许多企业正专注于构建内部持续监控策略,以改进漏洞和配置问题的检测和修复。虽然部署持续监控策略是提高网络可见性和安全性的一个重要方面,但在混合云环境中实现这种可见性可能具有挑战性。CDM控制对于许多安全团队而言,与美国国土安全部的持续诊断和缓解(CDM)一致的持续监控策略的基础应包括以下控制:?补丁和配置管理:理想情况下,系统将具有基于主机的代理安装后,它可以提供有关补丁状态和配置项的更新,或将计划的更新发送到中央监控工具。?漏洞扫描:为了持续监控,计划每天或每周对系统和子网进行经过身份验证和未经身份验证的扫描,让管理员全面了解系统级环境中正在运行的内容。?日志和事件管理:企业应部署某种形式的中央日志和事件收集和监控,以收集和报告持续的监控信息并促进任何调查。?网络监控:利用网络流量数据或传统事件(防火墙、IDS等)的网络监控工具可以起到持续监控的作用。?反恶意软件工具:基于网络的恶意软件检测沙箱工具和基于主机的防病毒和白名单工具都提供关键监控和事件数据以帮助持续监控。对于转向混合云模式的企业来说,寻找替代解决方案在云服务提供商环境中提供相同的持续安全监控功能一直很困难。幸运的是,今天有更多选项可以帮助实现持续监控,不久的将来还会有更多选项。如何应对混合云要确定如何在混合云中实施持续安全监控,企业应该采取的第一步是查看其现有供应商及其产品。大多数成熟的安全团队已经在使用各种可以集成到虚拟环境中的工具。云基础设施将始终虚拟化,因此企业将需要不占用太多系统资源的基于主机的工具,例如McAfeeMOVE或趋势科技的DeepSecurity,企业还应使用可整合到云提供商中的轻量级工具环境VM内修补和配置代理(如CloudPassage)可在任何基础设施即服务(IaaS)云中实现这种主机监视和控制。亚马逊现在也有内置的Config程序用于监控配置,微软最近发布的SecurityCenter也有针对Azure实例的监控功能。Microsoft还为所有Azure实例提供内置防病毒软件。许多商业漏洞扫描器(例如Qualys和TenableNessus)现在已通过API完全集成到云计算环境中,并提供符合SCAP的监控和报告。此外,Cisco的LancopeStratawatch和PaloAltoNetworks的NGFW等网络监控工具可以集成到云环境中并监控流量和活动。然而不幸的是,许多大型事件管理工具尚未完全集成到云环境中。一些供应商提供了与云管理相关的活动的日志记录,例如亚马逊的CloudTrail,而MicrosoftAzureDiagnostics也提供了一些云事件的安全监控。还有很多事件监控产品可以集成到云中——尽管大多数与企业内部使用的供应商或服务不同。SumoLogic为云环境提供事件管理和监控服务,AlertLogic的平台可以原生集成到亚马逊云计算服务中。Splunk和AlierVault也有与AWS兼容的事件管理或SIEM平台。混合时代的CSM战略,必然要为迁移到混合云的企业管理新的产品和服务,这意味着更多的运营费用和成本。而且,这可能会持续一段时间,因为并非所有主要安全供应商都会调整他们的产品以适应虚拟和云格式。无论是通过内部使用的传统工具还是市场上的新产品,大多数企业都会发现他们可以在云提供商环境以及他们自己的数据中心内成功实现其持续监控策略的目标。
