చేశారా అనే దాని గురించి సమాచారం అవసరం కావచ్చు (ఉదాహరణకు, కార్పొరేట్ నెట్వర్క్లో ఈ పనిని సిస్కో ISE అమలు చేస్తుంది). క్లౌడ్ సర్వీస్ యూజర్ ఖాతా దొంగిలించబడిందో లేదో గుర్తించడంలో సహాయపడే జియో-IP ఫంక్షన్ వంటి సులభమైన పని గురించి ఏమిటి? మరియు క్లౌడ్ ప్రొవైడర్ మీకు అందించినప్పటికీ, ఇది సరిపోదు. అదే సిస్కో క్లౌడ్లాక్ జియోలొకేషన్ను విశ్లేషించడమే కాదు, దీని కోసం మెషీన్ లెర్నింగ్ను ఉపయోగిస్తుంది మరియు ప్రతి వినియోగదారు కోసం చారిత్రక డేటాను విశ్లేషిస్తుంది మరియు గుర్తింపు మరియు ప్రామాణీకరణ ప్రయత్నాలలో వివిధ క్రమరాహిత్యాలను పర్యవేక్షిస్తుంది. MS Azure మాత్రమే ఒకే విధమైన కార్యాచరణను కలిగి ఉంటుంది (మీకు తగిన సభ్యత్వం ఉంటే).
మరొక ఇబ్బంది ఉంది - చాలా మంది క్లౌడ్ ప్రొవైడర్లకు ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ అనేది వారు ఇప్పుడే పరిష్కరించడం ప్రారంభించిన కొత్త అంశం కాబట్టి, వారు తమ పరిష్కారాలలో నిరంతరం ఏదో ఒకదాన్ని మారుస్తూ ఉంటారు. ఈ రోజు వారు API యొక్క ఒక వెర్షన్ను కలిగి ఉన్నారు, రేపు మరొకరు, రేపు తర్వాత మూడవది. దీనికి మీరు కూడా సిద్ధం కావాలి. ఫంక్షనాలిటీ విషయంలో కూడా ఇది వర్తిస్తుంది, ఇది మారవచ్చు, ఇది మీ సమాచార భద్రతా పర్యవేక్షణ వ్యవస్థలో తప్పనిసరిగా పరిగణనలోకి తీసుకోవాలి. ఉదాహరణకు, అమెజాన్ ప్రారంభంలో ప్రత్యేక క్లౌడ్ ఈవెంట్ మానిటరింగ్ సేవలను కలిగి ఉంది-AWS CloudTrail మరియు AWS CloudWatch. అప్పుడు సమాచార భద్రతా ఈవెంట్లను పర్యవేక్షించడానికి ప్రత్యేక సేవ కనిపించింది - AWS గార్డ్డ్యూటీ. కొంత సమయం తరువాత, అమెజాన్ ఒక కొత్త మేనేజ్మెంట్ సిస్టమ్ను ప్రారంభించింది, అమెజాన్ సెక్యూరిటీ హబ్, ఇందులో గార్డ్డ్యూటీ, అమెజాన్ ఇన్స్పెక్టర్, అమెజాన్ మాకీ మరియు అనేక ఇతరాల నుండి పొందిన డేటా విశ్లేషణ ఉంటుంది. మరొక ఉదాహరణ SIEM - AzLogతో Azure లాగ్ ఇంటిగ్రేషన్ సాధనం. ఇది చాలా మంది SIEM విక్రేతలచే చురుకుగా ఉపయోగించబడింది, 2018లో మైక్రోసాఫ్ట్ దాని అభివృద్ధి మరియు మద్దతును నిలిపివేస్తున్నట్లు ప్రకటించింది, ఇది సమస్యతో ఈ సాధనాన్ని ఉపయోగించిన చాలా మంది క్లయింట్లను ఎదుర్కొంది (ఇది ఎలా పరిష్కరించబడిందో మేము తరువాత మాట్లాడుతాము).
అందువల్ల, మీ క్లౌడ్ ప్రొవైడర్ మీకు అందించే అన్ని పర్యవేక్షణ లక్షణాలను జాగ్రత్తగా పర్యవేక్షించండి. లేదా మీ SOC మరియు మీరు పర్యవేక్షించాలనుకుంటున్న క్లౌడ్ మధ్య మధ్యవర్తులుగా వ్యవహరించే బాహ్య పరిష్కార ప్రదాతలపై ఆధారపడండి. అవును, ఇది చాలా ఖరీదైనది (ఎల్లప్పుడూ కాకపోయినా), కానీ మీరు అన్ని బాధ్యతలను వేరొకరి భుజాలపైకి మారుస్తారు. లేదా అవన్నీ కాదా?.. భాగస్వామ్య భద్రత భావనను గుర్తుంచుకోండి మరియు మనం దేనినీ మార్చలేమని అర్థం చేసుకుందాం - మీ డేటా, అప్లికేషన్లు, వర్చువల్ మిషన్లు మరియు ఇతర వనరుల సమాచార భద్రతపై వివిధ క్లౌడ్ ప్రొవైడర్లు ఎలా పర్యవేక్షణను అందిస్తారో మనం స్వతంత్రంగా అర్థం చేసుకోవాలి. క్లౌడ్లో హోస్ట్ చేయబడింది. మరియు మేము ఈ భాగంలో అమెజాన్ అందించే వాటితో ప్రారంభిస్తాము.
ఉదాహరణ: AWS ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ
అవును, అవును, ఇది ఒక అమెరికన్ సేవ మరియు రష్యాలో నిషేధించబడిన తీవ్రవాదానికి వ్యతిరేకంగా పోరాటంలో భాగంగా మరియు సమాచారాన్ని వ్యాప్తి చేయడంలో భాగంగా దీనిని నిరోధించవచ్చు అనే వాస్తవం కారణంగా అమెజాన్ ఉత్తమ ఉదాహరణ కాదని నేను అర్థం చేసుకున్నాను. కానీ ఈ ప్రచురణలో నేను వివిధ క్లౌడ్ ప్లాట్ఫారమ్లు వాటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలలో ఎలా విభిన్నంగా ఉన్నాయో మరియు భద్రతా కోణం నుండి మీ కీలక ప్రక్రియలను క్లౌడ్లకు బదిలీ చేసేటప్పుడు మీరు ఏమి శ్రద్ధ వహించాలి అని చూపించాలనుకుంటున్నాను. బాగా, క్లౌడ్ సొల్యూషన్స్ యొక్క రష్యన్ డెవలపర్లు కొందరు తమకు ఉపయోగపడేదాన్ని నేర్చుకుంటే, అది గొప్పగా ఉంటుంది.
ముందుగా చెప్పాల్సిన విషయం ఏమిటంటే, అమెజాన్ అభేద్యమైన కోట కాదు. తన ఖాతాదారులకు తరచూ వివిధ సంఘటనలు జరుగుతుంటాయి. ఉదాహరణకు, 198 మిలియన్ల ఓటర్ల పేర్లు, చిరునామాలు, పుట్టిన తేదీలు మరియు టెలిఫోన్ నంబర్లు డీప్ రూట్ అనలిటిక్స్ నుండి దొంగిలించబడ్డాయి. ఇజ్రాయెల్ కంపెనీ నైస్ సిస్టమ్స్ వెరిజోన్ చందాదారుల 14 మిలియన్ల రికార్డులను దొంగిలించింది. అయినప్పటికీ, AWS యొక్క అంతర్నిర్మిత సామర్థ్యాలు మీరు అనేక రకాల సంఘటనలను గుర్తించడానికి అనుమతిస్తాయి. ఉదాహరణకి:
- మౌలిక సదుపాయాలపై ప్రభావం (DDoS)
- నోడ్ రాజీ (కమాండ్ ఇంజెక్షన్)
- ఖాతా రాజీ మరియు అనధికార యాక్సెస్
- తప్పు కాన్ఫిగరేషన్ మరియు దుర్బలత్వం
- అసురక్షిత ఇంటర్ఫేస్లు మరియు APIలు.
ఈ వ్యత్యాసం కారణంగా, మేము పైన కనుగొన్నట్లుగా, కస్టమర్ డేటా యొక్క భద్రతకు కస్టమర్ స్వయంగా బాధ్యత వహిస్తాడు. మరియు అతను రక్షిత మెకానిజమ్లను ఆన్ చేయడానికి ఇబ్బంది పడకపోతే మరియు పర్యవేక్షణ సాధనాలను ఆన్ చేయకపోతే, అతను మీడియా నుండి లేదా అతని క్లయింట్ల నుండి మాత్రమే సంఘటన గురించి నేర్చుకుంటాడు.
సంఘటనలను గుర్తించడానికి, మీరు Amazon ద్వారా అభివృద్ధి చేయబడిన విభిన్న పర్యవేక్షణ సేవలను విస్తృత శ్రేణిని ఉపయోగించవచ్చు (అయితే ఇవి తరచుగా ఓస్క్వెరీ వంటి బాహ్య సాధనాల ద్వారా పూర్తి చేయబడతాయి). కాబట్టి, AWSలో, నిర్వహణ కన్సోల్, కమాండ్ లైన్, SDK లేదా ఇతర AWS సేవల ద్వారా అవి ఎలా నిర్వహించబడుతున్నాయనే దానితో సంబంధం లేకుండా అన్ని వినియోగదారు చర్యలు పర్యవేక్షించబడతాయి. ప్రతి AWS ఖాతా కార్యాచరణ (వినియోగదారు పేరు, చర్య, సేవ, కార్యాచరణ పారామితులు మరియు ఫలితంతో సహా) మరియు API వినియోగం యొక్క అన్ని రికార్డులు AWS CloudTrail ద్వారా అందుబాటులో ఉంటాయి. మీరు CloudTrail కన్సోల్ నుండి ఈ ఈవెంట్లను (AWS IAM కన్సోల్ లాగిన్ల వంటివి) వీక్షించవచ్చు, Amazon Athenaని ఉపయోగించి వాటిని విశ్లేషించవచ్చు లేదా Splunk, AlienVault మొదలైన బాహ్య పరిష్కారాలకు "ఔట్సోర్స్" చేయవచ్చు. AWS CloudTrail లాగ్లు మీ AWS S3 బకెట్లో ఉంచబడ్డాయి.
రెండు ఇతర AWS సేవలు అనేక ఇతర ముఖ్యమైన పర్యవేక్షణ సామర్థ్యాలను అందిస్తాయి. ముందుగా, Amazon CloudWatch అనేది AWS వనరులు మరియు అప్లికేషన్ల కోసం పర్యవేక్షణ సేవ, ఇది ఇతర విషయాలతోపాటు, మీ క్లౌడ్లోని వివిధ క్రమరాహిత్యాలను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది. Amazon ఎలాస్టిక్ కంప్యూట్ క్లౌడ్ (సర్వర్లు), Amazon రిలేషనల్ డేటాబేస్ సర్వీస్ (డేటాబేస్లు), Amazon Elastic MapReduce (డేటా విశ్లేషణ) మరియు 30 ఇతర Amazon సేవలు వంటి అన్ని అంతర్నిర్మిత AWS సేవలు తమ లాగ్లను నిల్వ చేయడానికి Amazon CloudWatchని ఉపయోగిస్తాయి. డెవలపర్లు కస్టమ్ అప్లికేషన్లు మరియు సేవలకు లాగ్ మానిటరింగ్ ఫంక్షనాలిటీని జోడించడానికి Amazon CloudWatch నుండి ఓపెన్ APIని ఉపయోగించవచ్చు, ఇది భద్రతా సందర్భంలో ఈవెంట్ విశ్లేషణ పరిధిని విస్తరించడానికి వీలు కల్పిస్తుంది.
రెండవది, VPC ఫ్లో లాగ్ల సేవ మీ AWS సర్వర్లు (బాహ్యంగా లేదా అంతర్గతంగా), అలాగే మైక్రోసర్వీస్ల మధ్య పంపిన లేదా స్వీకరించిన నెట్వర్క్ ట్రాఫిక్ను విశ్లేషించడానికి మిమ్మల్ని అనుమతిస్తుంది. మీ AWS VPC వనరులు ఏదైనా నెట్వర్క్తో పరస్పర చర్య చేసినప్పుడు, VPC ఫ్లో లాగ్స్ నెట్వర్క్ ట్రాఫిక్ గురించిన వివరాలను నమోదు చేస్తుంది, అలాగే సోర్స్ మరియు డెస్టినేషన్ నెట్వర్క్ ఇంటర్ఫేస్, అలాగే IP చిరునామాలు, పోర్ట్లు, ప్రోటోకాల్, బైట్ల సంఖ్య మరియు ప్యాకెట్ల సంఖ్య చూసింది. స్థానిక నెట్వర్క్ భద్రతతో అనుభవం ఉన్నవారు దీనిని థ్రెడ్లకు సారూప్యంగా గుర్తిస్తారు
సారాంశంలో, ఈ మూడు AWS సేవలు-AWS క్లౌడ్ట్రైల్, అమెజాన్ క్లౌడ్వాచ్ మరియు VPC ఫ్లో లాగ్లు-మీ ఖాతా వినియోగం, వినియోగదారు ప్రవర్తన, మౌలిక సదుపాయాల నిర్వహణ, అప్లికేషన్ మరియు సేవా కార్యకలాపం మరియు నెట్వర్క్ కార్యాచరణపై చాలా శక్తివంతమైన అంతర్దృష్టిని అందిస్తాయి. ఉదాహరణకు, కింది క్రమరాహిత్యాలను గుర్తించడానికి వాటిని ఉపయోగించవచ్చు:
- సైట్ను స్కాన్ చేయడానికి, బ్యాక్డోర్ల కోసం శోధించడానికి, “404 ఎర్రర్ల” పేలుళ్ల ద్వారా దుర్బలత్వాల కోసం శోధించడానికి ప్రయత్నాలు.
- "500 ఎర్రర్ల" పేలుళ్ల ద్వారా ఇంజెక్షన్ దాడులు (ఉదాహరణకు, SQL ఇంజెక్షన్).
- తెలిసిన దాడి సాధనాలు sqlmap, nikto, w3af, nmap మొదలైనవి. వినియోగదారు ఏజెంట్ ఫీల్డ్ యొక్క విశ్లేషణ ద్వారా.
అమెజాన్ వెబ్ సర్వీసెస్ సైబర్ సెక్యూరిటీ ప్రయోజనాల కోసం ఇతర సేవలను కూడా అభివృద్ధి చేసింది, ఇది అనేక ఇతర సమస్యలను పరిష్కరించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, AWS ఆడిటింగ్ విధానాలు మరియు కాన్ఫిగరేషన్ల కోసం అంతర్నిర్మిత సేవను కలిగి ఉంది - AWS కాన్ఫిగరేషన్. ఈ సేవ మీ AWS వనరులు మరియు వాటి కాన్ఫిగరేషన్ల నిరంతర ఆడిటింగ్ను అందిస్తుంది. ఒక సాధారణ ఉదాహరణను తీసుకుందాం: మీ అన్ని సర్వర్లలో వినియోగదారు పాస్వర్డ్లు నిలిపివేయబడి ఉన్నాయని మరియు సర్టిఫికేట్ల ఆధారంగా మాత్రమే యాక్సెస్ సాధ్యమవుతుందని మీరు నిర్ధారించుకోవాలని అనుకుందాం. AWS కాన్ఫిగర్ మీ అన్ని సర్వర్ల కోసం దీన్ని తనిఖీ చేయడాన్ని సులభతరం చేస్తుంది. మీ క్లౌడ్ సర్వర్లకు వర్తించే ఇతర విధానాలు ఉన్నాయి: “ఏ సర్వర్ పోర్ట్ 22ని ఉపయోగించదు”, “అడ్మినిస్ట్రేటర్లు మాత్రమే ఫైర్వాల్ నియమాలను మార్చగలరు” లేదా “యూజర్ ఇవాష్కో మాత్రమే కొత్త వినియోగదారు ఖాతాలను సృష్టించగలరు మరియు అతను దీన్ని మంగళవారాల్లో మాత్రమే చేయగలడు. " 2016 వేసవిలో, అభివృద్ధి చెందిన విధానాల ఉల్లంఘనల గుర్తింపును ఆటోమేట్ చేయడానికి AWS కాన్ఫిగరేషన్ సేవ విస్తరించబడింది. AWS కాన్ఫిగరేషన్ నియమాలు తప్పనిసరిగా మీరు ఉపయోగించే అమెజాన్ సేవల కోసం నిరంతర కాన్ఫిగరేషన్ అభ్యర్థనలు, సంబంధిత విధానాలు ఉల్లంఘించబడినట్లయితే ఈవెంట్లను సృష్టిస్తాయి. ఉదాహరణకు, వర్చువల్ సర్వర్లోని అన్ని డిస్క్లు గుప్తీకరించబడి ఉన్నాయని ధృవీకరించడానికి కాలానుగుణంగా AWS కాన్ఫిగరేషన్ ప్రశ్నలను అమలు చేయడానికి బదులుగా, AWS కాన్ఫిగ్ నియమాలు ఈ షరతుకు అనుగుణంగా ఉన్నాయని నిర్ధారించడానికి సర్వర్ డిస్క్లను నిరంతరం తనిఖీ చేయడానికి ఉపయోగించవచ్చు. మరియు, ముఖ్యంగా, ఈ ప్రచురణ సందర్భంలో, ఏదైనా ఉల్లంఘనలు మీ సమాచార భద్రతా సేవ ద్వారా విశ్లేషించబడే ఈవెంట్లను సృష్టిస్తాయి.
AWS సంప్రదాయ కార్పొరేట్ సమాచార భద్రతా పరిష్కారాలకు సమానమైనది, ఇది మీరు విశ్లేషించగల మరియు విశ్లేషించగల భద్రతా ఈవెంట్లను కూడా ఉత్పత్తి చేస్తుంది:
- చొరబాటు గుర్తింపు - AWS గార్డ్డ్యూటీ
- ఇన్ఫర్మేషన్ లీక్ కంట్రోల్ - AWS Macie
- EDR (ఇది క్లౌడ్లోని ఎండ్పాయింట్ల గురించి కొంచెం వింతగా మాట్లాడినప్పటికీ) - AWS క్లౌడ్వాచ్ + ఓపెన్ సోర్స్ ఆస్క్వెరీ లేదా GRR సొల్యూషన్లు
- నెట్ఫ్లో విశ్లేషణ - AWS క్లౌడ్వాచ్ + AWS VPC ఫ్లో
- DNS విశ్లేషణ - AWS క్లౌడ్వాచ్ + AWS రూట్53
- AD - AWS డైరెక్టరీ సర్వీస్
- ఖాతా నిర్వహణ - AWS IAM
- SSO - AWS SSO
- భద్రతా విశ్లేషణ - AWS ఇన్స్పెక్టర్
- కాన్ఫిగరేషన్ నిర్వహణ - AWS కాన్ఫిగరేషన్
- WAF - AWS WAF.
సమాచార భద్రత విషయంలో ఉపయోగపడే అన్ని Amazon సేవలను నేను వివరంగా వివరించను. ప్రధాన విషయం ఏమిటంటే, అవన్నీ మనం సమాచార భద్రత సందర్భంలో విశ్లేషించగల మరియు విశ్లేషించగల ఈవెంట్లను రూపొందించగలవని అర్థం చేసుకోవడం, ఈ ప్రయోజనం కోసం అమెజాన్ యొక్క అంతర్నిర్మిత సామర్థ్యాలు మరియు బాహ్య పరిష్కారాలు రెండింటినీ ఉపయోగించడం, ఉదాహరణకు, SIEM భద్రతా ఈవెంట్లను మీ పర్యవేక్షణ కేంద్రానికి తీసుకెళ్లండి మరియు ఇతర క్లౌడ్ సేవల నుండి లేదా అంతర్గత మౌలిక సదుపాయాలు, చుట్టుకొలత లేదా మొబైల్ పరికరాల నుండి ఈవెంట్లతో పాటు వాటిని విశ్లేషించండి.
ఏదైనా సందర్భంలో, ఇది మీకు సమాచార భద్రతా ఈవెంట్లను అందించే డేటా మూలాధారాలతో ప్రారంభమవుతుంది. ఈ మూలాధారాలు వీటిని కలిగి ఉంటాయి, కానీ వీటికే పరిమితం కావు:
- CloudTrail - API వినియోగం మరియు వినియోగదారు చర్యలు
- విశ్వసనీయ సలహాదారు - ఉత్తమ అభ్యాసాలకు వ్యతిరేకంగా భద్రతా తనిఖీ
- కాన్ఫిగరేషన్ - ఖాతాలు మరియు సేవా సెట్టింగ్ల జాబితా మరియు కాన్ఫిగరేషన్
- VPC ఫ్లో లాగ్లు - వర్చువల్ ఇంటర్ఫేస్లకు కనెక్షన్లు
- IAM - గుర్తింపు మరియు ప్రమాణీకరణ సేవ
- ELB యాక్సెస్ లాగ్లు - లోడ్ బ్యాలెన్సర్
- ఇన్స్పెక్టర్ - అప్లికేషన్ దుర్బలత్వాలు
- S3 - ఫైల్ నిల్వ
- CloudWatch - అప్లికేషన్ యాక్టివిటీ
- SNS అనేది నోటిఫికేషన్ సేవ.
Amazon, వారి తరం కోసం ఈవెంట్ సోర్స్లు మరియు సాధనాల యొక్క అటువంటి శ్రేణిని అందిస్తున్నప్పుడు, సమాచార భద్రత సందర్భంలో సేకరించిన డేటాను విశ్లేషించే సామర్థ్యం చాలా పరిమితం. మీరు అందుబాటులో ఉన్న లాగ్లను స్వతంత్రంగా అధ్యయనం చేయాలి, వాటిలో రాజీకి సంబంధించిన సంబంధిత సూచికల కోసం వెతుకుతుంది. అమెజాన్ ఇటీవల ప్రారంభించిన AWS సెక్యూరిటీ హబ్, AWS కోసం క్లౌడ్ SIEMగా మారడం ద్వారా ఈ సమస్యను పరిష్కరించాలని లక్ష్యంగా పెట్టుకుంది. కానీ ఇప్పటివరకు ఇది దాని ప్రయాణం ప్రారంభంలో మాత్రమే ఉంది మరియు ఇది పనిచేసే మూలాల సంఖ్య మరియు అమెజాన్ యొక్క నిర్మాణం మరియు చందాల ద్వారా స్థాపించబడిన ఇతర పరిమితుల ద్వారా పరిమితం చేయబడింది.
ఉదాహరణ: Azure ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ
నేను మూడు క్లౌడ్ ప్రొవైడర్లలో (అమెజాన్, మైక్రోసాఫ్ట్ లేదా గూగుల్) ఏది ఉత్తమం అనే దాని గురించి సుదీర్ఘ చర్చకు రాకూడదనుకుంటున్నాను (ముఖ్యంగా వాటిలో ప్రతి దాని స్వంత నిర్దిష్ట ప్రత్యేకతలు మరియు దాని స్వంత సమస్యలను పరిష్కరించడానికి అనుకూలంగా ఉంటాయి కాబట్టి); ఈ ప్లేయర్లు అందించే సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలపై దృష్టి పెడదాం. అమెజాన్ AWS ఈ విభాగంలో మొదటి వాటిలో ఒకటి అని అంగీకరించాలి మరియు అందువల్ల దాని సమాచార భద్రతా విధుల పరంగా మరింత ముందుకు సాగింది (అయితే వాటిని ఉపయోగించడం చాలా కష్టమని చాలామంది అంగీకరించారు). కానీ మైక్రోసాఫ్ట్ మరియు గూగుల్ మనకు అందించే అవకాశాలను మేము విస్మరించమని దీని అర్థం కాదు.
మైక్రోసాఫ్ట్ ఉత్పత్తులు ఎల్లప్పుడూ వాటి "బాహ్యత" ద్వారా ప్రత్యేకించబడ్డాయి మరియు అజూర్లో పరిస్థితి సమానంగా ఉంటుంది. ఉదాహరణకు, AWS మరియు GCP ఎల్లప్పుడూ "అనుమతించబడనిది నిషేధించబడింది" అనే భావన నుండి కొనసాగితే, అజూర్ ఖచ్చితమైన వ్యతిరేక విధానాన్ని కలిగి ఉంటుంది. ఉదాహరణకు, క్లౌడ్లో వర్చువల్ నెట్వర్క్ మరియు దానిలో వర్చువల్ మెషీన్ను సృష్టించేటప్పుడు, అన్ని పోర్ట్లు మరియు ప్రోటోకాల్లు డిఫాల్ట్గా తెరిచి అనుమతించబడతాయి. అందువల్ల, మీరు మైక్రోసాఫ్ట్ నుండి క్లౌడ్లోని యాక్సెస్ కంట్రోల్ సిస్టమ్ యొక్క ప్రారంభ సెటప్పై కొంచెం ఎక్కువ ప్రయత్నం చేయాలి. మరియు ఇది అజూర్ క్లౌడ్లో పర్యవేక్షణ కార్యకలాపాల పరంగా మీపై మరింత కఠినమైన అవసరాలను కూడా విధిస్తుంది.
మీరు మీ వర్చువల్ వనరులను పర్యవేక్షించినప్పుడు, అవి వేర్వేరు ప్రాంతాలలో ఉన్నట్లయితే, అన్ని ఈవెంట్లను మరియు వాటి ఏకీకృత విశ్లేషణలను కలపడంలో మీకు ఇబ్బందులు ఉన్నాయి, వీటిని తొలగించడానికి మీరు వివిధ ఉపాయాలను ఆశ్రయించాల్సిన అవసరం ఉందని AWSకి ఒక ప్రత్యేకత ఉంది. ప్రాంతాల మధ్య ఈవెంట్లను రవాణా చేసే AWS లాంబ్డా కోసం మీ స్వంత కోడ్ని సృష్టించండి. Azureకి ఈ సమస్య లేదు - దాని యాక్టివిటీ లాగ్ మెకానిజం పరిమితులు లేకుండా మొత్తం సంస్థలో అన్ని కార్యాచరణలను ట్రాక్ చేస్తుంది. AWS సెక్యూరిటీ హబ్కి కూడా ఇది వర్తిస్తుంది, ఇది ఒకే భద్రతా కేంద్రంలో అనేక భద్రతా విధులను ఏకీకృతం చేయడానికి ఇటీవల Amazon చే అభివృద్ధి చేయబడింది, అయితే దాని ప్రాంతంలో మాత్రమే, అయితే, ఇది రష్యాకు సంబంధించినది కాదు. అజూర్ దాని స్వంత భద్రతా కేంద్రాన్ని కలిగి ఉంది, ఇది ప్రాంతీయ పరిమితులకు కట్టుబడి ఉండదు, క్లౌడ్ ప్లాట్ఫారమ్ యొక్క అన్ని భద్రతా లక్షణాలకు ప్రాప్యతను అందిస్తుంది. అంతేకాకుండా, వివిధ స్థానిక బృందాలకు ఇది వారిచే నిర్వహించబడే భద్రతా ఈవెంట్లతో సహా దాని స్వంత రక్షణ సామర్థ్యాలను అందించగలదు. AWS సెక్యూరిటీ హబ్ ఇప్పటికీ అజూర్ సెక్యూరిటీ సెంటర్ను పోలి ఉంటుంది. కానీ లేపనంలో ఫ్లైని జోడించడం విలువైనదే - మీరు AWSలో గతంలో వివరించిన వాటిలో చాలా వరకు అజూర్ నుండి పిండవచ్చు, అయితే ఇది అజూర్ AD, అజూర్ మానిటర్ మరియు అజూర్ సెక్యూరిటీ సెంటర్ కోసం మాత్రమే చాలా సౌకర్యవంతంగా చేయబడుతుంది. భద్రతా ఈవెంట్ విశ్లేషణతో సహా అన్ని ఇతర అజూర్ సెక్యూరిటీ మెకానిజమ్లు ఇంకా అత్యంత అనుకూలమైన రీతిలో నిర్వహించబడలేదు. అన్ని మైక్రోసాఫ్ట్ అజూర్ సేవలను విస్తరించే API ద్వారా సమస్య పాక్షికంగా పరిష్కరించబడుతుంది, అయితే దీనికి మీ క్లౌడ్ను మీ SOCతో మరియు అర్హత కలిగిన నిపుణుల ఉనికితో ఏకీకృతం చేయడానికి మీ నుండి అదనపు ప్రయత్నం అవసరం (వాస్తవానికి, క్లౌడ్తో పనిచేసే ఇతర SIEM మాదిరిగానే. APIలు). కొన్ని SIEMలు, తరువాత చర్చించబడతాయి, ఇప్పటికే Azureకి మద్దతు ఇస్తున్నాయి మరియు దానిని పర్యవేక్షించే పనిని ఆటోమేట్ చేయగలవు, కానీ దాని స్వంత ఇబ్బందులు కూడా ఉన్నాయి - అవన్నీ Azure కలిగి ఉన్న అన్ని లాగ్లను సేకరించలేవు.
అజూర్లో ఈవెంట్ సేకరణ మరియు పర్యవేక్షణ అజూర్ మానిటర్ సేవను ఉపయోగించి అందించబడుతుంది, ఇది Microsoft క్లౌడ్ మరియు దాని వనరులలో డేటాను సేకరించడం, నిల్వ చేయడం మరియు విశ్లేషించడం కోసం ప్రధాన సాధనం - Git రిపోజిటరీలు, కంటైనర్లు, వర్చువల్ మెషీన్లు, అప్లికేషన్లు మొదలైనవి. అజూర్ మానిటర్ ద్వారా సేకరించబడిన మొత్తం డేటా రెండు వర్గాలుగా విభజించబడింది - కొలమానాలు, నిజ సమయంలో సేకరించబడ్డాయి మరియు అజూర్ క్లౌడ్ యొక్క కీలక పనితీరు సూచికలను వివరిస్తాయి మరియు అజూర్ వనరులు మరియు సేవల కార్యకలాపాల యొక్క నిర్దిష్ట అంశాలను వివరించే రికార్డులుగా నిర్వహించబడిన డేటాను కలిగి ఉన్న లాగ్లు. అదనంగా, డేటా కలెక్టర్ APIని ఉపయోగించి, అజూర్ మానిటర్ సేవ దాని స్వంత పర్యవేక్షణ దృశ్యాలను రూపొందించడానికి ఏదైనా REST మూలం నుండి డేటాను సేకరించవచ్చు.
Azure మీకు అందించే కొన్ని భద్రతా ఈవెంట్ మూలాలు ఇక్కడ ఉన్నాయి మరియు మీరు Azure పోర్టల్, CLI, PowerShell లేదా REST API ద్వారా యాక్సెస్ చేయవచ్చు (మరియు కొన్ని Azure Monitor/Insight API ద్వారా మాత్రమే):
- కార్యాచరణ లాగ్లు - క్లౌడ్ వనరులపై ఏదైనా వ్రాత ఆపరేషన్ (PUT, POST, DELETE)కి సంబంధించి “ఎవరు,” “ఏమి,” మరియు “ఎప్పుడు” అనే క్లాసిక్ ప్రశ్నలకు ఈ లాగ్ సమాధానం ఇస్తుంది. రీడ్ యాక్సెస్ (GET)కి సంబంధించిన ఈవెంట్లు ఈ లాగ్లో అనేక ఇతర వాటిలాగా చేర్చబడలేదు.
- డయాగ్నస్టిక్ లాగ్లు - మీ సబ్స్క్రిప్షన్లో చేర్చబడిన నిర్దిష్ట వనరుతో కార్యకలాపాలపై డేటాను కలిగి ఉంటుంది.
- Azure AD రిపోర్టింగ్ - సమూహం మరియు వినియోగదారు నిర్వహణకు సంబంధించిన వినియోగదారు కార్యాచరణ మరియు సిస్టమ్ కార్యాచరణ రెండింటినీ కలిగి ఉంటుంది.
- Windows ఈవెంట్ లాగ్ మరియు Linux Syslog - క్లౌడ్లో హోస్ట్ చేయబడిన వర్చువల్ మిషన్ల నుండి ఈవెంట్లను కలిగి ఉంటుంది.
- కొలమానాలు - మీ క్లౌడ్ సేవలు మరియు వనరుల పనితీరు మరియు ఆరోగ్య స్థితి గురించి టెలిమెట్రీని కలిగి ఉంటుంది. ప్రతి నిమిషం కొలుస్తారు మరియు నిల్వ చేయబడుతుంది. 30 రోజులలోపు.
- నెట్వర్క్ సెక్యూరిటీ గ్రూప్ ఫ్లో లాగ్లు - నెట్వర్క్ వాచర్ సర్వీస్ మరియు నెట్వర్క్ స్థాయిలో రిసోర్స్ మానిటరింగ్ ఉపయోగించి సేకరించిన నెట్వర్క్ సెక్యూరిటీ ఈవెంట్లపై డేటాను కలిగి ఉంటుంది.
- నిల్వ లాగ్లు - నిల్వ సౌకర్యాలకు యాక్సెస్కు సంబంధించిన ఈవెంట్లను కలిగి ఉంటుంది.
పర్యవేక్షణ కోసం, మీరు బాహ్య SIEMలు లేదా అంతర్నిర్మిత అజూర్ మానిటర్ మరియు దాని పొడిగింపులను ఉపయోగించవచ్చు. మేము ఇన్ఫర్మేషన్ సెక్యూరిటీ ఈవెంట్ మేనేజ్మెంట్ సిస్టమ్ల గురించి తరువాత మాట్లాడుతాము, అయితే ప్రస్తుతానికి భద్రత విషయంలో డేటా విశ్లేషణ కోసం అజూర్ మాకు ఏమి అందిస్తుందో చూద్దాం. అజూర్ మానిటర్లో భద్రతకు సంబంధించిన ప్రతిదానికీ ప్రధాన స్క్రీన్ లాగ్ అనలిటిక్స్ సెక్యూరిటీ మరియు ఆడిట్ డ్యాష్బోర్డ్ (ఉచిత వెర్షన్ కేవలం ఒక వారం పాటు పరిమిత మొత్తంలో ఈవెంట్ నిల్వకు మద్దతు ఇస్తుంది). ఈ డ్యాష్బోర్డ్ 5 ప్రధాన ప్రాంతాలుగా విభజించబడింది, ఇది మీరు ఉపయోగిస్తున్న క్లౌడ్ వాతావరణంలో ఏమి జరుగుతుందో సారాంశ గణాంకాలను దృశ్యమానం చేస్తుంది:
- భద్రతా డొమైన్లు - సమాచార భద్రతకు సంబంధించిన కీలక పరిమాణాత్మక సూచికలు - సంఘటనల సంఖ్య, రాజీపడిన నోడ్ల సంఖ్య, అన్ప్యాచ్ చేయని నోడ్లు, నెట్వర్క్ సెక్యూరిటీ ఈవెంట్లు మొదలైనవి.
- గుర్తించదగిన సమస్యలు - క్రియాశీల సమాచార భద్రతా సమస్యల సంఖ్య మరియు ప్రాముఖ్యతను ప్రదర్శిస్తుంది
- గుర్తింపులు - మీకు వ్యతిరేకంగా ఉపయోగించిన దాడుల నమూనాలను ప్రదర్శిస్తుంది
- థ్రెట్ ఇంటెలిజెన్స్ - మీపై దాడి చేసే బాహ్య నోడ్లపై భౌగోళిక సమాచారాన్ని ప్రదర్శిస్తుంది
- సాధారణ భద్రతా ప్రశ్నలు - మీ సమాచార భద్రతను మెరుగ్గా పర్యవేక్షించడంలో మీకు సహాయపడే సాధారణ ప్రశ్నలు.
అజూర్ మానిటర్ ఎక్స్టెన్షన్లలో అజూర్ కీ వాల్ట్ (క్లౌడ్లోని క్రిప్టోగ్రాఫిక్ కీల రక్షణ), మాల్వేర్ అసెస్మెంట్ (వర్చువల్ మెషీన్లలో హానికరమైన కోడ్ నుండి రక్షణ యొక్క విశ్లేషణ), అజూర్ అప్లికేషన్ గేట్వే అనలిటిక్స్ (ఇతర విషయాలతోపాటు, క్లౌడ్ ఫైర్వాల్ లాగ్ల విశ్లేషణ) మొదలైనవి ఉన్నాయి. . ఈవెంట్లను ప్రాసెస్ చేయడానికి నిర్దిష్ట నియమాలతో సుసంపన్నమైన ఈ సాధనాలు, భద్రతతో సహా క్లౌడ్ సేవల కార్యకలాపాల యొక్క వివిధ అంశాలను దృశ్యమానం చేయడానికి మరియు ఆపరేషన్ నుండి నిర్దిష్ట వ్యత్యాసాలను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తాయి. కానీ, తరచుగా జరిగే విధంగా, ఏదైనా అదనపు కార్యాచరణకు సంబంధిత చెల్లింపు సభ్యత్వం అవసరం, దీనికి మీ నుండి సంబంధిత ఆర్థిక పెట్టుబడులు అవసరం, మీరు ముందుగానే ప్లాన్ చేసుకోవాలి.
అజూర్ అనేక అంతర్నిర్మిత ముప్పు పర్యవేక్షణ సామర్థ్యాలను కలిగి ఉంది, అవి అజూర్ AD, అజూర్ మానిటర్ మరియు అజూర్ సెక్యూరిటీ సెంటర్లో విలీనం చేయబడ్డాయి. వాటిలో, ఉదాహరణకు, తెలిసిన హానికరమైన IPలతో వర్చువల్ మెషీన్ల పరస్పర చర్యను గుర్తించడం (మైక్రోసాఫ్ట్ నుండి థ్రెట్ ఇంటెలిజెన్స్ సేవలతో ఏకీకరణ ఉండటం వలన), క్లౌడ్లో హోస్ట్ చేయబడిన వర్చువల్ మెషీన్ల నుండి అలారాలను స్వీకరించడం ద్వారా క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్లో మాల్వేర్ను గుర్తించడం, పాస్వర్డ్ వర్చువల్ మెషీన్లపై అంచనా దాడులు ”, యూజర్ ఐడెంటిఫికేషన్ సిస్టమ్ యొక్క కాన్ఫిగరేషన్లోని దుర్బలత్వాలు, అనామకులు లేదా సోకిన నోడ్ల నుండి సిస్టమ్లోకి లాగిన్ అవ్వడం, ఖాతా లీక్లు, అసాధారణ స్థానాల నుండి సిస్టమ్లోకి లాగిన్ చేయడం మొదలైనవి. సేకరించిన సమాచార భద్రతా ఈవెంట్లను మెరుగుపరచడానికి మీకు అంతర్నిర్మిత థ్రెట్ ఇంటెలిజెన్స్ సామర్థ్యాలను అందించే కొద్దిమంది క్లౌడ్ ప్రొవైడర్లలో Azure ఈరోజు ఒకటి.
పైన పేర్కొన్నట్లుగా, భద్రతా కార్యాచరణ మరియు ఫలితంగా, దాని ద్వారా రూపొందించబడిన భద్రతా ఈవెంట్లు వినియోగదారులందరికీ సమానంగా అందుబాటులో ఉండవు, అయితే మీకు అవసరమైన కార్యాచరణను కలిగి ఉన్న నిర్దిష్ట సభ్యత్వం అవసరం, ఇది సమాచార భద్రత పర్యవేక్షణ కోసం తగిన ఈవెంట్లను రూపొందిస్తుంది. ఉదాహరణకు, ఖాతాలలోని క్రమరాహిత్యాలను పర్యవేక్షించడానికి మునుపటి పేరాలో వివరించిన కొన్ని విధులు అజూర్ AD సేవ కోసం P2 ప్రీమియం లైసెన్స్లో మాత్రమే అందుబాటులో ఉన్నాయి. అది లేకుండా, మీరు, AWS విషయంలో వలె, "మాన్యువల్గా" సేకరించిన భద్రతా ఈవెంట్లను విశ్లేషించవలసి ఉంటుంది. మరియు, అలాగే, Azure AD లైసెన్స్ రకాన్ని బట్టి, అన్ని ఈవెంట్లు విశ్లేషణ కోసం అందుబాటులో ఉండవు.
అజూర్ పోర్టల్లో, మీకు ఆసక్తి ఉన్న లాగ్ల కోసం మీరు రెండు శోధన ప్రశ్నలను నిర్వహించవచ్చు మరియు కీలక సమాచార భద్రతా సూచికలను దృశ్యమానం చేయడానికి డాష్బోర్డ్లను సెటప్ చేయవచ్చు. అదనంగా, అక్కడ మీరు అజూర్ మానిటర్ పొడిగింపులను ఎంచుకోవచ్చు, ఇది అజూర్ మానిటర్ లాగ్ల కార్యాచరణను విస్తరించడానికి మరియు భద్రతా కోణం నుండి ఈవెంట్ల యొక్క లోతైన విశ్లేషణను పొందడానికి మిమ్మల్ని అనుమతిస్తుంది.
మీకు లాగ్లతో పని చేసే సామర్థ్యం మాత్రమే కాకుండా, సమాచార భద్రతా విధాన నిర్వహణతో సహా మీ అజూర్ క్లౌడ్ ప్లాట్ఫారమ్ కోసం సమగ్ర భద్రతా కేంద్రం అవసరమైతే, మీరు అజూర్ సెక్యూరిటీ సెంటర్తో పని చేయవలసిన అవసరం గురించి మాట్లాడవచ్చు, వీటిలో చాలా ఉపయోగకరమైన విధులు కొంత డబ్బుకు అందుబాటులో ఉన్నాయి, ఉదాహరణకు, ముప్పు గుర్తింపు, అజూర్ వెలుపల పర్యవేక్షణ, సమ్మతి అంచనా మొదలైనవి. (ఉచిత సంస్కరణలో, మీరు గుర్తించిన సమస్యలను తొలగించడానికి భద్రతా అంచనా మరియు సిఫార్సులకు మాత్రమే ప్రాప్యత కలిగి ఉంటారు). ఇది అన్ని భద్రతా సమస్యలను ఒకే చోట ఏకీకృతం చేస్తుంది. వాస్తవానికి, అజూర్ మానిటర్ మీకు అందించే దానికంటే ఎక్కువ స్థాయి సమాచార భద్రత గురించి మేము మాట్లాడగలము, ఎందుకంటే ఈ సందర్భంలో మీ క్లౌడ్ ఫ్యాక్టరీ అంతటా సేకరించిన డేటా అజూర్, ఆఫీస్ 365, మైక్రోసాఫ్ట్ CRM ఆన్లైన్, మైక్రోసాఫ్ట్ డైనమిక్స్ AX వంటి అనేక వనరులను ఉపయోగించి సమృద్ధిగా ఉంటుంది. , outlook .com, MSN.com, Microsoft డిజిటల్ క్రైమ్స్ యూనిట్ (DCU) మరియు మైక్రోసాఫ్ట్ సెక్యూరిటీ రెస్పాన్స్ సెంటర్ (MSRC), వీటిపై వివిధ అధునాతన మెషీన్ లెర్నింగ్ మరియు బిహేవియరల్ అనలిటిక్స్ అల్గారిథమ్లు సూపర్మోస్ చేయబడ్డాయి, ఇది అంతిమంగా బెదిరింపులను గుర్తించే మరియు ప్రతిస్పందించే సామర్థ్యాన్ని మెరుగుపరుస్తుంది. .
అజూర్ దాని స్వంత SIEM ను కూడా కలిగి ఉంది - ఇది 2019 ప్రారంభంలో కనిపించింది. ఇది అజూర్ సెంటినెల్, ఇది అజూర్ మానిటర్ నుండి డేటాపై ఆధారపడుతుంది మరియు దానితో కూడా కలిసిపోతుంది. బాహ్య భద్రతా పరిష్కారాలు (ఉదాహరణకు, NGFW లేదా WAF), వీటి జాబితా నిరంతరం పెరుగుతోంది. అదనంగా, మైక్రోసాఫ్ట్ గ్రాఫ్ సెక్యూరిటీ API యొక్క ఇంటిగ్రేషన్ ద్వారా, మీరు మీ స్వంత థ్రెట్ ఇంటెలిజెన్స్ ఫీడ్లను సెంటినెల్కు కనెక్ట్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటారు, ఇది మీ అజూర్ క్లౌడ్లోని సంఘటనలను విశ్లేషించే సామర్థ్యాలను మెరుగుపరుస్తుంది. క్లౌడ్ ప్రొవైడర్ల నుండి కనిపించిన మొదటి "స్థానిక" SIEM అజూర్ సెంటినెల్ అని వాదించవచ్చు (అదే స్ప్లంక్ లేదా ELK, క్లౌడ్లో హోస్ట్ చేయవచ్చు, ఉదాహరణకు, AWS, ఇప్పటికీ సాంప్రదాయ క్లౌడ్ సర్వీస్ ప్రొవైడర్లచే అభివృద్ధి చేయబడలేదు). అజూర్ సెంటినెల్ మరియు సెక్యూరిటీ సెంటర్ను అజూర్ క్లౌడ్ కోసం SOC అని పిలుస్తారు మరియు మీకు ఇకపై ఎటువంటి మౌలిక సదుపాయాలు లేకుంటే మరియు మీరు మీ కంప్యూటింగ్ వనరులన్నింటినీ క్లౌడ్కు బదిలీ చేసినట్లయితే వాటికి (నిర్దిష్ట రిజర్వేషన్లతో) పరిమితం చేయవచ్చు మరియు అది మైక్రోసాఫ్ట్ క్లౌడ్ అజూర్ అవుతుంది.
అయితే సమాచార భద్రతను పర్యవేక్షించడానికి మరియు ఈ ప్రక్రియను ఇతర భద్రతా ఈవెంట్లతో (క్లౌడ్ మరియు అంతర్గత) ఏకీకృతం చేయడానికి అజూర్ యొక్క అంతర్నిర్మిత సామర్థ్యాలు (మీకు సెంటినెల్కు సభ్యత్వం ఉన్నప్పటికీ) తరచుగా సరిపోదు. సేకరించిన డేటాను బాహ్య సిస్టమ్లకు ఎగుమతి చేయాలి, ఇందులో SIEM కూడా ఉండవచ్చు. ఇది APIని ఉపయోగించడం మరియు ప్రత్యేక పొడిగింపులను ఉపయోగించడం రెండూ చేయబడుతుంది, ఇవి ప్రస్తుతం అధికారికంగా క్రింది SIEMలకు మాత్రమే అందుబాటులో ఉన్నాయి - Splunk (Splunk కోసం Azure Monitor Add-On), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight మరియు ELK. ఇటీవలి వరకు, ఇటువంటి SIEMలు మరిన్ని ఉన్నాయి, కానీ జూన్ 1, 2019 నుండి, మైక్రోసాఫ్ట్ Azure లాగ్ ఇంటిగ్రేషన్ టూల్ (AzLog)కి మద్దతు ఇవ్వడం ఆపివేసింది, ఇది Azure ఉనికిలో ఉన్న సమయంలో మరియు లాగ్లతో పని చేసే సాధారణ ప్రమాణీకరణ లేనప్పుడు (Azure మానిటర్ ఇంకా ఉనికిలో లేదు) మైక్రోసాఫ్ట్ క్లౌడ్తో బాహ్య SIEMని సులభతరం చేసింది. ఇప్పుడు పరిస్థితి మారింది మరియు ఇతర SIEMల కోసం మైక్రోసాఫ్ట్ అజూర్ ఈవెంట్ హబ్ ప్లాట్ఫారమ్ను ప్రధాన ఇంటిగ్రేషన్ సాధనంగా సిఫార్సు చేస్తోంది. చాలా మంది ఇప్పటికే ఇటువంటి ఏకీకరణను అమలు చేసారు, కానీ జాగ్రత్తగా ఉండండి - అవి అన్ని అజూర్ లాగ్లను సంగ్రహించకపోవచ్చు, కానీ కొన్ని మాత్రమే (మీ SIEM కోసం డాక్యుమెంటేషన్లో చూడండి).
అజూర్లో క్లుప్త విహారయాత్రను ముగించి, నేను ఈ క్లౌడ్ సేవ గురించి ఒక సాధారణ సిఫార్సును ఇవ్వాలనుకుంటున్నాను - మీరు అజూర్లోని సమాచార భద్రతా పర్యవేక్షణ ఫంక్షన్ల గురించి ఏదైనా చెప్పే ముందు, మీరు వాటిని చాలా జాగ్రత్తగా కాన్ఫిగర్ చేయాలి మరియు అవి డాక్యుమెంటేషన్లో వ్రాసినట్లుగా పనిచేస్తాయని పరీక్షించాలి మరియు కన్సల్టెంట్లు మైక్రోసాఫ్ట్కు చెప్పినట్లుగా (మరియు అజూర్ ఫంక్షన్ల కార్యాచరణపై వారికి భిన్నమైన అభిప్రాయాలు ఉండవచ్చు). మీకు ఆర్థిక వనరులు ఉంటే, సమాచార భద్రత పర్యవేక్షణ పరంగా మీరు అజూర్ నుండి చాలా ఉపయోగకరమైన సమాచారాన్ని పొందవచ్చు. మీ వనరులు పరిమితం అయితే, AWS విషయంలో వలె, మీరు మీ స్వంత బలం మరియు అజూర్ మానిటర్ మీకు అందించే ముడి డేటాపై మాత్రమే ఆధారపడవలసి ఉంటుంది. మరియు అనేక పర్యవేక్షణ ఫంక్షన్లకు డబ్బు ఖర్చవుతుందని గుర్తుంచుకోండి మరియు ముందుగానే ధరల విధానంతో మిమ్మల్ని పరిచయం చేసుకోవడం మంచిది. ఉదాహరణకు, మీరు ఒక కస్టమర్కు గరిష్టంగా 31 GB వరకు 5 రోజుల డేటాను ఉచితంగా నిల్వ చేయవచ్చు - ఈ విలువలను మించి ఉంటే మీరు అదనపు డబ్బును ఫోర్క్ చేయవలసి ఉంటుంది (కస్టమర్ నుండి ప్రతి అదనపు GBని నిల్వ చేయడానికి సుమారు $2+ మరియు దీని కోసం $0,1 ప్రతి అదనపు నెల 1 GB నిల్వ చేస్తోంది ). అప్లికేషన్ టెలిమెట్రీ మరియు మెట్రిక్లతో పని చేయడానికి అదనపు నిధులు అవసరం కావచ్చు, అలాగే హెచ్చరికలు మరియు నోటిఫికేషన్లతో పని చేయవచ్చు (ఒక నిర్దిష్ట పరిమితి ఉచితంగా అందుబాటులో ఉంటుంది, ఇది మీ అవసరాలకు సరిపోకపోవచ్చు).
ఉదాహరణ: Google క్లౌడ్ ప్లాట్ఫారమ్ ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ
AWS మరియు Azureతో పోలిస్తే Google క్లౌడ్ ప్లాట్ఫారమ్ యువకుడిలా కనిపిస్తుంది, కానీ ఇది కొంతవరకు మంచిది. AWS కాకుండా, భద్రతతో సహా దాని సామర్థ్యాలను క్రమంగా పెంచుకుంది, కేంద్రీకరణతో సమస్యలను కలిగి ఉంటుంది; అజూర్ వంటి GCP, కేంద్రంగా మెరుగ్గా నిర్వహించబడుతుంది, ఇది ఎంటర్ప్రైజ్లో లోపాలు మరియు అమలు సమయాన్ని తగ్గిస్తుంది. భద్రతా కోణం నుండి, GCP అనేది AWS మరియు Azure మధ్య విచిత్రంగా సరిపోతుంది. అతను మొత్తం సంస్థ కోసం ఒకే ఈవెంట్ నమోదును కలిగి ఉన్నాడు, కానీ అది అసంపూర్ణంగా ఉంది. కొన్ని విధులు ఇప్పటికీ బీటా మోడ్లో ఉన్నాయి, కానీ క్రమంగా ఈ లోపం తొలగించబడాలి మరియు సమాచార భద్రత పర్యవేక్షణ పరంగా GCP మరింత పరిణతి చెందిన ప్లాట్ఫారమ్ అవుతుంది.
GCPలో ఈవెంట్లను లాగింగ్ చేయడానికి ప్రధాన సాధనం స్టాక్డ్రైవర్ లాగింగ్ (అజూర్ మానిటర్ మాదిరిగానే), ఇది మీ మొత్తం క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ (అలాగే AWS నుండి) ఈవెంట్లను సేకరించడానికి మిమ్మల్ని అనుమతిస్తుంది. GCPలో భద్రతా కోణం నుండి, ప్రతి సంస్థ, ప్రాజెక్ట్ లేదా ఫోల్డర్లో నాలుగు లాగ్లు ఉంటాయి:
- అడ్మిన్ యాక్టివిటీ - అడ్మినిస్ట్రేటివ్ యాక్సెస్కు సంబంధించిన అన్ని ఈవెంట్లను కలిగి ఉంటుంది, ఉదాహరణకు, వర్చువల్ మెషీన్ను సృష్టించడం, యాక్సెస్ హక్కులను మార్చడం మొదలైనవి. ఈ లాగ్ మీ కోరికతో సంబంధం లేకుండా ఎల్లప్పుడూ వ్రాయబడుతుంది మరియు దాని డేటాను 400 రోజులు నిల్వ చేస్తుంది.
- డేటా యాక్సెస్ - క్లౌడ్ వినియోగదారుల ద్వారా డేటాతో పని చేయడానికి సంబంధించిన అన్ని ఈవెంట్లను కలిగి ఉంటుంది (సృష్టి, సవరణ, పఠనం మొదలైనవి). డిఫాల్ట్గా, ఈ లాగ్ వ్రాయబడలేదు, దాని వాల్యూమ్ చాలా త్వరగా ఉబ్బుతుంది. ఈ కారణంగా, దాని షెల్ఫ్ జీవితం 30 రోజులు మాత్రమే. అదనంగా, ఈ పత్రికలో ప్రతిదీ వ్రాయబడలేదు. ఉదాహరణకు, వినియోగదారులందరికీ పబ్లిక్గా యాక్సెస్ చేయగల లేదా GCPకి లాగిన్ చేయకుండా యాక్సెస్ చేయగల వనరులకు సంబంధించిన ఈవెంట్లు దీనికి వ్రాయబడవు.
- సిస్టమ్ ఈవెంట్ - వినియోగదారులకు సంబంధించిన సిస్టమ్ ఈవెంట్లు లేదా క్లౌడ్ వనరుల కాన్ఫిగరేషన్ను మార్చే నిర్వాహకుడి చర్యలను కలిగి ఉంటుంది. ఇది ఎల్లప్పుడూ వ్రాసి 400 రోజులు నిల్వ చేయబడుతుంది.
- యాక్సెస్ పారదర్శకత అనేది వారి ఉద్యోగ విధుల్లో భాగంగా మీ ఇన్ఫ్రాస్ట్రక్చర్ను యాక్సెస్ చేసే Google ఉద్యోగుల (కానీ ఇంకా అన్ని GCP సేవల కోసం కాదు) అన్ని చర్యలను క్యాప్చర్ చేసే లాగ్కి ఒక ప్రత్యేక ఉదాహరణ. ఈ లాగ్ 400 రోజుల పాటు నిల్వ చేయబడుతుంది మరియు ప్రతి GCP క్లయింట్కు అందుబాటులో ఉండదు, అయితే అనేక షరతులు (గోల్డ్ లేదా ప్లాటినం స్థాయి మద్దతు లేదా కార్పొరేట్ మద్దతులో భాగంగా నిర్దిష్ట రకం 4 పాత్రలు ఉండటం) పాటించినట్లయితే మాత్రమే. ఇదే విధమైన ఫంక్షన్ కూడా అందుబాటులో ఉంది, ఉదాహరణకు, ఆఫీస్ 365 - లాక్బాక్స్లో.
లాగ్ ఉదాహరణ: యాక్సెస్ పారదర్శకత
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}
లాగ్ వ్యూయర్ ఇంటర్ఫేస్ ద్వారా, API ద్వారా, Google క్లౌడ్ SDK ద్వారా లేదా మీ ప్రాజెక్ట్ యొక్క కార్యాచరణ పేజీ ద్వారా - ఈ లాగ్లకు యాక్సెస్ అనేక విధాలుగా సాధ్యమవుతుంది (గతంలో Azure మరియు AWS గురించి చర్చించిన విధంగానే) - ఈవెంట్స్ పట్ల ఆసక్తి కలిగి ఉంటారు. అదే విధంగా, అదనపు విశ్లేషణ కోసం వాటిని బాహ్య పరిష్కారాలకు ఎగుమతి చేయవచ్చు. రెండోది BigQuery లేదా Cloud Pub/Sub storageకి లాగ్లను ఎగుమతి చేయడం ద్వారా జరుగుతుంది.
Stackdriver లాగింగ్తో పాటు, GCP ప్లాట్ఫారమ్ Stackdriver మానిటరింగ్ కార్యాచరణను కూడా అందిస్తుంది, ఇది క్లౌడ్ సేవలు మరియు అప్లికేషన్ల యొక్క కీలకమైన కొలమానాలను (పనితీరు, MTBF, మొత్తం ఆరోగ్యం మొదలైనవి) పర్యవేక్షించడానికి మిమ్మల్ని అనుమతిస్తుంది. ప్రాసెస్ చేయబడిన మరియు విజువలైజ్ చేయబడిన డేటా మీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్లో భద్రతతో సహా సమస్యలను కనుగొనడాన్ని సులభతరం చేస్తుంది. అయితే ఈ ఫంక్షనాలిటీ సమాచార భద్రత విషయంలో చాలా గొప్పగా ఉండదని గమనించాలి, ఎందుకంటే ఈ రోజు GCPకి అదే AWS GuardDuty యొక్క అనలాగ్ లేదు మరియు అన్ని నమోదిత ఈవెంట్లలో చెడు వాటిని గుర్తించలేదు (Google ఈవెంట్ థ్రెట్ డిటెక్షన్ను అభివృద్ధి చేసింది, కానీ ఇది ఇప్పటికీ బీటాలో అభివృద్ధిలో ఉంది మరియు దాని ఉపయోగం గురించి మాట్లాడటం చాలా తొందరగా ఉంది). స్టాక్డ్రైవర్ మానిటరింగ్ను క్రమరాహిత్యాలను గుర్తించడానికి ఒక వ్యవస్థగా ఉపయోగించవచ్చు, ఇది వాటి సంభవించిన కారణాలను కనుగొనడానికి పరిశోధించబడుతుంది. కానీ మార్కెట్లో GCP సమాచార భద్రత రంగంలో అర్హత కలిగిన సిబ్బంది లేకపోవడంతో, ఈ పని ప్రస్తుతం కష్టంగా కనిపిస్తోంది.
మీ GCP క్లౌడ్లో ఉపయోగించగల మరియు AWS అందించే వాటికి సమానమైన కొన్ని సమాచార భద్రతా మాడ్యూళ్ల జాబితాను అందించడం కూడా విలువైనదే:
- క్లౌడ్ సెక్యూరిటీ కమాండ్ సెంటర్ అనేది AWS సెక్యూరిటీ హబ్ మరియు అజూర్ సెక్యూరిటీ సెంటర్ యొక్క అనలాగ్.
- క్లౌడ్ DLP - 90 కంటే ఎక్కువ ముందే నిర్వచించిన వర్గీకరణ విధానాలను ఉపయోగించి క్లౌడ్లో హోస్ట్ చేయబడిన డేటా యొక్క స్వయంచాలక ఆవిష్కరణ మరియు సవరణ (ఉదా. మాస్కింగ్).
- క్లౌడ్ స్కానర్ అనేది యాప్ ఇంజిన్, కంప్యూట్ ఇంజిన్ మరియు గూగుల్ కుబెర్నెట్లలో తెలిసిన దుర్బలత్వాల కోసం (XSS, ఫ్లాష్ ఇంజెక్షన్, అన్ప్యాచ్డ్ లైబ్రరీలు మొదలైనవి) స్కానర్.
- క్లౌడ్ IAM - అన్ని GCP వనరులకు యాక్సెస్ని నియంత్రించండి.
- క్లౌడ్ గుర్తింపు - GCP వినియోగదారు, పరికరం మరియు అప్లికేషన్ ఖాతాలను ఒకే కన్సోల్ నుండి నిర్వహించండి.
- క్లౌడ్ HSM - క్రిప్టోగ్రాఫిక్ కీల రక్షణ.
- క్లౌడ్ కీ మేనేజ్మెంట్ సర్వీస్ - GCPలో క్రిప్టోగ్రాఫిక్ కీల నిర్వహణ.
- VPC సేవా నియంత్రణ - మీ GCP వనరులను లీక్ల నుండి రక్షించడానికి వాటి చుట్టూ సురక్షితమైన చుట్టుకొలతను సృష్టించండి.
- టైటాన్ సెక్యూరిటీ కీ - ఫిషింగ్ నుండి రక్షణ.
ఈ మాడ్యూళ్ళలో చాలా భద్రతా ఈవెంట్లను ఉత్పత్తి చేస్తాయి, వీటిని విశ్లేషణ కోసం BigQuery నిల్వకు పంపవచ్చు లేదా SIEMతో సహా ఇతర సిస్టమ్లకు ఎగుమతి చేయవచ్చు. పైన పేర్కొన్నట్లుగా, GCP అనేది చురుకుగా అభివృద్ధి చెందుతున్న ప్లాట్ఫారమ్ మరియు Google ఇప్పుడు దాని ప్లాట్ఫారమ్ కోసం అనేక కొత్త సమాచార భద్రతా మాడ్యూల్లను అభివృద్ధి చేస్తోంది. వాటిలో ఈవెంట్ థ్రెట్ డిటెక్షన్ (ఇప్పుడు బీటాలో అందుబాటులో ఉంది), ఇది స్టాక్డ్రైవర్ లాగ్లను అనధికారిక కార్యాచరణ (AWSలో గార్డ్డ్యూటీకి సారూప్యంగా ఉంటుంది) లేదా పాలసీ ఇంటెలిజెన్స్ (ఆల్ఫాలో అందుబాటులో ఉంది) యొక్క జాడల కోసం స్కాన్ చేస్తుంది, దీని కోసం తెలివైన విధానాలను అభివృద్ధి చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. GCP వనరులకు యాక్సెస్.
నేను జనాదరణ పొందిన క్లౌడ్ ప్లాట్ఫారమ్లలోని అంతర్నిర్మిత పర్యవేక్షణ సామర్థ్యాల యొక్క చిన్న అవలోకనాన్ని చేసాను. కానీ "రా" IaaS ప్రొవైడర్ లాగ్లతో (AWS లేదా Azure లేదా Google యొక్క అధునాతన సామర్థ్యాలను కొనుగోలు చేయడానికి ప్రతి ఒక్కరూ సిద్ధంగా లేరు) పని చేయగల నిపుణులను కలిగి ఉన్నారా? అదనంగా, చాలా మందికి “నమ్మండి, కానీ ధృవీకరించండి” అనే సామెత సుపరిచితం, ఇది భద్రతా రంగంలో గతంలో కంటే నిజం. మీకు సమాచార భద్రతా ఈవెంట్లను పంపే క్లౌడ్ ప్రొవైడర్ యొక్క అంతర్నిర్మిత సామర్థ్యాలను మీరు ఎంతవరకు విశ్వసిస్తున్నారు? వారు సమాచార భద్రతపై ఎంత దృష్టి పెట్టారు?
కొన్నిసార్లు అంతర్నిర్మిత క్లౌడ్ భద్రతను పూర్తి చేయగల ఓవర్లే క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ మానిటరింగ్ సొల్యూషన్లను చూడటం విలువైనదే, మరియు కొన్నిసార్లు క్లౌడ్లో హోస్ట్ చేయబడిన మీ డేటా మరియు అప్లికేషన్ల భద్రతపై అంతర్దృష్టిని పొందడానికి ఇటువంటి పరిష్కారాలు మాత్రమే ఎంపిక. అదనంగా, అవి చాలా సౌకర్యవంతంగా ఉంటాయి, ఎందుకంటే వివిధ క్లౌడ్ ప్రొవైడర్ల నుండి వివిధ క్లౌడ్ సేవల ద్వారా ఉత్పత్తి చేయబడిన అవసరమైన లాగ్లను విశ్లేషించే అన్ని పనులను వారు తీసుకుంటారు. అటువంటి అతివ్యాప్తి పరిష్కారానికి ఉదాహరణ సిస్కో స్టీల్త్వాచ్ క్లౌడ్, ఇది ఒకే పనిపై దృష్టి సారించింది - Amazon AWS, Microsoft Azure మరియు Google క్లౌడ్ ప్లాట్ఫారమ్ మాత్రమే కాకుండా ప్రైవేట్ క్లౌడ్లతో సహా క్లౌడ్ పరిసరాలలో సమాచార భద్రతా క్రమరాహిత్యాలను పర్యవేక్షించడం.
ఉదాహరణ: స్టెల్త్వాచ్ క్లౌడ్ని ఉపయోగించి ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్
AWS అనువైన కంప్యూటింగ్ ప్లాట్ఫారమ్ను అందిస్తుంది, అయితే ఈ సౌలభ్యం భద్రతా సమస్యలకు దారితీసే తప్పులను కంపెనీలకు సులభతరం చేస్తుంది. మరియు షేర్డ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ మోడల్ దీనికి మాత్రమే దోహదపడుతుంది. తెలియని దుర్బలత్వాలతో క్లౌడ్లో సాఫ్ట్వేర్ను అమలు చేయడం (తెలిసిన వాటిని ఎదుర్కోవచ్చు, ఉదాహరణకు, AWS ఇన్స్పెక్టర్ లేదా GCP క్లౌడ్ స్కానర్), బలహీనమైన పాస్వర్డ్లు, తప్పు కాన్ఫిగరేషన్లు, ఇన్సైడర్లు మొదలైనవి. మరియు ఇవన్నీ క్లౌడ్ వనరుల ప్రవర్తనలో ప్రతిబింబిస్తాయి, ఇది సిస్కో స్టీల్త్వాచ్ క్లౌడ్ ద్వారా పర్యవేక్షించబడుతుంది, ఇది సమాచార భద్రతా పర్యవేక్షణ మరియు దాడిని గుర్తించే వ్యవస్థ. పబ్లిక్ మరియు ప్రైవేట్ మేఘాలు.
సిస్కో స్టెల్త్వాచ్ క్లౌడ్ యొక్క ముఖ్య లక్షణాలలో ఒకటి మోడల్ ఎంటిటీల సామర్థ్యం. దానితో, మీరు మీ ప్రతి క్లౌడ్ రిసోర్స్ల (అది AWS, Azure, GCP లేదా మరేదైనా అయినా పట్టింపు లేదు) సాఫ్ట్వేర్ మోడల్ను (అంటే, సమీప నిజ-సమయ అనుకరణ) సృష్టించవచ్చు. వీటిలో సర్వర్లు మరియు వినియోగదారులు అలాగే మీ క్లౌడ్ పర్యావరణానికి నిర్దిష్టమైన భద్రతా సమూహాలు మరియు స్వీయ-స్థాయి సమూహాలు వంటి వనరుల రకాలు ఉంటాయి. ఈ నమూనాలు క్లౌడ్ సేవల ద్వారా అందించబడిన నిర్మాణాత్మక డేటా స్ట్రీమ్లను ఇన్పుట్గా ఉపయోగిస్తాయి. ఉదాహరణకు, AWS కోసం ఇవి VPC ఫ్లో లాగ్లు, AWS CloudTrail, AWS క్లౌడ్వాచ్, AWS కాన్ఫిగ్, AWS ఇన్స్పెక్టర్, AWS లాంబ్డా మరియు AWS IAM. ఎంటిటీ మోడలింగ్ మీ వనరులలో ఏదైనా పాత్ర మరియు ప్రవర్తనను స్వయంచాలకంగా కనుగొంటుంది (మీరు అన్ని క్లౌడ్ కార్యాచరణను ప్రొఫైలింగ్ చేయడం గురించి మాట్లాడవచ్చు). ఈ పాత్రలలో Android లేదా Apple మొబైల్ పరికరం, Citrix PVS సర్వర్, RDP సర్వర్, మెయిల్ గేట్వే, VoIP క్లయింట్, టెర్మినల్ సర్వర్, డొమైన్ కంట్రోలర్ మొదలైనవి ఉన్నాయి. ప్రమాదకర లేదా భద్రతకు ముప్పు కలిగించే ప్రవర్తన ఎప్పుడు సంభవిస్తుందో తెలుసుకోవడానికి ఇది వారి ప్రవర్తనను నిరంతరం పర్యవేక్షిస్తుంది. మీరు పాస్వర్డ్ ఊహించడం, DDoS దాడులు, డేటా లీక్లు, అక్రమ రిమోట్ యాక్సెస్, హానికరమైన కోడ్ యాక్టివిటీ, వల్నరబిలిటీ స్కానింగ్ మరియు ఇతర బెదిరింపులను గుర్తించవచ్చు. ఉదాహరణకు, SSH ద్వారా మీ సంస్థ (దక్షిణ కొరియా) కోసం వైవిధ్యమైన దేశం నుండి కుబెర్నెట్స్ క్లస్టర్కి రిమోట్ యాక్సెస్ ప్రయత్నాన్ని గుర్తించడం ఇలా కనిపిస్తుంది:
పోస్ట్గ్రెస్ డేటాబేస్ నుండి మేము ఇంతకు ముందు పరస్పర చర్యను ఎదుర్కోని దేశానికి ఆరోపించిన సమాచారం లీక్ కావడం ఇలా కనిపిస్తుంది:
చివరగా, బాహ్య రిమోట్ పరికరం నుండి చైనా మరియు ఇండోనేషియా నుండి అనేక విఫలమైన SSH ప్రయత్నాలు ఇలా ఉన్నాయి:
లేదా, VPCలోని సర్వర్ ఉదాహరణ, విధానం ప్రకారం, రిమోట్ లాగిన్ గమ్యస్థానంగా ఉండకూడదు. ఫైర్వాల్ నియమాల విధానంలో ఒక తప్పు మార్పు కారణంగా ఈ కంప్యూటర్ రిమోట్ లాగిన్ను అనుభవించిందని అనుకుందాం. ఎంటిటీ మోడలింగ్ ఫీచర్ ఈ యాక్టివిటీని (“అసాధారణ రిమోట్ యాక్సెస్”) నిజ సమయంలో గుర్తించి, నివేదిస్తుంది మరియు నిర్దిష్ట AWS CloudTrail, Azure Monitor లేదా GCP Stackdriver లాగింగ్ API కాల్కి (వినియోగదారు పేరు, తేదీ మరియు సమయంతో సహా, ఇతర వివరాలతో సహా) పాయింట్ చేస్తుంది. ).ఇది ITU నియమానికి మార్పును ప్రేరేపించింది. ఆపై ఈ సమాచారాన్ని విశ్లేషణ కోసం SIEMకి పంపవచ్చు.
Cisco Stealthwatch Cloud ద్వారా మద్దతిచ్చే ఏదైనా క్లౌడ్ వాతావరణం కోసం ఇలాంటి సామర్థ్యాలు అమలు చేయబడతాయి:
ఎంటిటీ మోడలింగ్ అనేది మీ వ్యక్తులు, ప్రక్రియలు లేదా సాంకేతికతతో మునుపు తెలియని సమస్యను వెలికితీసే భద్రతా ఆటోమేషన్ యొక్క ప్రత్యేకమైన రూపం. ఉదాహరణకు, ఇతర విషయాలతోపాటు, భద్రతా సమస్యలను గుర్తించడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది:
- మనం ఉపయోగించే సాఫ్ట్వేర్లో ఎవరైనా బ్యాక్డోర్ని కనుగొన్నారా?
- మా క్లౌడ్లో ఏదైనా మూడవ పార్టీ సాఫ్ట్వేర్ లేదా పరికరం ఉందా?
- అధికార వినియోగదారు అధికారాలను దుర్వినియోగం చేస్తున్నారా?
- రిమోట్ యాక్సెస్ లేదా ఇతర అనాలోచిత వనరుల వినియోగాన్ని అనుమతించే కాన్ఫిగరేషన్ లోపం ఉందా?
- మా సర్వర్ల నుండి డేటా లీక్ అయిందా?
- విలక్షణమైన భౌగోళిక స్థానం నుండి ఎవరైనా మమ్మల్ని కనెక్ట్ చేయడానికి ప్రయత్నిస్తున్నారా?
- మా క్లౌడ్ హానికరమైన కోడ్తో సోకిందా?
గుర్తించబడిన సమాచార భద్రతా ఈవెంట్ను సంబంధిత టిక్కెట్ రూపంలో స్లాక్, సిస్కో స్పార్క్, పేజర్డ్యూటీ ఇన్సిడెంట్ మేనేజ్మెంట్ సిస్టమ్కి పంపవచ్చు మరియు స్ప్లంక్ లేదా ELKతో సహా వివిధ SIEMలకు కూడా పంపబడుతుంది. సంగ్రహంగా చెప్పాలంటే, మీ కంపెనీ బహుళ-క్లౌడ్ వ్యూహాన్ని ఉపయోగిస్తుంటే మరియు ఏ ఒక్క క్లౌడ్ ప్రొవైడర్కు మాత్రమే పరిమితం కానట్లయితే, పైన వివరించిన సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలు, సిస్కో స్టీల్త్వాచ్ క్లౌడ్ని ఉపయోగించడం అనేది ఏకీకృత పర్యవేక్షణ సెట్ను పొందడానికి మంచి ఎంపిక అని మేము చెప్పగలం. ప్రముఖ క్లౌడ్ ప్లేయర్ల సామర్థ్యాలు - Amazon , Microsoft మరియు Google. అత్యంత ఆసక్తికరమైన విషయం ఏమిటంటే, మీరు AWS, Azure లేదా GCPలో ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ కోసం అధునాతన లైసెన్స్లతో Stealthwatch క్లౌడ్ ధరలను పోల్చినట్లయితే, Cisco సొల్యూషన్ అమెజాన్, మైక్రోసాఫ్ట్ యొక్క అంతర్నిర్మిత సామర్థ్యాల కంటే చౌకగా ఉంటుందని తేలింది. మరియు Google పరిష్కారాలు. ఇది విరుద్ధమైనది, కానీ ఇది నిజం. మరియు మీరు ఉపయోగించే ఎక్కువ మేఘాలు మరియు వాటి సామర్థ్యాలు, ఏకీకృత పరిష్కారం యొక్క ప్రయోజనం మరింత స్పష్టంగా ఉంటుంది.
అదనంగా, Stealthwatch Cloud మీ సంస్థలో అమర్చబడిన ప్రైవేట్ క్లౌడ్లను పర్యవేక్షించగలదు, ఉదాహరణకు, Kubernetes కంటైనర్ల ఆధారంగా లేదా నెట్ఫ్లో ఫ్లోలను పర్యవేక్షించడం లేదా నెట్వర్క్ పరికరాలు (దేశీయంగా ఉత్పత్తి చేయబడినవి కూడా), AD డేటా లేదా DNS సర్వర్లలో ప్రతిబింబించడం ద్వారా అందుకున్న నెట్వర్క్ ట్రాఫిక్ను పర్యవేక్షించడం. ప్రపంచంలోనే అతిపెద్ద ప్రభుత్వేతర సైబర్ సెక్యూరిటీ థ్రెట్ పరిశోధకుల సమూహం అయిన సిస్కో టాలోస్ సేకరించిన థ్రెట్ ఇంటెలిజెన్స్ సమాచారంతో ఈ డేటా మొత్తం సమృద్ధిగా ఉంటుంది.
ఇది మీ కంపెనీ ఉపయోగించే పబ్లిక్ మరియు హైబ్రిడ్ క్లౌడ్ల కోసం ఏకీకృత పర్యవేక్షణ వ్యవస్థను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సేకరించిన సమాచారాన్ని Stealthwatch Cloud యొక్క అంతర్నిర్మిత సామర్థ్యాలను ఉపయోగించి విశ్లేషించవచ్చు లేదా మీ SIEMకి పంపవచ్చు (Splunk, ELK, SumoLogic మరియు అనేక ఇతర వాటికి డిఫాల్ట్గా మద్దతు ఉంది).
దీనితో, మేము కథనం యొక్క మొదటి భాగాన్ని పూర్తి చేస్తాము, దీనిలో IaaS/PaaS ప్లాట్ఫారమ్ల సమాచార భద్రతను పర్యవేక్షించడం కోసం అంతర్నిర్మిత మరియు బాహ్య సాధనాలను సమీక్షించాను, ఇది క్లౌడ్ పరిసరాలలో సంభవించే సంఘటనలను త్వరగా గుర్తించడానికి మరియు ప్రతిస్పందించడానికి అనుమతిస్తుంది. మా సంస్థ ఎంపిక చేసింది. రెండవ భాగంలో, మేము టాపిక్ను కొనసాగిస్తాము మరియు సేల్స్ఫోర్స్ మరియు డ్రాప్బాక్స్ ఉదాహరణను ఉపయోగించి SaaS ప్లాట్ఫారమ్లను పర్యవేక్షించడానికి ఎంపికలను పరిశీలిస్తాము మరియు మేము వివిధ క్లౌడ్ ప్రొవైడర్ల కోసం ఏకీకృత సమాచార భద్రతా పర్యవేక్షణ వ్యవస్థను సృష్టించడం ద్వారా అన్నింటినీ సంగ్రహించడానికి మరియు కలిసి ఉంచడానికి కూడా ప్రయత్నిస్తాము.
మూలం: www.habr.com