ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

డేటా మరియు అప్లికేషన్‌లను క్లౌడ్‌కి తరలించడం అనేది కార్పొరేట్ SOCలకు కొత్త సవాలును అందిస్తుంది, ఇవి ఇతరుల మౌలిక సదుపాయాలను పర్యవేక్షించడానికి ఎల్లప్పుడూ సిద్ధంగా ఉండవు. Netoskope ప్రకారం, సగటు సంస్థ (స్పష్టంగా USలో) 1246 విభిన్న క్లౌడ్ సేవలను ఉపయోగిస్తుంది, ఇది ఒక సంవత్సరం క్రితం కంటే 22% ఎక్కువ. 1246 క్లౌడ్ సేవలు!!! వాటిలో 175 HR సేవలకు సంబంధించినవి, 170 మార్కెటింగ్‌కు సంబంధించినవి, 110 కమ్యూనికేషన్స్ రంగంలో మరియు 76 ఫైనాన్స్ మరియు CRMకి సంబంధించినవి. సిస్కో "మాత్రమే" 700 బాహ్య క్లౌడ్ సేవలను ఉపయోగిస్తుంది. కాబట్టి ఈ సంఖ్యలతో నేను కొంచెం గందరగోళంగా ఉన్నాను. ఏదేమైనా, సమస్య వారితో కాదు, కానీ క్లౌడ్ తమ సొంత నెట్‌వర్క్‌లో వలె క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను పర్యవేక్షించడానికి అదే సామర్థ్యాలను కలిగి ఉండాలని కోరుకునే పెరుగుతున్న కంపెనీలచే క్లౌడ్ చాలా చురుకుగా ఉపయోగించడం ప్రారంభించింది. మరియు ఈ ధోరణి పెరుగుతోంది - ప్రకారం అమెరికన్ ఛాంబర్ ఆఫ్ అకౌంట్స్ ప్రకారం 2023 నాటికి, యునైటెడ్ స్టేట్స్‌లో 1200 డేటా సెంటర్‌లు మూసివేయబడతాయి (6250 ఇప్పటికే మూసివేయబడ్డాయి). కానీ క్లౌడ్‌కు పరివర్తన అనేది కేవలం "మా సర్వర్‌లను బాహ్య ప్రొవైడర్‌కి తరలిద్దాం" మాత్రమే కాదు. కొత్త ఐటీ ఆర్కిటెక్చర్, కొత్త సాఫ్ట్‌వేర్, కొత్త ప్రక్రియలు, కొత్త పరిమితులు.. ఇవన్నీ ఐటీ మాత్రమే కాకుండా ఇన్ఫర్మేషన్ సెక్యూరిటీ పనిలో కూడా గణనీయమైన మార్పులను తెస్తాయి. క్లౌడ్ యొక్క భద్రతను నిర్ధారించడంలో ప్రొవైడర్లు ఏదో ఒకవిధంగా నేర్చుకుంటే (అదృష్టవశాత్తూ చాలా సిఫార్సులు ఉన్నాయి), అప్పుడు క్లౌడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ పర్యవేక్షణతో, ముఖ్యంగా SaaS ప్లాట్‌ఫారమ్‌లలో, ముఖ్యమైన ఇబ్బందులు ఉన్నాయి, వాటి గురించి మేము మాట్లాడుతాము.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

మీ కంపెనీ తన ఇన్‌ఫ్రాస్ట్రక్చర్‌లో కొంత భాగాన్ని క్లౌడ్‌కి తరలించిందని అనుకుందాం... ఆపు. ఈ విధంగా కాదు. ఇన్‌ఫ్రాస్ట్రక్చర్ బదిలీ చేయబడి, దాన్ని ఎలా పర్యవేక్షిస్తారనే దాని గురించి మీరు ఇప్పుడు ఆలోచిస్తుంటే, మీరు ఇప్పటికే కోల్పోయారు. ఇది Amazon, Google లేదా Microsoft (తర్వాత రిజర్వేషన్‌లతో) తప్ప, మీ డేటా మరియు అప్లికేషన్‌లను పర్యవేక్షించే సామర్థ్యం మీకు ఎక్కువగా ఉండదు. లాగ్‌లతో పని చేయడానికి మీకు అవకాశం ఇస్తే మంచిది. కొన్నిసార్లు భద్రతా ఈవెంట్ డేటా అందుబాటులో ఉంటుంది, కానీ మీరు దానికి యాక్సెస్‌ను కలిగి ఉండరు. ఉదాహరణకు, Office 365. మీరు చౌకైన E1 లైసెన్స్‌ని కలిగి ఉంటే, భద్రతా ఈవెంట్‌లు మీకు అస్సలు అందుబాటులో ఉండవు. మీకు E3 లైసెన్స్ ఉన్నట్లయితే, మీ డేటా కేవలం 90 రోజులు మాత్రమే నిల్వ చేయబడుతుంది మరియు మీకు E5 లైసెన్స్ ఉంటే మాత్రమే, లాగ్‌ల వ్యవధి ఒక సంవత్సరం పాటు అందుబాటులో ఉంటుంది (అయితే, ఇది విడిగా చేయవలసిన అవసరానికి సంబంధించిన దాని స్వంత సూక్ష్మ నైపుణ్యాలను కూడా కలిగి ఉంటుంది. Microsoft మద్దతు నుండి లాగ్‌లతో పని చేయడానికి అనేక విధులను అభ్యర్థించండి). మార్గం ద్వారా, కార్పొరేట్ ఎక్స్ఛేంజ్ కంటే E3 లైసెన్స్ పర్యవేక్షణ ఫంక్షన్ల పరంగా చాలా బలహీనంగా ఉంది. అదే స్థాయిని సాధించడానికి, మీకు E5 లైసెన్స్ లేదా అదనపు అడ్వాన్స్‌డ్ కంప్లయన్స్ లైసెన్స్ అవసరం, క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌కి వెళ్లడం కోసం మీ ఆర్థిక నమూనాలో చేర్చబడని అదనపు డబ్బు అవసరం కావచ్చు. మరియు క్లౌడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్‌కు సంబంధించిన సమస్యలను తక్కువగా అంచనా వేయడానికి ఇది ఒక ఉదాహరణ మాత్రమే. ఈ వ్యాసంలో, పూర్తి ఉన్నట్లు నటించకుండా, భద్రతా కోణం నుండి క్లౌడ్ ప్రొవైడర్‌ను ఎన్నుకునేటప్పుడు పరిగణనలోకి తీసుకోవలసిన కొన్ని సూక్ష్మ నైపుణ్యాలకు నేను దృష్టిని ఆకర్షించాలనుకుంటున్నాను. మరియు వ్యాసం చివరలో, క్లౌడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీని పర్యవేక్షించే సమస్య పరిష్కరించబడిందని పరిగణనలోకి తీసుకునే ముందు పూర్తి చేయడానికి విలువైన చెక్‌లిస్ట్ ఇవ్వబడుతుంది.

క్లౌడ్ పరిసరాలలో సంఘటనలకు దారితీసే అనేక విలక్షణమైన సమస్యలు ఉన్నాయి, వీటికి సమాచార భద్రతా సేవలకు ప్రతిస్పందించడానికి సమయం లేదు లేదా వాటిని అస్సలు చూడలేరు:

  • భద్రతా లాగ్‌లు లేవు. ఇది చాలా సాధారణ పరిస్థితి, ముఖ్యంగా క్లౌడ్ సొల్యూషన్స్ మార్కెట్‌లోని అనుభవం లేని ఆటగాళ్లలో. కానీ మీరు వాటిని వెంటనే వదులుకోకూడదు. చిన్న ఆటగాళ్ళు, ముఖ్యంగా దేశీయ వ్యక్తులు, కస్టమర్ అవసరాలకు మరింత సున్నితంగా ఉంటారు మరియు వారి ఉత్పత్తుల కోసం ఆమోదించబడిన రోడ్‌మ్యాప్‌ను మార్చడం ద్వారా అవసరమైన కొన్ని ఫంక్షన్‌లను త్వరగా అమలు చేయవచ్చు. అవును, ఇది Amazon నుండి GuardDuty యొక్క అనలాగ్ లేదా Bitrix నుండి "ప్రోయాక్టివ్ ప్రొటెక్షన్" మాడ్యూల్ కాదు, కానీ కనీసం ఏదైనా.
  • లాగ్‌లు ఎక్కడ నిల్వ చేయబడతాయో సమాచార భద్రతకు తెలియదు లేదా వాటికి ప్రాప్యత లేదు. క్లౌడ్ సర్వీస్ ప్రొవైడర్‌తో చర్చలు జరపడం ఇక్కడ అవసరం - బహుశా అతను క్లయింట్‌ను తనకు ముఖ్యమైనదిగా పరిగణించినట్లయితే అతను అలాంటి సమాచారాన్ని అందిస్తాడు. కానీ సాధారణంగా, లాగ్‌లకు యాక్సెస్ "ప్రత్యేక నిర్ణయం ద్వారా" అందించబడినప్పుడు ఇది చాలా మంచిది కాదు.
  • క్లౌడ్ ప్రొవైడర్ లాగ్‌లను కలిగి ఉండటం కూడా జరుగుతుంది, కానీ అవి పరిమిత పర్యవేక్షణ మరియు ఈవెంట్ రికార్డింగ్‌ను అందిస్తాయి, ఇవి అన్ని సంఘటనలను గుర్తించడానికి సరిపోవు. ఉదాహరణకు, మీరు వెబ్‌సైట్‌లో మార్పుల లాగ్‌లను లేదా వినియోగదారు ప్రామాణీకరణ ప్రయత్నాల లాగ్‌లను మాత్రమే స్వీకరించవచ్చు, కానీ నెట్‌వర్క్ ట్రాఫిక్ వంటి ఇతర ఈవెంట్‌లు కాదు, ఇది మీ క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను హ్యాక్ చేసే ప్రయత్నాలను వివరించే ఈవెంట్‌ల మొత్తం పొరను మీ నుండి దాచిపెడుతుంది.
  • లాగ్‌లు ఉన్నాయి, కానీ వాటికి యాక్సెస్ ఆటోమేట్ చేయడం కష్టం, ఇది వాటిని నిరంతరంగా కాకుండా షెడ్యూల్‌లో పర్యవేక్షించడానికి బలవంతం చేస్తుంది. మరియు మీరు లాగ్‌లను స్వయంచాలకంగా డౌన్‌లోడ్ చేయలేకపోతే, లాగ్‌లను డౌన్‌లోడ్ చేయడం, ఉదాహరణకు, Excel ఫార్మాట్‌లో (అనేక దేశీయ క్లౌడ్ సొల్యూషన్ ప్రొవైడర్‌ల మాదిరిగానే), కార్పొరేట్ సమాచార భద్రతా సేవ వారితో టింకర్ చేయడానికి విముఖతకు దారితీయవచ్చు.
  • లాగ్ పర్యవేక్షణ లేదు. క్లౌడ్ పరిసరాలలో సమాచార భద్రతా సంఘటనలు సంభవించడానికి ఇది చాలా అస్పష్టమైన కారణం కావచ్చు. లాగ్‌లు ఉన్నట్లు అనిపిస్తుంది మరియు వాటికి యాక్సెస్‌ను ఆటోమేట్ చేయడం సాధ్యమవుతుంది, కానీ ఎవరూ దీన్ని చేయరు. ఎందుకు?

షేర్డ్ క్లౌడ్ సెక్యూరిటీ కాన్సెప్ట్

క్లౌడ్‌కు మార్పు అనేది ఎల్లప్పుడూ మౌలిక సదుపాయాలపై నియంత్రణను కొనసాగించాలనే కోరిక మరియు దానిని నిర్వహించడంలో నైపుణ్యం కలిగిన క్లౌడ్ ప్రొవైడర్ యొక్క మరింత వృత్తిపరమైన చేతులకు బదిలీ చేయడం మధ్య సమతుల్యత కోసం అన్వేషణ. మరియు క్లౌడ్ సెక్యూరిటీ రంగంలో, ఈ బ్యాలెన్స్ కూడా వెతకాలి. అంతేకాకుండా, ఉపయోగించిన క్లౌడ్ సర్వీస్ డెలివరీ మోడల్ (IaaS, PaaS, SaaS) ఆధారంగా, ఈ బ్యాలెన్స్ అన్ని సమయాలలో భిన్నంగా ఉంటుంది. ఏది ఏమైనప్పటికీ, ఈ రోజు క్లౌడ్ ప్రొవైడర్లందరూ భాగస్వామ్య బాధ్యత మరియు భాగస్వామ్య సమాచార భద్రతా నమూనా అని పిలవబడే వాటిని అనుసరిస్తారని మనం గుర్తుంచుకోవాలి. క్లౌడ్ కొన్ని విషయాలకు బాధ్యత వహిస్తుంది మరియు మరికొన్నింటికి క్లయింట్ బాధ్యత వహిస్తాడు, అతని డేటా, అతని అప్లికేషన్‌లు, అతని వర్చువల్ మిషన్లు మరియు ఇతర వనరులను క్లౌడ్‌లో ఉంచడం. క్లౌడ్‌కి వెళ్లడం ద్వారా, మేము అన్ని బాధ్యతలను ప్రొవైడర్‌కు మారుస్తామని ఆశించడం నిర్లక్ష్యంగా ఉంటుంది. కానీ క్లౌడ్‌కి వెళ్లేటప్పుడు భద్రతను మీరే నిర్మించుకోవడం కూడా తెలివితక్కువ పని. బ్యాలెన్స్ అవసరం, ఇది అనేక అంశాలపై ఆధారపడి ఉంటుంది: - రిస్క్ మేనేజ్‌మెంట్ వ్యూహం, ముప్పు మోడల్, క్లౌడ్ ప్రొవైడర్‌కు అందుబాటులో ఉన్న భద్రతా విధానాలు, చట్టం మొదలైనవి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ఉదాహరణకు, క్లౌడ్‌లో హోస్ట్ చేయబడిన డేటా వర్గీకరణ ఎల్లప్పుడూ కస్టమర్ యొక్క బాధ్యత. క్లౌడ్ ప్రొవైడర్ లేదా బాహ్య సేవా ప్రదాత క్లౌడ్‌లో డేటాను గుర్తించడం, ఉల్లంఘనలను గుర్తించడం, చట్టాన్ని ఉల్లంఘించే డేటాను తొలగించడం లేదా ఏదో ఒక పద్ధతిని ఉపయోగించి దానిని మాస్క్ చేయడంలో సహాయపడే సాధనాలతో మాత్రమే అతనికి సహాయం చేయగలరు. మరోవైపు, భౌతిక భద్రత ఎల్లప్పుడూ క్లౌడ్ ప్రొవైడర్ యొక్క బాధ్యత, ఇది క్లయింట్‌లతో భాగస్వామ్యం చేయదు. కానీ డేటా మరియు భౌతిక మౌలిక సదుపాయాల మధ్య ఉన్న ప్రతిదీ ఈ వ్యాసంలో ఖచ్చితంగా చర్చనీయాంశం. ఉదాహరణకు, క్లౌడ్ యొక్క లభ్యత ప్రొవైడర్ యొక్క బాధ్యత, మరియు ఫైర్‌వాల్ నియమాలను సెటప్ చేయడం లేదా ఎన్‌క్రిప్షన్‌ను ప్రారంభించడం క్లయింట్ యొక్క బాధ్యత. ఈ వ్యాసంలో, రష్యాలోని వివిధ ప్రముఖ క్లౌడ్ ప్రొవైడర్లు ఈ రోజు ఏ సమాచార భద్రతా పర్యవేక్షణ మెకానిజమ్‌లను అందించారు, వాటి ఉపయోగం యొక్క లక్షణాలు ఏమిటి మరియు బాహ్య అతివ్యాప్తి పరిష్కారాల వైపు చూడటం విలువైనది (ఉదాహరణకు, సిస్కో ఇ- మెయిల్ సెక్యూరిటీ) సైబర్ సెక్యూరిటీ పరంగా మీ క్లౌడ్ సామర్థ్యాలను విస్తరింపజేస్తుంది. కొన్ని సందర్భాల్లో, ప్రత్యేకించి మీరు బహుళ-క్లౌడ్ వ్యూహాన్ని అనుసరిస్తుంటే, ఒకేసారి అనేక క్లౌడ్ పరిసరాలలో (ఉదాహరణకు, Cisco CloudLock లేదా Cisco Stealthwatch Cloud) బాహ్య సమాచార భద్రతా పర్యవేక్షణ పరిష్కారాలను ఉపయోగించడం మినహా మీకు వేరే మార్గం ఉండదు. సరే, కొన్ని సందర్భాల్లో మీరు ఎంచుకున్న క్లౌడ్ ప్రొవైడర్ (లేదా మీపై విధించిన) ఎలాంటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలను అందించదని మీరు గ్రహిస్తారు. ఇది అసహ్యకరమైనది, కానీ కొంచెం కూడా కాదు, ఎందుకంటే ఈ క్లౌడ్‌తో పనిచేయడానికి సంబంధించిన ప్రమాద స్థాయిని తగినంతగా అంచనా వేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్ లైఫ్‌సైకిల్

మీరు ఉపయోగించే మేఘాల భద్రతను పర్యవేక్షించడానికి, మీకు మూడు ఎంపికలు మాత్రమే ఉన్నాయి:

  • మీ క్లౌడ్ ప్రొవైడర్ అందించిన సాధనాలపై ఆధారపడండి,
  • మీరు ఉపయోగించే IaaS, PaaS లేదా SaaS ప్లాట్‌ఫారమ్‌లను పర్యవేక్షించే మూడవ పక్షాల నుండి పరిష్కారాలను ఉపయోగించండి,
  • మీ స్వంత క్లౌడ్ మానిటరింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను రూపొందించుకోండి (IaaS/PaaS ప్లాట్‌ఫారమ్‌ల కోసం మాత్రమే).

ఈ ఎంపికలలో ప్రతి ఒక్కటి ఏ లక్షణాలను కలిగి ఉందో చూద్దాం. అయితే ముందుగా, క్లౌడ్ ప్లాట్‌ఫారమ్‌లను పర్యవేక్షించేటప్పుడు ఉపయోగించబడే సాధారణ ఫ్రేమ్‌వర్క్‌ను మనం అర్థం చేసుకోవాలి. నేను క్లౌడ్‌లో సమాచార భద్రతా పర్యవేక్షణ ప్రక్రియ యొక్క 6 ప్రధాన భాగాలను హైలైట్ చేస్తాను:

  • మౌలిక సదుపాయాల తయారీ. నిల్వలో సమాచార భద్రత కోసం ముఖ్యమైన ఈవెంట్‌లను సేకరించడానికి అవసరమైన అప్లికేషన్‌లు మరియు మౌలిక సదుపాయాలను నిర్ణయించడం.
  • సేకరణ. ఈ దశలో, ప్రాసెసింగ్, నిల్వ మరియు విశ్లేషణ కోసం తదుపరి ప్రసారం కోసం భద్రతా సంఘటనలు వివిధ మూలాల నుండి సమగ్రపరచబడతాయి.
  • చికిత్స. ఈ దశలో, తదుపరి విశ్లేషణను సులభతరం చేయడానికి డేటా రూపాంతరం చెందుతుంది మరియు మెరుగుపరచబడుతుంది.
  • నిల్వ. సేకరించిన ప్రాసెస్ చేయబడిన మరియు ముడి డేటా యొక్క స్వల్పకాలిక మరియు దీర్ఘకాలిక నిల్వకు ఈ భాగం బాధ్యత వహిస్తుంది.
  • విశ్లేషణ. ఈ దశలో, మీరు సంఘటనలను గుర్తించి, వాటికి స్వయంచాలకంగా లేదా మాన్యువల్‌గా ప్రతిస్పందించే సామర్థ్యాన్ని కలిగి ఉంటారు.
  • నివేదించడం. ఈ దశ వాటాదారుల (నిర్వహణ, ఆడిటర్లు, క్లౌడ్ ప్రొవైడర్, క్లయింట్లు మొదలైనవి) కోసం కీలక సూచికలను రూపొందించడంలో సహాయపడుతుంది, ఇది మాకు నిర్దిష్ట నిర్ణయాలు తీసుకోవడంలో సహాయపడుతుంది, ఉదాహరణకు, ప్రొవైడర్‌ను మార్చడం లేదా సమాచార భద్రతను బలోపేతం చేయడం.

ఈ భాగాలను అర్థం చేసుకోవడం వల్ల భవిష్యత్తులో మీరు మీ ప్రొవైడర్ నుండి ఏమి తీసుకోవచ్చు మరియు మీరే లేదా బాహ్య కన్సల్టెంట్‌ల ప్రమేయంతో మీరు ఏమి చేయాలి అని త్వరగా నిర్ణయించుకోవడానికి మిమ్మల్ని అనుమతిస్తుంది.

అంతర్నిర్మిత క్లౌడ్ సేవలు

ఈ రోజు అనేక క్లౌడ్ సేవలు ఎటువంటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలను అందించడం లేదని నేను ఇప్పటికే పైన వ్రాసాను. సాధారణంగా, వారు సమాచార భద్రత అంశంపై ఎక్కువ శ్రద్ధ చూపరు. ఉదాహరణకు, ఇంటర్నెట్ ద్వారా ప్రభుత్వ సంస్థలకు నివేదికలను పంపడానికి ప్రసిద్ధ రష్యన్ సేవలలో ఒకటి (నేను దాని పేరును ప్రత్యేకంగా పేర్కొనను). ఈ సేవ యొక్క భద్రతకు సంబంధించిన మొత్తం విభాగం ధృవీకరించబడిన CIPF వినియోగం చుట్టూ తిరుగుతుంది. ఎలక్ట్రానిక్ డాక్యుమెంట్ మేనేజ్‌మెంట్ కోసం మరొక దేశీయ క్లౌడ్ సేవ యొక్క సమాచార భద్రతా విభాగం భిన్నంగా లేదు. ఇది పబ్లిక్ కీ సర్టిఫికేట్‌లు, ధృవీకరించబడిన క్రిప్టోగ్రఫీ, వెబ్ దుర్బలత్వాలను తొలగించడం, DDoS దాడుల నుండి రక్షణ, ఫైర్‌వాల్‌లను ఉపయోగించడం, బ్యాకప్‌లు మరియు సాధారణ సమాచార భద్రతా ఆడిట్‌ల గురించి మాట్లాడుతుంది. కానీ పర్యవేక్షణ గురించి లేదా ఈ సర్వీస్ ప్రొవైడర్ యొక్క క్లయింట్‌లకు ఆసక్తి కలిగించే సమాచార భద్రతా ఈవెంట్‌లకు ప్రాప్యత పొందే అవకాశం గురించి ఒక్క మాట కూడా లేదు.

సాధారణంగా, క్లౌడ్ ప్రొవైడర్ తన వెబ్‌సైట్‌లో మరియు దాని డాక్యుమెంటేషన్‌లో సమాచార భద్రతా సమస్యలను వివరించే విధానం ద్వారా, ఇది ఈ సమస్యను ఎంత తీవ్రంగా తీసుకుంటుందో మీరు అర్థం చేసుకోవచ్చు. ఉదాహరణకు, మీరు “నా ఆఫీస్” ఉత్పత్తుల కోసం మాన్యువల్‌లను చదివితే, భద్రత గురించి ఎటువంటి పదం లేదు, కానీ ప్రత్యేక ఉత్పత్తి “నా ఆఫీస్” కోసం డాక్యుమెంటేషన్‌లో. KS3", అనధికారిక యాక్సెస్ నుండి రక్షించడానికి రూపొందించబడింది, FSTEC యొక్క 17వ ఆర్డర్ యొక్క పాయింట్ల సాధారణ జాబితా ఉంది, ఇది "My Office.KS3" అమలు చేస్తుంది, కానీ అది ఎలా అమలు చేస్తుందో మరియు ముఖ్యంగా ఎలా చేయాలో వివరించబడలేదు. కార్పొరేట్ సమాచార భద్రతతో ఈ యంత్రాంగాలను ఏకీకృతం చేయండి. బహుశా అలాంటి డాక్యుమెంటేషన్ ఉంది, కానీ నేను దానిని పబ్లిక్ డొమైన్‌లో, “నా ఆఫీస్” వెబ్‌సైట్‌లో కనుగొనలేదు. బహుశా నాకు ఈ రహస్య సమాచారానికి ప్రాప్యత లేకపోయినా?..

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

Bitrix కోసం, పరిస్థితి మెరుగ్గా ఉంది. డాక్యుమెంటేషన్ ఈవెంట్ లాగ్‌ల ఫార్మాట్‌లను మరియు ఆసక్తికరంగా, క్లౌడ్ ప్లాట్‌ఫారమ్‌కు సంభావ్య బెదిరింపులకు సంబంధించిన ఈవెంట్‌లను కలిగి ఉన్న చొరబాటు లాగ్‌ను వివరిస్తుంది. అక్కడ నుండి మీరు IP, వినియోగదారు లేదా అతిథి పేరు, ఈవెంట్ మూలం, సమయం, వినియోగదారు ఏజెంట్, ఈవెంట్ రకం మొదలైనవాటిని తీసివేయవచ్చు. నిజమే, మీరు క్లౌడ్ నియంత్రణ ప్యానెల్ నుండి ఈ ఈవెంట్‌లతో పని చేయవచ్చు లేదా MS Excel ఫార్మాట్‌లో డేటాను అప్‌లోడ్ చేయవచ్చు. Bitrix లాగ్‌లతో పనిని ఆటోమేట్ చేయడం ఇప్పుడు కష్టంగా ఉంది మరియు మీరు కొన్ని పనిని మాన్యువల్‌గా చేయాల్సి ఉంటుంది (నివేదికను అప్‌లోడ్ చేయడం మరియు దానిని మీ SIEMలోకి లోడ్ చేయడం). కానీ సాపేక్షంగా ఇటీవల వరకు అలాంటి అవకాశం లేదని మనం గుర్తుంచుకుంటే, ఇది గొప్ప పురోగతి. అదే సమయంలో, చాలా మంది విదేశీ క్లౌడ్ ప్రొవైడర్లు “ప్రారంభకుల కోసం” ఇలాంటి కార్యాచరణను అందిస్తున్నారని నేను గమనించాలనుకుంటున్నాను - నియంత్రణ ప్యానెల్ ద్వారా మీ కళ్ళతో లాగ్‌లను చూడండి లేదా డేటాను మీకు అప్‌లోడ్ చేయండి (అయితే, చాలా వరకు డేటాను లో అప్‌లోడ్ చేయండి. csv ఫార్మాట్, ఎక్సెల్ కాదు).

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

నో-లాగ్స్ ఎంపికను పరిగణనలోకి తీసుకోకుండా, క్లౌడ్ ప్రొవైడర్లు సాధారణంగా భద్రతా ఈవెంట్‌లను పర్యవేక్షించడానికి మీకు మూడు ఎంపికలను అందిస్తారు - డాష్‌బోర్డ్‌లు, డేటా అప్‌లోడ్ మరియు API యాక్సెస్. మొదటిది మీ కోసం చాలా సమస్యలను పరిష్కరిస్తుంది, కానీ ఇది పూర్తిగా నిజం కాదు - మీకు అనేక మ్యాగజైన్‌లు ఉంటే, మీరు వాటిని ప్రదర్శించే స్క్రీన్‌ల మధ్య మారాలి, మొత్తం చిత్రాన్ని కోల్పోతారు. అదనంగా, క్లౌడ్ ప్రొవైడర్ మీకు భద్రతా ఈవెంట్‌లను పరస్పరం అనుసంధానించే సామర్థ్యాన్ని అందించే అవకాశం లేదు మరియు సాధారణంగా వాటిని భద్రతా కోణం నుండి విశ్లేషించవచ్చు (సాధారణంగా మీరు ముడి డేటాతో వ్యవహరిస్తున్నారు, ఇది మీరే అర్థం చేసుకోవాలి). మినహాయింపులు ఉన్నాయి మరియు మేము వాటి గురించి మరింత మాట్లాడుతాము. చివరగా, మీ క్లౌడ్ ప్రొవైడర్ ద్వారా ఏ ఈవెంట్‌లు రికార్డ్ చేయబడ్డాయి, ఏ ఫార్మాట్‌లో మరియు అవి మీ సమాచార భద్రతా పర్యవేక్షణ ప్రక్రియకు ఎలా అనుగుణంగా ఉంటాయి అని అడగడం విలువైనదే? ఉదాహరణకు, వినియోగదారులు మరియు అతిథుల గుర్తింపు మరియు ప్రమాణీకరణ. అదే Bitrix ఈ ఈవెంట్‌ల ఆధారంగా ఈవెంట్ యొక్క తేదీ మరియు సమయం, వినియోగదారు లేదా అతిథి పేరు (మీకు “వెబ్ అనలిటిక్స్” మాడ్యూల్ ఉంటే), యాక్సెస్ చేయబడిన వస్తువు మరియు వెబ్‌సైట్ కోసం విలక్షణమైన ఇతర అంశాలను రికార్డ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. . కానీ కార్పొరేట్ సమాచార భద్రతా సేవలకు వినియోగదారు విశ్వసనీయ పరికరం నుండి క్లౌడ్‌ను యాక్సెస్ చేశారా అనే దాని గురించి సమాచారం అవసరం కావచ్చు (ఉదాహరణకు, కార్పొరేట్ నెట్‌వర్క్‌లో ఈ పనిని సిస్కో ISE అమలు చేస్తుంది). క్లౌడ్ సర్వీస్ యూజర్ ఖాతా దొంగిలించబడిందో లేదో గుర్తించడంలో సహాయపడే జియో-IP ఫంక్షన్ వంటి సులభమైన పని గురించి ఏమిటి? మరియు క్లౌడ్ ప్రొవైడర్ మీకు అందించినప్పటికీ, ఇది సరిపోదు. అదే సిస్కో క్లౌడ్‌లాక్ జియోలొకేషన్‌ను విశ్లేషించడమే కాదు, దీని కోసం మెషీన్ లెర్నింగ్‌ను ఉపయోగిస్తుంది మరియు ప్రతి వినియోగదారు కోసం చారిత్రక డేటాను విశ్లేషిస్తుంది మరియు గుర్తింపు మరియు ప్రామాణీకరణ ప్రయత్నాలలో వివిధ క్రమరాహిత్యాలను పర్యవేక్షిస్తుంది. MS Azure మాత్రమే ఒకే విధమైన కార్యాచరణను కలిగి ఉంటుంది (మీకు తగిన సభ్యత్వం ఉంటే).

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

మరొక ఇబ్బంది ఉంది - చాలా మంది క్లౌడ్ ప్రొవైడర్‌లకు ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ అనేది వారు ఇప్పుడే పరిష్కరించడం ప్రారంభించిన కొత్త అంశం కాబట్టి, వారు తమ పరిష్కారాలలో నిరంతరం ఏదో ఒకదాన్ని మారుస్తూ ఉంటారు. ఈ రోజు వారు API యొక్క ఒక వెర్షన్‌ను కలిగి ఉన్నారు, రేపు మరొకరు, రేపు తర్వాత మూడవది. దీనికి మీరు కూడా సిద్ధం కావాలి. ఫంక్షనాలిటీ విషయంలో కూడా ఇది వర్తిస్తుంది, ఇది మారవచ్చు, ఇది మీ సమాచార భద్రతా పర్యవేక్షణ వ్యవస్థలో తప్పనిసరిగా పరిగణనలోకి తీసుకోవాలి. ఉదాహరణకు, అమెజాన్ ప్రారంభంలో ప్రత్యేక క్లౌడ్ ఈవెంట్ మానిటరింగ్ సేవలను కలిగి ఉంది-AWS CloudTrail మరియు AWS CloudWatch. అప్పుడు సమాచార భద్రతా ఈవెంట్‌లను పర్యవేక్షించడానికి ప్రత్యేక సేవ కనిపించింది - AWS గార్డ్‌డ్యూటీ. కొంత సమయం తరువాత, అమెజాన్ ఒక కొత్త మేనేజ్‌మెంట్ సిస్టమ్‌ను ప్రారంభించింది, అమెజాన్ సెక్యూరిటీ హబ్, ఇందులో గార్డ్‌డ్యూటీ, అమెజాన్ ఇన్‌స్పెక్టర్, అమెజాన్ మాకీ మరియు అనేక ఇతరాల నుండి పొందిన డేటా విశ్లేషణ ఉంటుంది. మరొక ఉదాహరణ SIEM - AzLogతో Azure లాగ్ ఇంటిగ్రేషన్ సాధనం. ఇది చాలా మంది SIEM విక్రేతలచే చురుకుగా ఉపయోగించబడింది, 2018లో మైక్రోసాఫ్ట్ దాని అభివృద్ధి మరియు మద్దతును నిలిపివేస్తున్నట్లు ప్రకటించింది, ఇది సమస్యతో ఈ సాధనాన్ని ఉపయోగించిన చాలా మంది క్లయింట్‌లను ఎదుర్కొంది (ఇది ఎలా పరిష్కరించబడిందో మేము తరువాత మాట్లాడుతాము).

అందువల్ల, మీ క్లౌడ్ ప్రొవైడర్ మీకు అందించే అన్ని పర్యవేక్షణ లక్షణాలను జాగ్రత్తగా పర్యవేక్షించండి. లేదా మీ SOC మరియు మీరు పర్యవేక్షించాలనుకుంటున్న క్లౌడ్ మధ్య మధ్యవర్తులుగా వ్యవహరించే బాహ్య పరిష్కార ప్రదాతలపై ఆధారపడండి. అవును, ఇది చాలా ఖరీదైనది (ఎల్లప్పుడూ కాకపోయినా), కానీ మీరు అన్ని బాధ్యతలను వేరొకరి భుజాలపైకి మారుస్తారు. లేదా అవన్నీ కాదా?.. భాగస్వామ్య భద్రత భావనను గుర్తుంచుకోండి మరియు మనం దేనినీ మార్చలేమని అర్థం చేసుకుందాం - మీ డేటా, అప్లికేషన్‌లు, వర్చువల్ మిషన్లు మరియు ఇతర వనరుల సమాచార భద్రతపై వివిధ క్లౌడ్ ప్రొవైడర్లు ఎలా పర్యవేక్షణను అందిస్తారో మనం స్వతంత్రంగా అర్థం చేసుకోవాలి. క్లౌడ్‌లో హోస్ట్ చేయబడింది. మరియు మేము ఈ భాగంలో అమెజాన్ అందించే వాటితో ప్రారంభిస్తాము.

ఉదాహరణ: AWS ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ

అవును, అవును, ఇది ఒక అమెరికన్ సేవ మరియు రష్యాలో నిషేధించబడిన తీవ్రవాదానికి వ్యతిరేకంగా పోరాటంలో భాగంగా మరియు సమాచారాన్ని వ్యాప్తి చేయడంలో భాగంగా దీనిని నిరోధించవచ్చు అనే వాస్తవం కారణంగా అమెజాన్ ఉత్తమ ఉదాహరణ కాదని నేను అర్థం చేసుకున్నాను. కానీ ఈ ప్రచురణలో నేను వివిధ క్లౌడ్ ప్లాట్‌ఫారమ్‌లు వాటి సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలలో ఎలా విభిన్నంగా ఉన్నాయో మరియు భద్రతా కోణం నుండి మీ కీలక ప్రక్రియలను క్లౌడ్‌లకు బదిలీ చేసేటప్పుడు మీరు ఏమి శ్రద్ధ వహించాలి అని చూపించాలనుకుంటున్నాను. బాగా, క్లౌడ్ సొల్యూషన్స్ యొక్క రష్యన్ డెవలపర్లు కొందరు తమకు ఉపయోగపడేదాన్ని నేర్చుకుంటే, అది గొప్పగా ఉంటుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ముందుగా చెప్పాల్సిన విషయం ఏమిటంటే, అమెజాన్ అభేద్యమైన కోట కాదు. తన ఖాతాదారులకు తరచూ వివిధ సంఘటనలు జరుగుతుంటాయి. ఉదాహరణకు, 198 మిలియన్ల ఓటర్ల పేర్లు, చిరునామాలు, పుట్టిన తేదీలు మరియు టెలిఫోన్ నంబర్లు డీప్ రూట్ అనలిటిక్స్ నుండి దొంగిలించబడ్డాయి. ఇజ్రాయెల్ కంపెనీ నైస్ సిస్టమ్స్ వెరిజోన్ చందాదారుల 14 మిలియన్ల రికార్డులను దొంగిలించింది. అయినప్పటికీ, AWS యొక్క అంతర్నిర్మిత సామర్థ్యాలు మీరు అనేక రకాల సంఘటనలను గుర్తించడానికి అనుమతిస్తాయి. ఉదాహరణకి:

  • మౌలిక సదుపాయాలపై ప్రభావం (DDoS)
  • నోడ్ రాజీ (కమాండ్ ఇంజెక్షన్)
  • ఖాతా రాజీ మరియు అనధికార యాక్సెస్
  • తప్పు కాన్ఫిగరేషన్ మరియు దుర్బలత్వం
  • అసురక్షిత ఇంటర్‌ఫేస్‌లు మరియు APIలు.

ఈ వ్యత్యాసం కారణంగా, మేము పైన కనుగొన్నట్లుగా, కస్టమర్ డేటా యొక్క భద్రతకు కస్టమర్ స్వయంగా బాధ్యత వహిస్తాడు. మరియు అతను రక్షిత మెకానిజమ్‌లను ఆన్ చేయడానికి ఇబ్బంది పడకపోతే మరియు పర్యవేక్షణ సాధనాలను ఆన్ చేయకపోతే, అతను మీడియా నుండి లేదా అతని క్లయింట్ల నుండి మాత్రమే సంఘటన గురించి నేర్చుకుంటాడు.

సంఘటనలను గుర్తించడానికి, మీరు Amazon ద్వారా అభివృద్ధి చేయబడిన విభిన్న పర్యవేక్షణ సేవలను విస్తృత శ్రేణిని ఉపయోగించవచ్చు (అయితే ఇవి తరచుగా ఓస్క్వెరీ వంటి బాహ్య సాధనాల ద్వారా పూర్తి చేయబడతాయి). కాబట్టి, AWSలో, నిర్వహణ కన్సోల్, కమాండ్ లైన్, SDK లేదా ఇతర AWS సేవల ద్వారా అవి ఎలా నిర్వహించబడుతున్నాయనే దానితో సంబంధం లేకుండా అన్ని వినియోగదారు చర్యలు పర్యవేక్షించబడతాయి. ప్రతి AWS ఖాతా కార్యాచరణ (వినియోగదారు పేరు, చర్య, సేవ, కార్యాచరణ పారామితులు మరియు ఫలితంతో సహా) మరియు API వినియోగం యొక్క అన్ని రికార్డులు AWS CloudTrail ద్వారా అందుబాటులో ఉంటాయి. మీరు CloudTrail కన్సోల్ నుండి ఈ ఈవెంట్‌లను (AWS IAM కన్సోల్ లాగిన్‌ల వంటివి) వీక్షించవచ్చు, Amazon Athenaని ఉపయోగించి వాటిని విశ్లేషించవచ్చు లేదా Splunk, AlienVault మొదలైన బాహ్య పరిష్కారాలకు "ఔట్‌సోర్స్" చేయవచ్చు. AWS CloudTrail లాగ్‌లు మీ AWS S3 బకెట్‌లో ఉంచబడ్డాయి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

రెండు ఇతర AWS సేవలు అనేక ఇతర ముఖ్యమైన పర్యవేక్షణ సామర్థ్యాలను అందిస్తాయి. ముందుగా, Amazon CloudWatch అనేది AWS వనరులు మరియు అప్లికేషన్‌ల కోసం పర్యవేక్షణ సేవ, ఇది ఇతర విషయాలతోపాటు, మీ క్లౌడ్‌లోని వివిధ క్రమరాహిత్యాలను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది. Amazon ఎలాస్టిక్ కంప్యూట్ క్లౌడ్ (సర్వర్‌లు), Amazon రిలేషనల్ డేటాబేస్ సర్వీస్ (డేటాబేస్‌లు), Amazon Elastic MapReduce (డేటా విశ్లేషణ) మరియు 30 ఇతర Amazon సేవలు వంటి అన్ని అంతర్నిర్మిత AWS సేవలు తమ లాగ్‌లను నిల్వ చేయడానికి Amazon CloudWatchని ఉపయోగిస్తాయి. డెవలపర్‌లు కస్టమ్ అప్లికేషన్‌లు మరియు సేవలకు లాగ్ మానిటరింగ్ ఫంక్షనాలిటీని జోడించడానికి Amazon CloudWatch నుండి ఓపెన్ APIని ఉపయోగించవచ్చు, ఇది భద్రతా సందర్భంలో ఈవెంట్ విశ్లేషణ పరిధిని విస్తరించడానికి వీలు కల్పిస్తుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

రెండవది, VPC ఫ్లో లాగ్‌ల సేవ మీ AWS సర్వర్‌లు (బాహ్యంగా లేదా అంతర్గతంగా), అలాగే మైక్రోసర్వీస్‌ల మధ్య పంపిన లేదా స్వీకరించిన నెట్‌వర్క్ ట్రాఫిక్‌ను విశ్లేషించడానికి మిమ్మల్ని అనుమతిస్తుంది. మీ AWS VPC వనరులు ఏదైనా నెట్‌వర్క్‌తో పరస్పర చర్య చేసినప్పుడు, VPC ఫ్లో లాగ్స్ నెట్‌వర్క్ ట్రాఫిక్ గురించిన వివరాలను నమోదు చేస్తుంది, అలాగే సోర్స్ మరియు డెస్టినేషన్ నెట్‌వర్క్ ఇంటర్‌ఫేస్, అలాగే IP చిరునామాలు, పోర్ట్‌లు, ప్రోటోకాల్, బైట్‌ల సంఖ్య మరియు ప్యాకెట్ల సంఖ్య చూసింది. స్థానిక నెట్‌వర్క్ భద్రతతో అనుభవం ఉన్నవారు దీనిని థ్రెడ్‌లకు సారూప్యంగా గుర్తిస్తారు నెట్‌ఫ్లో, ఇది స్విచ్‌లు, రూటర్‌లు మరియు ఎంటర్‌ప్రైజ్-గ్రేడ్ ఫైర్‌వాల్‌ల ద్వారా సృష్టించబడుతుంది. ఈ లాగ్‌లు సమాచార భద్రతా పర్యవేక్షణ ప్రయోజనాల కోసం ముఖ్యమైనవి ఎందుకంటే, వినియోగదారులు మరియు అప్లికేషన్‌ల చర్యలకు సంబంధించిన ఈవెంట్‌ల వలె కాకుండా, AWS వర్చువల్ ప్రైవేట్ క్లౌడ్ ఎన్విరాన్‌మెంట్‌లో నెట్‌వర్క్ ఇంటరాక్షన్‌లను మిస్ కాకుండా ఉండటానికి కూడా ఇవి మిమ్మల్ని అనుమతిస్తాయి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

సారాంశంలో, ఈ మూడు AWS సేవలు-AWS క్లౌడ్‌ట్రైల్, అమెజాన్ క్లౌడ్‌వాచ్ మరియు VPC ఫ్లో లాగ్‌లు-మీ ఖాతా వినియోగం, వినియోగదారు ప్రవర్తన, మౌలిక సదుపాయాల నిర్వహణ, అప్లికేషన్ మరియు సేవా కార్యకలాపం మరియు నెట్‌వర్క్ కార్యాచరణపై చాలా శక్తివంతమైన అంతర్దృష్టిని అందిస్తాయి. ఉదాహరణకు, కింది క్రమరాహిత్యాలను గుర్తించడానికి వాటిని ఉపయోగించవచ్చు:

  • సైట్‌ను స్కాన్ చేయడానికి, బ్యాక్‌డోర్‌ల కోసం శోధించడానికి, “404 ఎర్రర్‌ల” పేలుళ్ల ద్వారా దుర్బలత్వాల కోసం శోధించడానికి ప్రయత్నాలు.
  • "500 ఎర్రర్‌ల" పేలుళ్ల ద్వారా ఇంజెక్షన్ దాడులు (ఉదాహరణకు, SQL ఇంజెక్షన్).
  • తెలిసిన దాడి సాధనాలు sqlmap, nikto, w3af, nmap మొదలైనవి. వినియోగదారు ఏజెంట్ ఫీల్డ్ యొక్క విశ్లేషణ ద్వారా.

అమెజాన్ వెబ్ సర్వీసెస్ సైబర్ సెక్యూరిటీ ప్రయోజనాల కోసం ఇతర సేవలను కూడా అభివృద్ధి చేసింది, ఇది అనేక ఇతర సమస్యలను పరిష్కరించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, AWS ఆడిటింగ్ విధానాలు మరియు కాన్ఫిగరేషన్‌ల కోసం అంతర్నిర్మిత సేవను కలిగి ఉంది - AWS కాన్ఫిగరేషన్. ఈ సేవ మీ AWS వనరులు మరియు వాటి కాన్ఫిగరేషన్‌ల నిరంతర ఆడిటింగ్‌ను అందిస్తుంది. ఒక సాధారణ ఉదాహరణను తీసుకుందాం: మీ అన్ని సర్వర్‌లలో వినియోగదారు పాస్‌వర్డ్‌లు నిలిపివేయబడి ఉన్నాయని మరియు సర్టిఫికేట్‌ల ఆధారంగా మాత్రమే యాక్సెస్ సాధ్యమవుతుందని మీరు నిర్ధారించుకోవాలని అనుకుందాం. AWS కాన్ఫిగర్ మీ అన్ని సర్వర్‌ల కోసం దీన్ని తనిఖీ చేయడాన్ని సులభతరం చేస్తుంది. మీ క్లౌడ్ సర్వర్‌లకు వర్తించే ఇతర విధానాలు ఉన్నాయి: “ఏ సర్వర్ పోర్ట్ 22ని ఉపయోగించదు”, “అడ్మినిస్ట్రేటర్‌లు మాత్రమే ఫైర్‌వాల్ నియమాలను మార్చగలరు” లేదా “యూజర్ ఇవాష్కో మాత్రమే కొత్త వినియోగదారు ఖాతాలను సృష్టించగలరు మరియు అతను దీన్ని మంగళవారాల్లో మాత్రమే చేయగలడు. " 2016 వేసవిలో, అభివృద్ధి చెందిన విధానాల ఉల్లంఘనల గుర్తింపును ఆటోమేట్ చేయడానికి AWS కాన్ఫిగరేషన్ సేవ విస్తరించబడింది. AWS కాన్ఫిగరేషన్ నియమాలు తప్పనిసరిగా మీరు ఉపయోగించే అమెజాన్ సేవల కోసం నిరంతర కాన్ఫిగరేషన్ అభ్యర్థనలు, సంబంధిత విధానాలు ఉల్లంఘించబడినట్లయితే ఈవెంట్‌లను సృష్టిస్తాయి. ఉదాహరణకు, వర్చువల్ సర్వర్‌లోని అన్ని డిస్క్‌లు గుప్తీకరించబడి ఉన్నాయని ధృవీకరించడానికి కాలానుగుణంగా AWS కాన్ఫిగరేషన్ ప్రశ్నలను అమలు చేయడానికి బదులుగా, AWS కాన్ఫిగ్ నియమాలు ఈ షరతుకు అనుగుణంగా ఉన్నాయని నిర్ధారించడానికి సర్వర్ డిస్క్‌లను నిరంతరం తనిఖీ చేయడానికి ఉపయోగించవచ్చు. మరియు, ముఖ్యంగా, ఈ ప్రచురణ సందర్భంలో, ఏదైనా ఉల్లంఘనలు మీ సమాచార భద్రతా సేవ ద్వారా విశ్లేషించబడే ఈవెంట్‌లను సృష్టిస్తాయి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

AWS సంప్రదాయ కార్పొరేట్ సమాచార భద్రతా పరిష్కారాలకు సమానమైనది, ఇది మీరు విశ్లేషించగల మరియు విశ్లేషించగల భద్రతా ఈవెంట్‌లను కూడా ఉత్పత్తి చేస్తుంది:

  • చొరబాటు గుర్తింపు - AWS గార్డ్‌డ్యూటీ
  • ఇన్ఫర్మేషన్ లీక్ కంట్రోల్ - AWS Macie
  • EDR (ఇది క్లౌడ్‌లోని ఎండ్‌పాయింట్‌ల గురించి కొంచెం వింతగా మాట్లాడినప్పటికీ) - AWS క్లౌడ్‌వాచ్ + ఓపెన్ సోర్స్ ఆస్క్వెరీ లేదా GRR సొల్యూషన్‌లు
  • నెట్‌ఫ్లో విశ్లేషణ - AWS క్లౌడ్‌వాచ్ + AWS VPC ఫ్లో
  • DNS విశ్లేషణ - AWS క్లౌడ్‌వాచ్ + AWS రూట్53
  • AD - AWS డైరెక్టరీ సర్వీస్
  • ఖాతా నిర్వహణ - AWS IAM
  • SSO - AWS SSO
  • భద్రతా విశ్లేషణ - AWS ఇన్స్పెక్టర్
  • కాన్ఫిగరేషన్ నిర్వహణ - AWS కాన్ఫిగరేషన్
  • WAF - AWS WAF.

సమాచార భద్రత విషయంలో ఉపయోగపడే అన్ని Amazon సేవలను నేను వివరంగా వివరించను. ప్రధాన విషయం ఏమిటంటే, అవన్నీ మనం సమాచార భద్రత సందర్భంలో విశ్లేషించగల మరియు విశ్లేషించగల ఈవెంట్‌లను రూపొందించగలవని అర్థం చేసుకోవడం, ఈ ప్రయోజనం కోసం అమెజాన్ యొక్క అంతర్నిర్మిత సామర్థ్యాలు మరియు బాహ్య పరిష్కారాలు రెండింటినీ ఉపయోగించడం, ఉదాహరణకు, SIEM భద్రతా ఈవెంట్‌లను మీ పర్యవేక్షణ కేంద్రానికి తీసుకెళ్లండి మరియు ఇతర క్లౌడ్ సేవల నుండి లేదా అంతర్గత మౌలిక సదుపాయాలు, చుట్టుకొలత లేదా మొబైల్ పరికరాల నుండి ఈవెంట్‌లతో పాటు వాటిని విశ్లేషించండి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ఏదైనా సందర్భంలో, ఇది మీకు సమాచార భద్రతా ఈవెంట్‌లను అందించే డేటా మూలాధారాలతో ప్రారంభమవుతుంది. ఈ మూలాధారాలు వీటిని కలిగి ఉంటాయి, కానీ వీటికే పరిమితం కావు:

  • CloudTrail - API వినియోగం మరియు వినియోగదారు చర్యలు
  • విశ్వసనీయ సలహాదారు - ఉత్తమ అభ్యాసాలకు వ్యతిరేకంగా భద్రతా తనిఖీ
  • కాన్ఫిగరేషన్ - ఖాతాలు మరియు సేవా సెట్టింగ్‌ల జాబితా మరియు కాన్ఫిగరేషన్
  • VPC ఫ్లో లాగ్‌లు - వర్చువల్ ఇంటర్‌ఫేస్‌లకు కనెక్షన్‌లు
  • IAM - గుర్తింపు మరియు ప్రమాణీకరణ సేవ
  • ELB యాక్సెస్ లాగ్‌లు - లోడ్ బ్యాలెన్సర్
  • ఇన్స్పెక్టర్ - అప్లికేషన్ దుర్బలత్వాలు
  • S3 - ఫైల్ నిల్వ
  • CloudWatch - అప్లికేషన్ యాక్టివిటీ
  • SNS అనేది నోటిఫికేషన్ సేవ.

Amazon, వారి తరం కోసం ఈవెంట్ సోర్స్‌లు మరియు సాధనాల యొక్క అటువంటి శ్రేణిని అందిస్తున్నప్పుడు, సమాచార భద్రత సందర్భంలో సేకరించిన డేటాను విశ్లేషించే సామర్థ్యం చాలా పరిమితం. మీరు అందుబాటులో ఉన్న లాగ్‌లను స్వతంత్రంగా అధ్యయనం చేయాలి, వాటిలో రాజీకి సంబంధించిన సంబంధిత సూచికల కోసం వెతుకుతుంది. అమెజాన్ ఇటీవల ప్రారంభించిన AWS సెక్యూరిటీ హబ్, AWS కోసం క్లౌడ్ SIEMగా మారడం ద్వారా ఈ సమస్యను పరిష్కరించాలని లక్ష్యంగా పెట్టుకుంది. కానీ ఇప్పటివరకు ఇది దాని ప్రయాణం ప్రారంభంలో మాత్రమే ఉంది మరియు ఇది పనిచేసే మూలాల సంఖ్య మరియు అమెజాన్ యొక్క నిర్మాణం మరియు చందాల ద్వారా స్థాపించబడిన ఇతర పరిమితుల ద్వారా పరిమితం చేయబడింది.

ఉదాహరణ: Azure ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ

నేను మూడు క్లౌడ్ ప్రొవైడర్‌లలో (అమెజాన్, మైక్రోసాఫ్ట్ లేదా గూగుల్) ఏది ఉత్తమం అనే దాని గురించి సుదీర్ఘ చర్చకు రాకూడదనుకుంటున్నాను (ముఖ్యంగా వాటిలో ప్రతి దాని స్వంత నిర్దిష్ట ప్రత్యేకతలు మరియు దాని స్వంత సమస్యలను పరిష్కరించడానికి అనుకూలంగా ఉంటాయి కాబట్టి); ఈ ప్లేయర్‌లు అందించే సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలపై దృష్టి పెడదాం. అమెజాన్ AWS ఈ విభాగంలో మొదటి వాటిలో ఒకటి అని అంగీకరించాలి మరియు అందువల్ల దాని సమాచార భద్రతా విధుల పరంగా మరింత ముందుకు సాగింది (అయితే వాటిని ఉపయోగించడం చాలా కష్టమని చాలామంది అంగీకరించారు). కానీ మైక్రోసాఫ్ట్ మరియు గూగుల్ మనకు అందించే అవకాశాలను మేము విస్మరించమని దీని అర్థం కాదు.

మైక్రోసాఫ్ట్ ఉత్పత్తులు ఎల్లప్పుడూ వాటి "బాహ్యత" ద్వారా ప్రత్యేకించబడ్డాయి మరియు అజూర్‌లో పరిస్థితి సమానంగా ఉంటుంది. ఉదాహరణకు, AWS మరియు GCP ఎల్లప్పుడూ "అనుమతించబడనిది నిషేధించబడింది" అనే భావన నుండి కొనసాగితే, అజూర్ ఖచ్చితమైన వ్యతిరేక విధానాన్ని కలిగి ఉంటుంది. ఉదాహరణకు, క్లౌడ్‌లో వర్చువల్ నెట్‌వర్క్ మరియు దానిలో వర్చువల్ మెషీన్‌ను సృష్టించేటప్పుడు, అన్ని పోర్ట్‌లు మరియు ప్రోటోకాల్‌లు డిఫాల్ట్‌గా తెరిచి అనుమతించబడతాయి. అందువల్ల, మీరు మైక్రోసాఫ్ట్ నుండి క్లౌడ్‌లోని యాక్సెస్ కంట్రోల్ సిస్టమ్ యొక్క ప్రారంభ సెటప్‌పై కొంచెం ఎక్కువ ప్రయత్నం చేయాలి. మరియు ఇది అజూర్ క్లౌడ్‌లో పర్యవేక్షణ కార్యకలాపాల పరంగా మీపై మరింత కఠినమైన అవసరాలను కూడా విధిస్తుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

మీరు మీ వర్చువల్ వనరులను పర్యవేక్షించినప్పుడు, అవి వేర్వేరు ప్రాంతాలలో ఉన్నట్లయితే, అన్ని ఈవెంట్‌లను మరియు వాటి ఏకీకృత విశ్లేషణలను కలపడంలో మీకు ఇబ్బందులు ఉన్నాయి, వీటిని తొలగించడానికి మీరు వివిధ ఉపాయాలను ఆశ్రయించాల్సిన అవసరం ఉందని AWSకి ఒక ప్రత్యేకత ఉంది. ప్రాంతాల మధ్య ఈవెంట్‌లను రవాణా చేసే AWS లాంబ్డా కోసం మీ స్వంత కోడ్‌ని సృష్టించండి. Azureకి ఈ సమస్య లేదు - దాని యాక్టివిటీ లాగ్ మెకానిజం పరిమితులు లేకుండా మొత్తం సంస్థలో అన్ని కార్యాచరణలను ట్రాక్ చేస్తుంది. AWS సెక్యూరిటీ హబ్‌కి కూడా ఇది వర్తిస్తుంది, ఇది ఒకే భద్రతా కేంద్రంలో అనేక భద్రతా విధులను ఏకీకృతం చేయడానికి ఇటీవల Amazon చే అభివృద్ధి చేయబడింది, అయితే దాని ప్రాంతంలో మాత్రమే, అయితే, ఇది రష్యాకు సంబంధించినది కాదు. అజూర్ దాని స్వంత భద్రతా కేంద్రాన్ని కలిగి ఉంది, ఇది ప్రాంతీయ పరిమితులకు కట్టుబడి ఉండదు, క్లౌడ్ ప్లాట్‌ఫారమ్ యొక్క అన్ని భద్రతా లక్షణాలకు ప్రాప్యతను అందిస్తుంది. అంతేకాకుండా, వివిధ స్థానిక బృందాలకు ఇది వారిచే నిర్వహించబడే భద్రతా ఈవెంట్‌లతో సహా దాని స్వంత రక్షణ సామర్థ్యాలను అందించగలదు. AWS సెక్యూరిటీ హబ్ ఇప్పటికీ అజూర్ సెక్యూరిటీ సెంటర్‌ను పోలి ఉంటుంది. కానీ లేపనంలో ఫ్లైని జోడించడం విలువైనదే - మీరు AWSలో గతంలో వివరించిన వాటిలో చాలా వరకు అజూర్ నుండి పిండవచ్చు, అయితే ఇది అజూర్ AD, అజూర్ మానిటర్ మరియు అజూర్ సెక్యూరిటీ సెంటర్ కోసం మాత్రమే చాలా సౌకర్యవంతంగా చేయబడుతుంది. భద్రతా ఈవెంట్ విశ్లేషణతో సహా అన్ని ఇతర అజూర్ సెక్యూరిటీ మెకానిజమ్‌లు ఇంకా అత్యంత అనుకూలమైన రీతిలో నిర్వహించబడలేదు. అన్ని మైక్రోసాఫ్ట్ అజూర్ సేవలను విస్తరించే API ద్వారా సమస్య పాక్షికంగా పరిష్కరించబడుతుంది, అయితే దీనికి మీ క్లౌడ్‌ను మీ SOCతో మరియు అర్హత కలిగిన నిపుణుల ఉనికితో ఏకీకృతం చేయడానికి మీ నుండి అదనపు ప్రయత్నం అవసరం (వాస్తవానికి, క్లౌడ్‌తో పనిచేసే ఇతర SIEM మాదిరిగానే. APIలు). కొన్ని SIEMలు, తరువాత చర్చించబడతాయి, ఇప్పటికే Azureకి మద్దతు ఇస్తున్నాయి మరియు దానిని పర్యవేక్షించే పనిని ఆటోమేట్ చేయగలవు, కానీ దాని స్వంత ఇబ్బందులు కూడా ఉన్నాయి - అవన్నీ Azure కలిగి ఉన్న అన్ని లాగ్‌లను సేకరించలేవు.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

అజూర్‌లో ఈవెంట్ సేకరణ మరియు పర్యవేక్షణ అజూర్ మానిటర్ సేవను ఉపయోగించి అందించబడుతుంది, ఇది Microsoft క్లౌడ్ మరియు దాని వనరులలో డేటాను సేకరించడం, నిల్వ చేయడం మరియు విశ్లేషించడం కోసం ప్రధాన సాధనం - Git రిపోజిటరీలు, కంటైనర్‌లు, వర్చువల్ మెషీన్‌లు, అప్లికేషన్‌లు మొదలైనవి. అజూర్ మానిటర్ ద్వారా సేకరించబడిన మొత్తం డేటా రెండు వర్గాలుగా విభజించబడింది - కొలమానాలు, నిజ సమయంలో సేకరించబడ్డాయి మరియు అజూర్ క్లౌడ్ యొక్క కీలక పనితీరు సూచికలను వివరిస్తాయి మరియు అజూర్ వనరులు మరియు సేవల కార్యకలాపాల యొక్క నిర్దిష్ట అంశాలను వివరించే రికార్డులుగా నిర్వహించబడిన డేటాను కలిగి ఉన్న లాగ్‌లు. అదనంగా, డేటా కలెక్టర్ APIని ఉపయోగించి, అజూర్ మానిటర్ సేవ దాని స్వంత పర్యవేక్షణ దృశ్యాలను రూపొందించడానికి ఏదైనా REST మూలం నుండి డేటాను సేకరించవచ్చు.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

Azure మీకు అందించే కొన్ని భద్రతా ఈవెంట్ మూలాలు ఇక్కడ ఉన్నాయి మరియు మీరు Azure పోర్టల్, CLI, PowerShell లేదా REST API ద్వారా యాక్సెస్ చేయవచ్చు (మరియు కొన్ని Azure Monitor/Insight API ద్వారా మాత్రమే):

  • కార్యాచరణ లాగ్‌లు - క్లౌడ్ వనరులపై ఏదైనా వ్రాత ఆపరేషన్ (PUT, POST, DELETE)కి సంబంధించి “ఎవరు,” “ఏమి,” మరియు “ఎప్పుడు” అనే క్లాసిక్ ప్రశ్నలకు ఈ లాగ్ సమాధానం ఇస్తుంది. రీడ్ యాక్సెస్ (GET)కి సంబంధించిన ఈవెంట్‌లు ఈ లాగ్‌లో అనేక ఇతర వాటిలాగా చేర్చబడలేదు.
  • డయాగ్నస్టిక్ లాగ్‌లు - మీ సబ్‌స్క్రిప్షన్‌లో చేర్చబడిన నిర్దిష్ట వనరుతో కార్యకలాపాలపై డేటాను కలిగి ఉంటుంది.
  • Azure AD రిపోర్టింగ్ - సమూహం మరియు వినియోగదారు నిర్వహణకు సంబంధించిన వినియోగదారు కార్యాచరణ మరియు సిస్టమ్ కార్యాచరణ రెండింటినీ కలిగి ఉంటుంది.
  • Windows ఈవెంట్ లాగ్ మరియు Linux Syslog - క్లౌడ్‌లో హోస్ట్ చేయబడిన వర్చువల్ మిషన్ల నుండి ఈవెంట్‌లను కలిగి ఉంటుంది.
  • కొలమానాలు - మీ క్లౌడ్ సేవలు మరియు వనరుల పనితీరు మరియు ఆరోగ్య స్థితి గురించి టెలిమెట్రీని కలిగి ఉంటుంది. ప్రతి నిమిషం కొలుస్తారు మరియు నిల్వ చేయబడుతుంది. 30 రోజులలోపు.
  • నెట్‌వర్క్ సెక్యూరిటీ గ్రూప్ ఫ్లో లాగ్‌లు - నెట్‌వర్క్ వాచర్ సర్వీస్ మరియు నెట్‌వర్క్ స్థాయిలో రిసోర్స్ మానిటరింగ్ ఉపయోగించి సేకరించిన నెట్‌వర్క్ సెక్యూరిటీ ఈవెంట్‌లపై డేటాను కలిగి ఉంటుంది.
  • నిల్వ లాగ్‌లు - నిల్వ సౌకర్యాలకు యాక్సెస్‌కు సంబంధించిన ఈవెంట్‌లను కలిగి ఉంటుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

పర్యవేక్షణ కోసం, మీరు బాహ్య SIEMలు లేదా అంతర్నిర్మిత అజూర్ మానిటర్ మరియు దాని పొడిగింపులను ఉపయోగించవచ్చు. మేము ఇన్ఫర్మేషన్ సెక్యూరిటీ ఈవెంట్ మేనేజ్‌మెంట్ సిస్టమ్‌ల గురించి తరువాత మాట్లాడుతాము, అయితే ప్రస్తుతానికి భద్రత విషయంలో డేటా విశ్లేషణ కోసం అజూర్ మాకు ఏమి అందిస్తుందో చూద్దాం. అజూర్ మానిటర్‌లో భద్రతకు సంబంధించిన ప్రతిదానికీ ప్రధాన స్క్రీన్ లాగ్ అనలిటిక్స్ సెక్యూరిటీ మరియు ఆడిట్ డ్యాష్‌బోర్డ్ (ఉచిత వెర్షన్ కేవలం ఒక వారం పాటు పరిమిత మొత్తంలో ఈవెంట్ నిల్వకు మద్దతు ఇస్తుంది). ఈ డ్యాష్‌బోర్డ్ 5 ప్రధాన ప్రాంతాలుగా విభజించబడింది, ఇది మీరు ఉపయోగిస్తున్న క్లౌడ్ వాతావరణంలో ఏమి జరుగుతుందో సారాంశ గణాంకాలను దృశ్యమానం చేస్తుంది:

  • భద్రతా డొమైన్‌లు - సమాచార భద్రతకు సంబంధించిన కీలక పరిమాణాత్మక సూచికలు - సంఘటనల సంఖ్య, రాజీపడిన నోడ్‌ల సంఖ్య, అన్‌ప్యాచ్ చేయని నోడ్‌లు, నెట్‌వర్క్ సెక్యూరిటీ ఈవెంట్‌లు మొదలైనవి.
  • గుర్తించదగిన సమస్యలు - క్రియాశీల సమాచార భద్రతా సమస్యల సంఖ్య మరియు ప్రాముఖ్యతను ప్రదర్శిస్తుంది
  • గుర్తింపులు - మీకు వ్యతిరేకంగా ఉపయోగించిన దాడుల నమూనాలను ప్రదర్శిస్తుంది
  • థ్రెట్ ఇంటెలిజెన్స్ - మీపై దాడి చేసే బాహ్య నోడ్‌లపై భౌగోళిక సమాచారాన్ని ప్రదర్శిస్తుంది
  • సాధారణ భద్రతా ప్రశ్నలు - మీ సమాచార భద్రతను మెరుగ్గా పర్యవేక్షించడంలో మీకు సహాయపడే సాధారణ ప్రశ్నలు.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

అజూర్ మానిటర్ ఎక్స్‌టెన్షన్‌లలో అజూర్ కీ వాల్ట్ (క్లౌడ్‌లోని క్రిప్టోగ్రాఫిక్ కీల రక్షణ), మాల్వేర్ అసెస్‌మెంట్ (వర్చువల్ మెషీన్‌లలో హానికరమైన కోడ్ నుండి రక్షణ యొక్క విశ్లేషణ), అజూర్ అప్లికేషన్ గేట్‌వే అనలిటిక్స్ (ఇతర విషయాలతోపాటు, క్లౌడ్ ఫైర్‌వాల్ లాగ్‌ల విశ్లేషణ) మొదలైనవి ఉన్నాయి. . ఈవెంట్‌లను ప్రాసెస్ చేయడానికి నిర్దిష్ట నియమాలతో సుసంపన్నమైన ఈ సాధనాలు, భద్రతతో సహా క్లౌడ్ సేవల కార్యకలాపాల యొక్క వివిధ అంశాలను దృశ్యమానం చేయడానికి మరియు ఆపరేషన్ నుండి నిర్దిష్ట వ్యత్యాసాలను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తాయి. కానీ, తరచుగా జరిగే విధంగా, ఏదైనా అదనపు కార్యాచరణకు సంబంధిత చెల్లింపు సభ్యత్వం అవసరం, దీనికి మీ నుండి సంబంధిత ఆర్థిక పెట్టుబడులు అవసరం, మీరు ముందుగానే ప్లాన్ చేసుకోవాలి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

అజూర్ అనేక అంతర్నిర్మిత ముప్పు పర్యవేక్షణ సామర్థ్యాలను కలిగి ఉంది, అవి అజూర్ AD, అజూర్ మానిటర్ మరియు అజూర్ సెక్యూరిటీ సెంటర్‌లో విలీనం చేయబడ్డాయి. వాటిలో, ఉదాహరణకు, తెలిసిన హానికరమైన IPలతో వర్చువల్ మెషీన్‌ల పరస్పర చర్యను గుర్తించడం (మైక్రోసాఫ్ట్ నుండి థ్రెట్ ఇంటెలిజెన్స్ సేవలతో ఏకీకరణ ఉండటం వలన), క్లౌడ్‌లో హోస్ట్ చేయబడిన వర్చువల్ మెషీన్‌ల నుండి అలారాలను స్వీకరించడం ద్వారా క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో మాల్వేర్‌ను గుర్తించడం, పాస్‌వర్డ్ వర్చువల్ మెషీన్‌లపై అంచనా దాడులు ”, యూజర్ ఐడెంటిఫికేషన్ సిస్టమ్ యొక్క కాన్ఫిగరేషన్‌లోని దుర్బలత్వాలు, అనామకులు లేదా సోకిన నోడ్‌ల నుండి సిస్టమ్‌లోకి లాగిన్ అవ్వడం, ఖాతా లీక్‌లు, అసాధారణ స్థానాల నుండి సిస్టమ్‌లోకి లాగిన్ చేయడం మొదలైనవి. సేకరించిన సమాచార భద్రతా ఈవెంట్‌లను మెరుగుపరచడానికి మీకు అంతర్నిర్మిత థ్రెట్ ఇంటెలిజెన్స్ సామర్థ్యాలను అందించే కొద్దిమంది క్లౌడ్ ప్రొవైడర్‌లలో Azure ఈరోజు ఒకటి.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

పైన పేర్కొన్నట్లుగా, భద్రతా కార్యాచరణ మరియు ఫలితంగా, దాని ద్వారా రూపొందించబడిన భద్రతా ఈవెంట్‌లు వినియోగదారులందరికీ సమానంగా అందుబాటులో ఉండవు, అయితే మీకు అవసరమైన కార్యాచరణను కలిగి ఉన్న నిర్దిష్ట సభ్యత్వం అవసరం, ఇది సమాచార భద్రత పర్యవేక్షణ కోసం తగిన ఈవెంట్‌లను రూపొందిస్తుంది. ఉదాహరణకు, ఖాతాలలోని క్రమరాహిత్యాలను పర్యవేక్షించడానికి మునుపటి పేరాలో వివరించిన కొన్ని విధులు అజూర్ AD సేవ కోసం P2 ప్రీమియం లైసెన్స్‌లో మాత్రమే అందుబాటులో ఉన్నాయి. అది లేకుండా, మీరు, AWS విషయంలో వలె, "మాన్యువల్‌గా" సేకరించిన భద్రతా ఈవెంట్‌లను విశ్లేషించవలసి ఉంటుంది. మరియు, అలాగే, Azure AD లైసెన్స్ రకాన్ని బట్టి, అన్ని ఈవెంట్‌లు విశ్లేషణ కోసం అందుబాటులో ఉండవు.

అజూర్ పోర్టల్‌లో, మీకు ఆసక్తి ఉన్న లాగ్‌ల కోసం మీరు రెండు శోధన ప్రశ్నలను నిర్వహించవచ్చు మరియు కీలక సమాచార భద్రతా సూచికలను దృశ్యమానం చేయడానికి డాష్‌బోర్డ్‌లను సెటప్ చేయవచ్చు. అదనంగా, అక్కడ మీరు అజూర్ మానిటర్ పొడిగింపులను ఎంచుకోవచ్చు, ఇది అజూర్ మానిటర్ లాగ్‌ల కార్యాచరణను విస్తరించడానికి మరియు భద్రతా కోణం నుండి ఈవెంట్‌ల యొక్క లోతైన విశ్లేషణను పొందడానికి మిమ్మల్ని అనుమతిస్తుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

మీకు లాగ్‌లతో పని చేసే సామర్థ్యం మాత్రమే కాకుండా, సమాచార భద్రతా విధాన నిర్వహణతో సహా మీ అజూర్ క్లౌడ్ ప్లాట్‌ఫారమ్ కోసం సమగ్ర భద్రతా కేంద్రం అవసరమైతే, మీరు అజూర్ సెక్యూరిటీ సెంటర్‌తో పని చేయవలసిన అవసరం గురించి మాట్లాడవచ్చు, వీటిలో చాలా ఉపయోగకరమైన విధులు కొంత డబ్బుకు అందుబాటులో ఉన్నాయి, ఉదాహరణకు, ముప్పు గుర్తింపు, అజూర్ వెలుపల పర్యవేక్షణ, సమ్మతి అంచనా మొదలైనవి. (ఉచిత సంస్కరణలో, మీరు గుర్తించిన సమస్యలను తొలగించడానికి భద్రతా అంచనా మరియు సిఫార్సులకు మాత్రమే ప్రాప్యత కలిగి ఉంటారు). ఇది అన్ని భద్రతా సమస్యలను ఒకే చోట ఏకీకృతం చేస్తుంది. వాస్తవానికి, అజూర్ మానిటర్ మీకు అందించే దానికంటే ఎక్కువ స్థాయి సమాచార భద్రత గురించి మేము మాట్లాడగలము, ఎందుకంటే ఈ సందర్భంలో మీ క్లౌడ్ ఫ్యాక్టరీ అంతటా సేకరించిన డేటా అజూర్, ఆఫీస్ 365, మైక్రోసాఫ్ట్ CRM ఆన్‌లైన్, మైక్రోసాఫ్ట్ డైనమిక్స్ AX వంటి అనేక వనరులను ఉపయోగించి సమృద్ధిగా ఉంటుంది. , outlook .com, MSN.com, Microsoft డిజిటల్ క్రైమ్స్ యూనిట్ (DCU) మరియు మైక్రోసాఫ్ట్ సెక్యూరిటీ రెస్పాన్స్ సెంటర్ (MSRC), వీటిపై వివిధ అధునాతన మెషీన్ లెర్నింగ్ మరియు బిహేవియరల్ అనలిటిక్స్ అల్గారిథమ్‌లు సూపర్మోస్ చేయబడ్డాయి, ఇది అంతిమంగా బెదిరింపులను గుర్తించే మరియు ప్రతిస్పందించే సామర్థ్యాన్ని మెరుగుపరుస్తుంది. .

అజూర్ దాని స్వంత SIEM ను కూడా కలిగి ఉంది - ఇది 2019 ప్రారంభంలో కనిపించింది. ఇది అజూర్ సెంటినెల్, ఇది అజూర్ మానిటర్ నుండి డేటాపై ఆధారపడుతుంది మరియు దానితో కూడా కలిసిపోతుంది. బాహ్య భద్రతా పరిష్కారాలు (ఉదాహరణకు, NGFW లేదా WAF), వీటి జాబితా నిరంతరం పెరుగుతోంది. అదనంగా, మైక్రోసాఫ్ట్ గ్రాఫ్ సెక్యూరిటీ API యొక్క ఇంటిగ్రేషన్ ద్వారా, మీరు మీ స్వంత థ్రెట్ ఇంటెలిజెన్స్ ఫీడ్‌లను సెంటినెల్‌కు కనెక్ట్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటారు, ఇది మీ అజూర్ క్లౌడ్‌లోని సంఘటనలను విశ్లేషించే సామర్థ్యాలను మెరుగుపరుస్తుంది. క్లౌడ్ ప్రొవైడర్ల నుండి కనిపించిన మొదటి "స్థానిక" SIEM అజూర్ సెంటినెల్ అని వాదించవచ్చు (అదే స్ప్లంక్ లేదా ELK, క్లౌడ్‌లో హోస్ట్ చేయవచ్చు, ఉదాహరణకు, AWS, ఇప్పటికీ సాంప్రదాయ క్లౌడ్ సర్వీస్ ప్రొవైడర్లచే అభివృద్ధి చేయబడలేదు). అజూర్ సెంటినెల్ మరియు సెక్యూరిటీ సెంటర్‌ను అజూర్ క్లౌడ్ కోసం SOC అని పిలుస్తారు మరియు మీకు ఇకపై ఎటువంటి మౌలిక సదుపాయాలు లేకుంటే మరియు మీరు మీ కంప్యూటింగ్ వనరులన్నింటినీ క్లౌడ్‌కు బదిలీ చేసినట్లయితే వాటికి (నిర్దిష్ట రిజర్వేషన్‌లతో) పరిమితం చేయవచ్చు మరియు అది మైక్రోసాఫ్ట్ క్లౌడ్ అజూర్ అవుతుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

అయితే సమాచార భద్రతను పర్యవేక్షించడానికి మరియు ఈ ప్రక్రియను ఇతర భద్రతా ఈవెంట్‌లతో (క్లౌడ్ మరియు అంతర్గత) ఏకీకృతం చేయడానికి అజూర్ యొక్క అంతర్నిర్మిత సామర్థ్యాలు (మీకు సెంటినెల్‌కు సభ్యత్వం ఉన్నప్పటికీ) తరచుగా సరిపోదు. సేకరించిన డేటాను బాహ్య సిస్టమ్‌లకు ఎగుమతి చేయాలి, ఇందులో SIEM కూడా ఉండవచ్చు. ఇది APIని ఉపయోగించడం మరియు ప్రత్యేక పొడిగింపులను ఉపయోగించడం రెండూ చేయబడుతుంది, ఇవి ప్రస్తుతం అధికారికంగా క్రింది SIEMలకు మాత్రమే అందుబాటులో ఉన్నాయి - Splunk (Splunk కోసం Azure Monitor Add-On), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight మరియు ELK. ఇటీవలి వరకు, ఇటువంటి SIEMలు మరిన్ని ఉన్నాయి, కానీ జూన్ 1, 2019 నుండి, మైక్రోసాఫ్ట్ Azure లాగ్ ఇంటిగ్రేషన్ టూల్ (AzLog)కి మద్దతు ఇవ్వడం ఆపివేసింది, ఇది Azure ఉనికిలో ఉన్న సమయంలో మరియు లాగ్‌లతో పని చేసే సాధారణ ప్రమాణీకరణ లేనప్పుడు (Azure మానిటర్ ఇంకా ఉనికిలో లేదు) మైక్రోసాఫ్ట్ క్లౌడ్‌తో బాహ్య SIEMని సులభతరం చేసింది. ఇప్పుడు పరిస్థితి మారింది మరియు ఇతర SIEMల కోసం మైక్రోసాఫ్ట్ అజూర్ ఈవెంట్ హబ్ ప్లాట్‌ఫారమ్‌ను ప్రధాన ఇంటిగ్రేషన్ సాధనంగా సిఫార్సు చేస్తోంది. చాలా మంది ఇప్పటికే ఇటువంటి ఏకీకరణను అమలు చేసారు, కానీ జాగ్రత్తగా ఉండండి - అవి అన్ని అజూర్ లాగ్‌లను సంగ్రహించకపోవచ్చు, కానీ కొన్ని మాత్రమే (మీ SIEM కోసం డాక్యుమెంటేషన్‌లో చూడండి).

అజూర్‌లో క్లుప్త విహారయాత్రను ముగించి, నేను ఈ క్లౌడ్ సేవ గురించి ఒక సాధారణ సిఫార్సును ఇవ్వాలనుకుంటున్నాను - మీరు అజూర్‌లోని సమాచార భద్రతా పర్యవేక్షణ ఫంక్షన్‌ల గురించి ఏదైనా చెప్పే ముందు, మీరు వాటిని చాలా జాగ్రత్తగా కాన్ఫిగర్ చేయాలి మరియు అవి డాక్యుమెంటేషన్‌లో వ్రాసినట్లుగా పనిచేస్తాయని పరీక్షించాలి మరియు కన్సల్టెంట్‌లు మైక్రోసాఫ్ట్‌కు చెప్పినట్లుగా (మరియు అజూర్ ఫంక్షన్‌ల కార్యాచరణపై వారికి భిన్నమైన అభిప్రాయాలు ఉండవచ్చు). మీకు ఆర్థిక వనరులు ఉంటే, సమాచార భద్రత పర్యవేక్షణ పరంగా మీరు అజూర్ నుండి చాలా ఉపయోగకరమైన సమాచారాన్ని పొందవచ్చు. మీ వనరులు పరిమితం అయితే, AWS విషయంలో వలె, మీరు మీ స్వంత బలం మరియు అజూర్ మానిటర్ మీకు అందించే ముడి డేటాపై మాత్రమే ఆధారపడవలసి ఉంటుంది. మరియు అనేక పర్యవేక్షణ ఫంక్షన్లకు డబ్బు ఖర్చవుతుందని గుర్తుంచుకోండి మరియు ముందుగానే ధరల విధానంతో మిమ్మల్ని పరిచయం చేసుకోవడం మంచిది. ఉదాహరణకు, మీరు ఒక కస్టమర్‌కు గరిష్టంగా 31 GB వరకు 5 రోజుల డేటాను ఉచితంగా నిల్వ చేయవచ్చు - ఈ విలువలను మించి ఉంటే మీరు అదనపు డబ్బును ఫోర్క్ చేయవలసి ఉంటుంది (కస్టమర్ నుండి ప్రతి అదనపు GBని నిల్వ చేయడానికి సుమారు $2+ మరియు దీని కోసం $0,1 ప్రతి అదనపు నెల 1 GB నిల్వ చేస్తోంది ). అప్లికేషన్ టెలిమెట్రీ మరియు మెట్రిక్‌లతో పని చేయడానికి అదనపు నిధులు అవసరం కావచ్చు, అలాగే హెచ్చరికలు మరియు నోటిఫికేషన్‌లతో పని చేయవచ్చు (ఒక నిర్దిష్ట పరిమితి ఉచితంగా అందుబాటులో ఉంటుంది, ఇది మీ అవసరాలకు సరిపోకపోవచ్చు).

ఉదాహరణ: Google క్లౌడ్ ప్లాట్‌ఫారమ్ ఆధారంగా IaaSలో సమాచార భద్రత పర్యవేక్షణ

AWS మరియు Azureతో పోలిస్తే Google క్లౌడ్ ప్లాట్‌ఫారమ్ యువకుడిలా కనిపిస్తుంది, కానీ ఇది కొంతవరకు మంచిది. AWS కాకుండా, భద్రతతో సహా దాని సామర్థ్యాలను క్రమంగా పెంచుకుంది, కేంద్రీకరణతో సమస్యలను కలిగి ఉంటుంది; అజూర్ వంటి GCP, కేంద్రంగా మెరుగ్గా నిర్వహించబడుతుంది, ఇది ఎంటర్‌ప్రైజ్‌లో లోపాలు మరియు అమలు సమయాన్ని తగ్గిస్తుంది. భద్రతా కోణం నుండి, GCP అనేది AWS మరియు Azure మధ్య విచిత్రంగా సరిపోతుంది. అతను మొత్తం సంస్థ కోసం ఒకే ఈవెంట్ నమోదును కలిగి ఉన్నాడు, కానీ అది అసంపూర్ణంగా ఉంది. కొన్ని విధులు ఇప్పటికీ బీటా మోడ్‌లో ఉన్నాయి, కానీ క్రమంగా ఈ లోపం తొలగించబడాలి మరియు సమాచార భద్రత పర్యవేక్షణ పరంగా GCP మరింత పరిణతి చెందిన ప్లాట్‌ఫారమ్ అవుతుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

GCPలో ఈవెంట్‌లను లాగింగ్ చేయడానికి ప్రధాన సాధనం స్టాక్‌డ్రైవర్ లాగింగ్ (అజూర్ మానిటర్ మాదిరిగానే), ఇది మీ మొత్తం క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్ (అలాగే AWS నుండి) ఈవెంట్‌లను సేకరించడానికి మిమ్మల్ని అనుమతిస్తుంది. GCPలో భద్రతా కోణం నుండి, ప్రతి సంస్థ, ప్రాజెక్ట్ లేదా ఫోల్డర్‌లో నాలుగు లాగ్‌లు ఉంటాయి:

  • అడ్మిన్ యాక్టివిటీ - అడ్మినిస్ట్రేటివ్ యాక్సెస్‌కు సంబంధించిన అన్ని ఈవెంట్‌లను కలిగి ఉంటుంది, ఉదాహరణకు, వర్చువల్ మెషీన్‌ను సృష్టించడం, యాక్సెస్ హక్కులను మార్చడం మొదలైనవి. ఈ లాగ్ మీ కోరికతో సంబంధం లేకుండా ఎల్లప్పుడూ వ్రాయబడుతుంది మరియు దాని డేటాను 400 రోజులు నిల్వ చేస్తుంది.
  • డేటా యాక్సెస్ - క్లౌడ్ వినియోగదారుల ద్వారా డేటాతో పని చేయడానికి సంబంధించిన అన్ని ఈవెంట్‌లను కలిగి ఉంటుంది (సృష్టి, సవరణ, పఠనం మొదలైనవి). డిఫాల్ట్‌గా, ఈ లాగ్ వ్రాయబడలేదు, దాని వాల్యూమ్ చాలా త్వరగా ఉబ్బుతుంది. ఈ కారణంగా, దాని షెల్ఫ్ జీవితం 30 రోజులు మాత్రమే. అదనంగా, ఈ పత్రికలో ప్రతిదీ వ్రాయబడలేదు. ఉదాహరణకు, వినియోగదారులందరికీ పబ్లిక్‌గా యాక్సెస్ చేయగల లేదా GCPకి లాగిన్ చేయకుండా యాక్సెస్ చేయగల వనరులకు సంబంధించిన ఈవెంట్‌లు దీనికి వ్రాయబడవు.
  • సిస్టమ్ ఈవెంట్ - వినియోగదారులకు సంబంధించిన సిస్టమ్ ఈవెంట్‌లు లేదా క్లౌడ్ వనరుల కాన్ఫిగరేషన్‌ను మార్చే నిర్వాహకుడి చర్యలను కలిగి ఉంటుంది. ఇది ఎల్లప్పుడూ వ్రాసి 400 రోజులు నిల్వ చేయబడుతుంది.
  • యాక్సెస్ పారదర్శకత అనేది వారి ఉద్యోగ విధుల్లో భాగంగా మీ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను యాక్సెస్ చేసే Google ఉద్యోగుల (కానీ ఇంకా అన్ని GCP సేవల కోసం కాదు) అన్ని చర్యలను క్యాప్చర్ చేసే లాగ్‌కి ఒక ప్రత్యేక ఉదాహరణ. ఈ లాగ్ 400 రోజుల పాటు నిల్వ చేయబడుతుంది మరియు ప్రతి GCP క్లయింట్‌కు అందుబాటులో ఉండదు, అయితే అనేక షరతులు (గోల్డ్ లేదా ప్లాటినం స్థాయి మద్దతు లేదా కార్పొరేట్ మద్దతులో భాగంగా నిర్దిష్ట రకం 4 పాత్రలు ఉండటం) పాటించినట్లయితే మాత్రమే. ఇదే విధమైన ఫంక్షన్ కూడా అందుబాటులో ఉంది, ఉదాహరణకు, ఆఫీస్ 365 - లాక్‌బాక్స్‌లో.

లాగ్ ఉదాహరణ: యాక్సెస్ పారదర్శకత

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

లాగ్ వ్యూయర్ ఇంటర్‌ఫేస్ ద్వారా, API ద్వారా, Google క్లౌడ్ SDK ద్వారా లేదా మీ ప్రాజెక్ట్ యొక్క కార్యాచరణ పేజీ ద్వారా - ఈ లాగ్‌లకు యాక్సెస్ అనేక విధాలుగా సాధ్యమవుతుంది (గతంలో Azure మరియు AWS గురించి చర్చించిన విధంగానే) - ఈవెంట్స్ పట్ల ఆసక్తి కలిగి ఉంటారు. అదే విధంగా, అదనపు విశ్లేషణ కోసం వాటిని బాహ్య పరిష్కారాలకు ఎగుమతి చేయవచ్చు. రెండోది BigQuery లేదా Cloud Pub/Sub storageకి లాగ్‌లను ఎగుమతి చేయడం ద్వారా జరుగుతుంది.

Stackdriver లాగింగ్‌తో పాటు, GCP ప్లాట్‌ఫారమ్ Stackdriver మానిటరింగ్ కార్యాచరణను కూడా అందిస్తుంది, ఇది క్లౌడ్ సేవలు మరియు అప్లికేషన్‌ల యొక్క కీలకమైన కొలమానాలను (పనితీరు, MTBF, మొత్తం ఆరోగ్యం మొదలైనవి) పర్యవేక్షించడానికి మిమ్మల్ని అనుమతిస్తుంది. ప్రాసెస్ చేయబడిన మరియు విజువలైజ్ చేయబడిన డేటా మీ క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో భద్రతతో సహా సమస్యలను కనుగొనడాన్ని సులభతరం చేస్తుంది. అయితే ఈ ఫంక్షనాలిటీ సమాచార భద్రత విషయంలో చాలా గొప్పగా ఉండదని గమనించాలి, ఎందుకంటే ఈ రోజు GCPకి అదే AWS GuardDuty యొక్క అనలాగ్ లేదు మరియు అన్ని నమోదిత ఈవెంట్‌లలో చెడు వాటిని గుర్తించలేదు (Google ఈవెంట్ థ్రెట్ డిటెక్షన్‌ను అభివృద్ధి చేసింది, కానీ ఇది ఇప్పటికీ బీటాలో అభివృద్ధిలో ఉంది మరియు దాని ఉపయోగం గురించి మాట్లాడటం చాలా తొందరగా ఉంది). స్టాక్‌డ్రైవర్ మానిటరింగ్‌ను క్రమరాహిత్యాలను గుర్తించడానికి ఒక వ్యవస్థగా ఉపయోగించవచ్చు, ఇది వాటి సంభవించిన కారణాలను కనుగొనడానికి పరిశోధించబడుతుంది. కానీ మార్కెట్లో GCP సమాచార భద్రత రంగంలో అర్హత కలిగిన సిబ్బంది లేకపోవడంతో, ఈ పని ప్రస్తుతం కష్టంగా కనిపిస్తోంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

మీ GCP క్లౌడ్‌లో ఉపయోగించగల మరియు AWS అందించే వాటికి సమానమైన కొన్ని సమాచార భద్రతా మాడ్యూళ్ల జాబితాను అందించడం కూడా విలువైనదే:

  • క్లౌడ్ సెక్యూరిటీ కమాండ్ సెంటర్ అనేది AWS సెక్యూరిటీ హబ్ మరియు అజూర్ సెక్యూరిటీ సెంటర్ యొక్క అనలాగ్.
  • క్లౌడ్ DLP - 90 కంటే ఎక్కువ ముందే నిర్వచించిన వర్గీకరణ విధానాలను ఉపయోగించి క్లౌడ్‌లో హోస్ట్ చేయబడిన డేటా యొక్క స్వయంచాలక ఆవిష్కరణ మరియు సవరణ (ఉదా. మాస్కింగ్).
  • క్లౌడ్ స్కానర్ అనేది యాప్ ఇంజిన్, కంప్యూట్ ఇంజిన్ మరియు గూగుల్ కుబెర్నెట్‌లలో తెలిసిన దుర్బలత్వాల కోసం (XSS, ఫ్లాష్ ఇంజెక్షన్, అన్‌ప్యాచ్డ్ లైబ్రరీలు మొదలైనవి) స్కానర్.
  • క్లౌడ్ IAM - అన్ని GCP వనరులకు యాక్సెస్‌ని నియంత్రించండి.
  • క్లౌడ్ గుర్తింపు - GCP వినియోగదారు, పరికరం మరియు అప్లికేషన్ ఖాతాలను ఒకే కన్సోల్ నుండి నిర్వహించండి.
  • క్లౌడ్ HSM - క్రిప్టోగ్రాఫిక్ కీల రక్షణ.
  • క్లౌడ్ కీ మేనేజ్‌మెంట్ సర్వీస్ - GCPలో క్రిప్టోగ్రాఫిక్ కీల నిర్వహణ.
  • VPC సేవా నియంత్రణ - మీ GCP వనరులను లీక్‌ల నుండి రక్షించడానికి వాటి చుట్టూ సురక్షితమైన చుట్టుకొలతను సృష్టించండి.
  • టైటాన్ సెక్యూరిటీ కీ - ఫిషింగ్ నుండి రక్షణ.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ఈ మాడ్యూళ్ళలో చాలా భద్రతా ఈవెంట్‌లను ఉత్పత్తి చేస్తాయి, వీటిని విశ్లేషణ కోసం BigQuery నిల్వకు పంపవచ్చు లేదా SIEMతో సహా ఇతర సిస్టమ్‌లకు ఎగుమతి చేయవచ్చు. పైన పేర్కొన్నట్లుగా, GCP అనేది చురుకుగా అభివృద్ధి చెందుతున్న ప్లాట్‌ఫారమ్ మరియు Google ఇప్పుడు దాని ప్లాట్‌ఫారమ్ కోసం అనేక కొత్త సమాచార భద్రతా మాడ్యూల్‌లను అభివృద్ధి చేస్తోంది. వాటిలో ఈవెంట్ థ్రెట్ డిటెక్షన్ (ఇప్పుడు బీటాలో అందుబాటులో ఉంది), ఇది స్టాక్‌డ్రైవర్ లాగ్‌లను అనధికారిక కార్యాచరణ (AWSలో గార్డ్‌డ్యూటీకి సారూప్యంగా ఉంటుంది) లేదా పాలసీ ఇంటెలిజెన్స్ (ఆల్ఫాలో అందుబాటులో ఉంది) యొక్క జాడల కోసం స్కాన్ చేస్తుంది, దీని కోసం తెలివైన విధానాలను అభివృద్ధి చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. GCP వనరులకు యాక్సెస్.

నేను జనాదరణ పొందిన క్లౌడ్ ప్లాట్‌ఫారమ్‌లలోని అంతర్నిర్మిత పర్యవేక్షణ సామర్థ్యాల యొక్క చిన్న అవలోకనాన్ని చేసాను. కానీ "రా" IaaS ప్రొవైడర్ లాగ్‌లతో (AWS లేదా Azure లేదా Google యొక్క అధునాతన సామర్థ్యాలను కొనుగోలు చేయడానికి ప్రతి ఒక్కరూ సిద్ధంగా లేరు) పని చేయగల నిపుణులను కలిగి ఉన్నారా? అదనంగా, చాలా మందికి “నమ్మండి, కానీ ధృవీకరించండి” అనే సామెత సుపరిచితం, ఇది భద్రతా రంగంలో గతంలో కంటే నిజం. మీకు సమాచార భద్రతా ఈవెంట్‌లను పంపే క్లౌడ్ ప్రొవైడర్ యొక్క అంతర్నిర్మిత సామర్థ్యాలను మీరు ఎంతవరకు విశ్వసిస్తున్నారు? వారు సమాచార భద్రతపై ఎంత దృష్టి పెట్టారు?

కొన్నిసార్లు అంతర్నిర్మిత క్లౌడ్ భద్రతను పూర్తి చేయగల ఓవర్‌లే క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్ మానిటరింగ్ సొల్యూషన్‌లను చూడటం విలువైనదే, మరియు కొన్నిసార్లు క్లౌడ్‌లో హోస్ట్ చేయబడిన మీ డేటా మరియు అప్లికేషన్‌ల భద్రతపై అంతర్దృష్టిని పొందడానికి ఇటువంటి పరిష్కారాలు మాత్రమే ఎంపిక. అదనంగా, అవి చాలా సౌకర్యవంతంగా ఉంటాయి, ఎందుకంటే వివిధ క్లౌడ్ ప్రొవైడర్ల నుండి వివిధ క్లౌడ్ సేవల ద్వారా ఉత్పత్తి చేయబడిన అవసరమైన లాగ్‌లను విశ్లేషించే అన్ని పనులను వారు తీసుకుంటారు. అటువంటి అతివ్యాప్తి పరిష్కారానికి ఉదాహరణ సిస్కో స్టీల్త్‌వాచ్ క్లౌడ్, ఇది ఒకే పనిపై దృష్టి సారించింది - Amazon AWS, Microsoft Azure మరియు Google క్లౌడ్ ప్లాట్‌ఫారమ్ మాత్రమే కాకుండా ప్రైవేట్ క్లౌడ్‌లతో సహా క్లౌడ్ పరిసరాలలో సమాచార భద్రతా క్రమరాహిత్యాలను పర్యవేక్షించడం.

ఉదాహరణ: స్టెల్త్‌వాచ్ క్లౌడ్‌ని ఉపయోగించి ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్

AWS అనువైన కంప్యూటింగ్ ప్లాట్‌ఫారమ్‌ను అందిస్తుంది, అయితే ఈ సౌలభ్యం భద్రతా సమస్యలకు దారితీసే తప్పులను కంపెనీలకు సులభతరం చేస్తుంది. మరియు షేర్డ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ మోడల్ దీనికి మాత్రమే దోహదపడుతుంది. తెలియని దుర్బలత్వాలతో క్లౌడ్‌లో సాఫ్ట్‌వేర్‌ను అమలు చేయడం (తెలిసిన వాటిని ఎదుర్కోవచ్చు, ఉదాహరణకు, AWS ఇన్‌స్పెక్టర్ లేదా GCP క్లౌడ్ స్కానర్), బలహీనమైన పాస్‌వర్డ్‌లు, తప్పు కాన్ఫిగరేషన్‌లు, ఇన్‌సైడర్‌లు మొదలైనవి. మరియు ఇవన్నీ క్లౌడ్ వనరుల ప్రవర్తనలో ప్రతిబింబిస్తాయి, ఇది సిస్కో స్టీల్త్‌వాచ్ క్లౌడ్ ద్వారా పర్యవేక్షించబడుతుంది, ఇది సమాచార భద్రతా పర్యవేక్షణ మరియు దాడిని గుర్తించే వ్యవస్థ. పబ్లిక్ మరియు ప్రైవేట్ మేఘాలు.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

సిస్కో స్టెల్త్‌వాచ్ క్లౌడ్ యొక్క ముఖ్య లక్షణాలలో ఒకటి మోడల్ ఎంటిటీల సామర్థ్యం. దానితో, మీరు మీ ప్రతి క్లౌడ్ రిసోర్స్‌ల (అది AWS, Azure, GCP లేదా మరేదైనా అయినా పట్టింపు లేదు) సాఫ్ట్‌వేర్ మోడల్‌ను (అంటే, సమీప నిజ-సమయ అనుకరణ) సృష్టించవచ్చు. వీటిలో సర్వర్‌లు మరియు వినియోగదారులు అలాగే మీ క్లౌడ్ పర్యావరణానికి నిర్దిష్టమైన భద్రతా సమూహాలు మరియు స్వీయ-స్థాయి సమూహాలు వంటి వనరుల రకాలు ఉంటాయి. ఈ నమూనాలు క్లౌడ్ సేవల ద్వారా అందించబడిన నిర్మాణాత్మక డేటా స్ట్రీమ్‌లను ఇన్‌పుట్‌గా ఉపయోగిస్తాయి. ఉదాహరణకు, AWS కోసం ఇవి VPC ఫ్లో లాగ్‌లు, AWS CloudTrail, AWS క్లౌడ్‌వాచ్, AWS కాన్ఫిగ్, AWS ఇన్‌స్పెక్టర్, AWS లాంబ్డా మరియు AWS IAM. ఎంటిటీ మోడలింగ్ మీ వనరులలో ఏదైనా పాత్ర మరియు ప్రవర్తనను స్వయంచాలకంగా కనుగొంటుంది (మీరు అన్ని క్లౌడ్ కార్యాచరణను ప్రొఫైలింగ్ చేయడం గురించి మాట్లాడవచ్చు). ఈ పాత్రలలో Android లేదా Apple మొబైల్ పరికరం, Citrix PVS సర్వర్, RDP సర్వర్, మెయిల్ గేట్‌వే, VoIP క్లయింట్, టెర్మినల్ సర్వర్, డొమైన్ కంట్రోలర్ మొదలైనవి ఉన్నాయి. ప్రమాదకర లేదా భద్రతకు ముప్పు కలిగించే ప్రవర్తన ఎప్పుడు సంభవిస్తుందో తెలుసుకోవడానికి ఇది వారి ప్రవర్తనను నిరంతరం పర్యవేక్షిస్తుంది. మీరు పాస్‌వర్డ్ ఊహించడం, DDoS దాడులు, డేటా లీక్‌లు, అక్రమ రిమోట్ యాక్సెస్, హానికరమైన కోడ్ యాక్టివిటీ, వల్నరబిలిటీ స్కానింగ్ మరియు ఇతర బెదిరింపులను గుర్తించవచ్చు. ఉదాహరణకు, SSH ద్వారా మీ సంస్థ (దక్షిణ కొరియా) కోసం వైవిధ్యమైన దేశం నుండి కుబెర్నెట్స్ క్లస్టర్‌కి రిమోట్ యాక్సెస్ ప్రయత్నాన్ని గుర్తించడం ఇలా కనిపిస్తుంది:

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

పోస్ట్‌గ్రెస్ డేటాబేస్ నుండి మేము ఇంతకు ముందు పరస్పర చర్యను ఎదుర్కోని దేశానికి ఆరోపించిన సమాచారం లీక్ కావడం ఇలా కనిపిస్తుంది:

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

చివరగా, బాహ్య రిమోట్ పరికరం నుండి చైనా మరియు ఇండోనేషియా నుండి అనేక విఫలమైన SSH ప్రయత్నాలు ఇలా ఉన్నాయి:

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

లేదా, VPCలోని సర్వర్ ఉదాహరణ, విధానం ప్రకారం, రిమోట్ లాగిన్ గమ్యస్థానంగా ఉండకూడదు. ఫైర్‌వాల్ నియమాల విధానంలో ఒక తప్పు మార్పు కారణంగా ఈ కంప్యూటర్ రిమోట్ లాగిన్‌ను అనుభవించిందని అనుకుందాం. ఎంటిటీ మోడలింగ్ ఫీచర్ ఈ యాక్టివిటీని (“అసాధారణ రిమోట్ యాక్సెస్”) నిజ సమయంలో గుర్తించి, నివేదిస్తుంది మరియు నిర్దిష్ట AWS CloudTrail, Azure Monitor లేదా GCP Stackdriver లాగింగ్ API కాల్‌కి (వినియోగదారు పేరు, తేదీ మరియు సమయంతో సహా, ఇతర వివరాలతో సహా) పాయింట్ చేస్తుంది. ).ఇది ITU నియమానికి మార్పును ప్రేరేపించింది. ఆపై ఈ సమాచారాన్ని విశ్లేషణ కోసం SIEMకి పంపవచ్చు.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

Cisco Stealthwatch Cloud ద్వారా మద్దతిచ్చే ఏదైనా క్లౌడ్ వాతావరణం కోసం ఇలాంటి సామర్థ్యాలు అమలు చేయబడతాయి:

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ఎంటిటీ మోడలింగ్ అనేది మీ వ్యక్తులు, ప్రక్రియలు లేదా సాంకేతికతతో మునుపు తెలియని సమస్యను వెలికితీసే భద్రతా ఆటోమేషన్ యొక్క ప్రత్యేకమైన రూపం. ఉదాహరణకు, ఇతర విషయాలతోపాటు, భద్రతా సమస్యలను గుర్తించడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది:

  • మనం ఉపయోగించే సాఫ్ట్‌వేర్‌లో ఎవరైనా బ్యాక్‌డోర్‌ని కనుగొన్నారా?
  • మా క్లౌడ్‌లో ఏదైనా మూడవ పార్టీ సాఫ్ట్‌వేర్ లేదా పరికరం ఉందా?
  • అధికార వినియోగదారు అధికారాలను దుర్వినియోగం చేస్తున్నారా?
  • రిమోట్ యాక్సెస్ లేదా ఇతర అనాలోచిత వనరుల వినియోగాన్ని అనుమతించే కాన్ఫిగరేషన్ లోపం ఉందా?
  • మా సర్వర్‌ల నుండి డేటా లీక్ అయిందా?
  • విలక్షణమైన భౌగోళిక స్థానం నుండి ఎవరైనా మమ్మల్ని కనెక్ట్ చేయడానికి ప్రయత్నిస్తున్నారా?
  • మా క్లౌడ్ హానికరమైన కోడ్‌తో సోకిందా?

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

గుర్తించబడిన సమాచార భద్రతా ఈవెంట్‌ను సంబంధిత టిక్కెట్ రూపంలో స్లాక్, సిస్కో స్పార్క్, పేజర్‌డ్యూటీ ఇన్సిడెంట్ మేనేజ్‌మెంట్ సిస్టమ్‌కి పంపవచ్చు మరియు స్ప్లంక్ లేదా ELKతో సహా వివిధ SIEMలకు కూడా పంపబడుతుంది. సంగ్రహంగా చెప్పాలంటే, మీ కంపెనీ బహుళ-క్లౌడ్ వ్యూహాన్ని ఉపయోగిస్తుంటే మరియు ఏ ఒక్క క్లౌడ్ ప్రొవైడర్‌కు మాత్రమే పరిమితం కానట్లయితే, పైన వివరించిన సమాచార భద్రతా పర్యవేక్షణ సామర్థ్యాలు, సిస్కో స్టీల్త్‌వాచ్ క్లౌడ్‌ని ఉపయోగించడం అనేది ఏకీకృత పర్యవేక్షణ సెట్‌ను పొందడానికి మంచి ఎంపిక అని మేము చెప్పగలం. ప్రముఖ క్లౌడ్ ప్లేయర్‌ల సామర్థ్యాలు - Amazon , Microsoft మరియు Google. అత్యంత ఆసక్తికరమైన విషయం ఏమిటంటే, మీరు AWS, Azure లేదా GCPలో ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ కోసం అధునాతన లైసెన్స్‌లతో Stealthwatch క్లౌడ్ ధరలను పోల్చినట్లయితే, Cisco సొల్యూషన్ అమెజాన్, మైక్రోసాఫ్ట్ యొక్క అంతర్నిర్మిత సామర్థ్యాల కంటే చౌకగా ఉంటుందని తేలింది. మరియు Google పరిష్కారాలు. ఇది విరుద్ధమైనది, కానీ ఇది నిజం. మరియు మీరు ఉపయోగించే ఎక్కువ మేఘాలు మరియు వాటి సామర్థ్యాలు, ఏకీకృత పరిష్కారం యొక్క ప్రయోజనం మరింత స్పష్టంగా ఉంటుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

అదనంగా, Stealthwatch Cloud మీ సంస్థలో అమర్చబడిన ప్రైవేట్ క్లౌడ్‌లను పర్యవేక్షించగలదు, ఉదాహరణకు, Kubernetes కంటైనర్‌ల ఆధారంగా లేదా నెట్‌ఫ్లో ఫ్లోలను పర్యవేక్షించడం లేదా నెట్‌వర్క్ పరికరాలు (దేశీయంగా ఉత్పత్తి చేయబడినవి కూడా), AD డేటా లేదా DNS సర్వర్‌లలో ప్రతిబింబించడం ద్వారా అందుకున్న నెట్‌వర్క్ ట్రాఫిక్‌ను పర్యవేక్షించడం. ప్రపంచంలోనే అతిపెద్ద ప్రభుత్వేతర సైబర్‌ సెక్యూరిటీ థ్రెట్ పరిశోధకుల సమూహం అయిన సిస్కో టాలోస్ సేకరించిన థ్రెట్ ఇంటెలిజెన్స్ సమాచారంతో ఈ డేటా మొత్తం సమృద్ధిగా ఉంటుంది.

క్లౌడ్ సెక్యూరిటీ మానిటరింగ్

ఇది మీ కంపెనీ ఉపయోగించే పబ్లిక్ మరియు హైబ్రిడ్ క్లౌడ్‌ల కోసం ఏకీకృత పర్యవేక్షణ వ్యవస్థను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సేకరించిన సమాచారాన్ని Stealthwatch Cloud యొక్క అంతర్నిర్మిత సామర్థ్యాలను ఉపయోగించి విశ్లేషించవచ్చు లేదా మీ SIEMకి పంపవచ్చు (Splunk, ELK, SumoLogic మరియు అనేక ఇతర వాటికి డిఫాల్ట్‌గా మద్దతు ఉంది).

దీనితో, మేము కథనం యొక్క మొదటి భాగాన్ని పూర్తి చేస్తాము, దీనిలో IaaS/PaaS ప్లాట్‌ఫారమ్‌ల సమాచార భద్రతను పర్యవేక్షించడం కోసం అంతర్నిర్మిత మరియు బాహ్య సాధనాలను సమీక్షించాను, ఇది క్లౌడ్ పరిసరాలలో సంభవించే సంఘటనలను త్వరగా గుర్తించడానికి మరియు ప్రతిస్పందించడానికి అనుమతిస్తుంది. మా సంస్థ ఎంపిక చేసింది. రెండవ భాగంలో, మేము టాపిక్‌ను కొనసాగిస్తాము మరియు సేల్స్‌ఫోర్స్ మరియు డ్రాప్‌బాక్స్ ఉదాహరణను ఉపయోగించి SaaS ప్లాట్‌ఫారమ్‌లను పర్యవేక్షించడానికి ఎంపికలను పరిశీలిస్తాము మరియు మేము వివిధ క్లౌడ్ ప్రొవైడర్‌ల కోసం ఏకీకృత సమాచార భద్రతా పర్యవేక్షణ వ్యవస్థను సృష్టించడం ద్వారా అన్నింటినీ సంగ్రహించడానికి మరియు కలిసి ఉంచడానికి కూడా ప్రయత్నిస్తాము.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి