云监控

要想在云环境中进行有效的安全 监控，就必须同时了解云的独特特性和使用共享基础设施所带来的特定责任。与传统的 IT 环境不同，云平台引入了新的动态因素，例如全球可访问性、快速的资源创建和破坏（又称变化速度）以及多账户架构（我在第 4 章中已经谈到）。这些都是严重影响监控方式的众多因素之一。

CSA 确定了在设计云环境监控策略时必须考虑的几个关键因素。这些领域中的每一个都为构建弹性、可扩展性和自动化的安全监控能力带来了不同的挑战：

管理平面

从第 1 章我们知道，，管理平面是云环境中创建、修改和删除虚拟资源的地方。这里也是进行所有安全配置的地方。我们还知道，由于云具有广泛的网络访问特性，世界上任何地方都可以访问这个控制台。对管理平面的监控对于维护云安全至关重要。我将在本章稍后讨论可用于协助监控该环境的新工具。

变化速度

Cloud 资源 的创建和删除速度快得惊人。此外，许多云资源都是短暂的（寿命短）。因此，事件响应必须自动化。事件驱动安全就是一个很好的例子，在这种方法中，检测到一个动作，就会执行自动响应。以更改安全组（虚拟防火墙）规则集为例。通过监控用于修改规则集的 API 调用，可以自动调用函数将更改恢复到规则集应有的状态。除了这个事件驱动安全的例子，主要的 IaaS CSP 还提供了许多服务，您可以利用这些服务建立强大的自动响应能力。

分发和隔离

在第 4 章中，我们在上介绍了使用硬安全边界来限制事件发生时的爆炸半径。从监控角度来看，这需要整合日志和配置项。假设您的提供商支持集中监控（所有大型 IaaS 提供商都支持，但请向您的 CSP 确认），您可以创建一个安全监控帐户/订阅，并从该集中安全监控环境中监控所有帐户/订阅。

云蔓延

云蔓延（Cloud Sprawl）是在多个 CSP 之间分布和隔离的简单延伸。云蔓延大大增加了复杂性，因为每个 CSP 环境都需要架构、实施和维护一个强大的安全监控系统。虽然可以通过将日志数据转发到集中式 SIEM 和/或 SOAR 系统来集中监控所有云环境，但应仔细考虑这种方法的权衡，如出口网络费用和延迟。选择性地将高优先级事件转发到集中式 SIEM/SOAR 解决方案，以便集中查看高优先级指标和安全事件，这可能是平衡成本和延迟的有效方法。我将在本章后面的中更详细地介绍 SIEM 和 SOAR。

责任分配

正如第 1 章中提到的，在使用 CSP 之前，，了解谁负责 SSRM 中的哪些工作。

日志和事件

日志和事件是监控、合规性、责任和风险管理的基础。虽然这两个术语经常被互换使用，但两者之间存在本质区别。

日志包括 详细记录环境中发生的一切，从查看配置到更改配置。从本质上讲，日志记录的是 ...