论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 1 篇帖子 ] 
作者 内容
 文章标题 : 云中的应用监控: 平等交换
帖子发表于 : 2013-10-24 14:08 
离线
高级用户

注册: 2010-01-29 11:13
最近: 2014-08-07 09:30
拥有: 241.00 安全币

奖励: 0 安全币
在线: 1051 点
帖子: 203
在本文中,我们限定“监控”专注于应用安全监控。特别的,下列各项指标应该得到解决:
1. 日志监控。它不仅仅是出于合规目的而归档日志。了解可能这些日志的潜在产出,并监控可操作的事件。除非存在流程来发现并响应应用错误的日志,否则应用错误的日志就什么用也没有。
2. 性能监控。它是共享云计算的一个重要因素。一个应用性能的显著变化可能源于一名客户对受限资源(如CPU、内存、SAN存储)的使用超过了公平分配的资源限制,或者源于着受监控的应用或者是在共享基础设施中的其它应用中存在恶意行为。
3. 监控恶意使用。其成功要求结合审计和监控。当恶意用户企图访问或使用他们没有的权限时,企业必须了解发生了什么。审计日志必须记录失败(和成功)的登录尝试。数据验证功能会记录所有事情吗?如果一个应用经历了流量负载的大幅度增长,是否会在什么地方创建一个警告呢?
4. 监控违规。这里的关键在于企业如何快速、高效地响应违规。根据应用的复杂性,决定违规也许相对容易些(例如“用户A登录了两次”),也可能需要更多的努力(例如,开发启发式算法来监控数据的使用)。这是一个很好的例证,在SDLC中越早的阶段解决,其管理就会越简单。
5. 监控违反策略(尤其是访问控制)行为。监控和审计一个策略决策点如何做出决策很重要,例如,应用了哪些策略规则来做出特定的访问决策。这符合通用的策略驱动的监控方法,该方法能避免误报及事件超负荷等一般监控问题。
这些是日志监控背后的关键概念 - 平等交换等式中的“获取”部分。同等重要的是,应用的开发者负责相应的“给予”部分,他的应用必须提供可靠的记录子系统来让监控系统高效地进行工作:
1. 易解析的。日志应该写成可以很容易的被异构系统进行解析的格式。一个好的示例是使用XML之类的知名且被普遍接受的格式。一个不好的示例是采用无描述的、多行文本输出格式写日志条目。
2. 易读取的。除非以人类无法直接读取的二进制格式编写,否则毫无疑问,对于有技术背景且熟悉应用的人来说,日志条目应该是能看明白的。
3. 良好的文档。仅仅编写文件日志是不够的。错误代码需要被文档化,并且应该是唯一的。如果特定日志条目有已知的解决方案,对该解决方案建立文档,或提供指向它的参考。
监控不同云类型中的应用
对于基于IaaS的应用,相比于部署在非共享环境中的“遗留”应用,监控该类应用几乎是“正常的”。客户需要监控共享基础设施的事件或恶意合租户(co-tenant)对应用的无授权访问尝试。
监控部署在平台云的应用需要额外的工作。除非平台提供商还提供能够监控已部署应用的监控方案,否则客户只有两个选择:要么编写另外的应用逻辑来执行平台内的监控任务,要么把日志发送到一个远程监控系统,这个系统可以是客户的内部监控系统,也可以是一个第三方服务。
由于SaaS应用提供最少的灵活性,监控这类应用的安全性是最困难的,这是在意料之中的。在使用SaaS产品之前,客户必须对以下问题有个通透的了解:
提供商如何监控其应用?
提供商会给客户发送什么类型的审计、日志或警告信息?客户能选择他们将接收什么信息吗?
提供商用何种方式向客户传递信息?(Twitter?邮件?定制的API?)
云中应用安全监测要考虑的最后一点:虽然提供商(或第三方云监控服务)搭建了一个监控系统来监控客户的应用,但这些监控系统正监控着几百甚至几千个客户。提供商作为一个企业,当然希望这个监控系统能够工作得“足够好”。如果客户有资源,运行只监控自己应用的自主监控系统通常会比云提供商的系统响应更快,信息量更多。

CCSK云计算安全(热荐):
开课时间: CCSK云计算安全 :12/14-15
IT行业当中还没有几个领域能够获得像云计算这样有着如此迅猛发展的态势。,
您想顺利搭上这班“开往春天的地铁”吗?
您想凭次门票实现职业生涯的腾飞吗?
您想拥有一项信息安全的国际权威认证吗?
您是否久欲叩开信息安全行业的大门却苦于无所适从?
那么,赶紧加入我们信息安全学习的大家庭吧http://www.sitc.net.cn/ccsk_if.aspx,SITC的大平台让您不仅学到知识,更能收获良师益友。联系电话:021-62126633-6025


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 1 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012