SIEM上云?弄不好會花兩份錢
責編:gltian |2020-06-16 11:28:45安全上云是數字化安全轉型的熱門概念,但是,“云中漫步”也遍布荊棘和陷阱,任何企業CSO和決策者都應該對此保持足夠的警惕,成功的安全產品(例如SIEM),上云(如果合規的話)未必總是能夠節省成本,弄不好還會增加成本。根據Gartner的預測,到2025年70%的企業數據都將再傳統數據中心或者云計算外部處理(邊緣計算),而根據IDC CloudPulse19年1季度報告,85%的企業都選擇從公共云中“回遷”工作負載。未來,“上云”還是“下云”?“上哪種云”?對于企業安全主管們來說,依然是一個需要格外慎重考慮的問題。
以下內容來自一位資深安全分析師Anton Chuvakin的獨家分享,希望能夠帶給讀者一些啟示:
十多年前,我曾在一家SaaS安全公司工作,該公司的首席執行官有一句口頭禪:“沒有成功的傳統軟件公司能夠轉型為成功的SaaS公司。” 坦白地說,我不知道該“定律”是否存在例外,但我多年來的經驗表明,至少在網絡安全領域,這種例外很少。換句話說,一家失敗的傳統安全軟件公司可能會很好地轉向SaaS,但是成功的安全軟件業務實現這種過渡極為困難,正所謂“成功是失敗之母”。
在這里需要特別提及一種“反云”模式,意即傳統軟件的托管、單租戶、場外部署,這種模式往往也會被稱為“云xx”或“ 某SaaS”。在某些情況下,這種方式對許多企業來說可能是不錯的選擇。但是,在某些情況下,結果不是很好。以SIEM為例,有三種產品模式:
1. SIEM軟件本地部署在客戶硬件上。
2. 在IaaS上部署了與本地相同的SIEM軟件。
3. 原生SaaS SIEM,它是使用云技術和運營實踐構建的SaaS服務。
(請注意,我在這里避開了共同管理的模式,因為這會使今天的話題過于復雜。以上假設所有需要的維護任務都是由客戶或SaaS供應商執行)
哪種模式更好?正如我的Gartner合作撰稿人所言:“這是陷阱!” 確實,這是一個很大的陷阱,因為答案取決于企業的需求和自身條件限制。
首先我們需要簡要回顧一下SIEM的成本問題,因為SIEM費用將遠遠超過您付給SIEM供應商的許可費用。
以下是一些最常見的SIEM的粗略成本模型(硬成本、軟成本和隱性成本):
首先來看硬成本:
1. 初始“硬”成本
1. SIEM許可證成本:基本價格+每個用戶,每個節點,每個EPS,每個CPU(和每個CPU內核)等成本
2. 對于軟件SIEM,還包括所需硬件數量,服務器的OS,數據庫成本
3. (如果有的話)強制性的第三方軟件許可費用(有時包括代理,報告工具等)
4. 供應商或顧問的部署服務。如果未選擇這些服務,則部署的人員、時間等成本將歸入將在下面的軟費用中!
5. 供應商培訓或有關日志,日志管理,SIEM等的第三方培訓
6. 額外的外部存儲(大多數情況下)
2. SIEM持續的運營“硬”成本
1. 各種SIEM供應商服務:支持(通常是強制性的),持續的專業服務成本
2. 操作SIEM的人員:從FTE的一部分(規模非常小,SIEM的用例很少)到1 FTE(小型設備部署)到許多具有各種角色的FTE(如果實施實時監控,則SOC人員配備更多)。SIEM的0 FTE = SIEM項目失敗,概率為100.00%。
3. 定期或偶發的“硬”成本
1. 各種SIEM供應商服務:專業服務,用于設備集成的定制開發工作(如果在內部完成,其中一些可能會變成軟成本–對于高級組織或已經有SIEM經驗的人員)
2. 定期對員工進行SIEM操作和調試培訓
3. 專業人員:DBA,系統管理員,節點系統管理員,自定義連接器的內部開發人員,Crystal Reports管理員等,缺失的崗位則可能會變成“軟”成本
4. 部署擴展成本:與初始成本相同,但是隨著業務的增長,對于額外的系統、軟件、硬件等,如果SIEM的授權費用基于多個維度(例如用戶+ CPU +節點+服務器+其他),則這些成本漏洞將很快“溢出”。
5. 外部存儲擴展成本:如果您的數據容量增加,并且日志保留時間保持不變(例如,PCI DSS為1年),您將需要購買更多存儲空間
軟成本主要有三大塊:
1. 初始“軟”成本
1. SIEM項目的部署時間。如果僅使用內部人員而非供應商或顧問進行部署,則需分配更多時間
2. 日志源配置和集成。這可能比僅僅安裝該工具還要多。這就是SIEM項目實施在具有多個孤島的復雜分布式組織中需要數月時間的原因。
3. 初始調整,內容創建以及使工具匹配環境(盡管可能很輕巧)
4. 培訓以及運營冷啟動需要花費的其他工作人員的時間
2. 持續的運營“軟”成本
1. 報告和其他正在進行的監控任務的審查–24/7、每天、每周
2. 告警響應和升級;SIEM意味著關聯和自動告警
3. 其他“SIEM應用”任務,例如查看儀表板
4. 正常運行維護任務,即維護您的SIEM和存儲、備份、更新、次要故障排除等
3. 定期或偶爾的“軟”成本
1. SIEM規則調整,報告創建,儀表板定制,新日志源集成,其他正在進行的SIEM任務
2. 定期培訓和相關人員的時間成本
3. 擴展:與初始軟成本相同
隱性成本:
1. 事件響應的額外成本:可能會檢測到更多事件
2. 安全事件的補救成本,包括預防性的新技術部署成本
3. 其他部門人員需要時間來處理SIEM揭示的問題。軟成本確實會從安全部門蔓延到IT部門,甚至超出IT范圍(法律,人力資源等)。
以我的經驗,一個SIEM項目的總成本(刨除SIEM商業軟件授權費之外的硬+軟費用),差異極大,從SIEM許可成本的10%到令人難以置信的20倍。
因此,在第一種模式中,您支付了所有這些費用,加上硬件費用以及與在您的數據中心中托管所述硬件相關的所有費用。但是,在第二種模式,您同樣需要支付所有這些成本,加上云成本(存儲、計算、數據移動)。好的,表面上看,您節省了數據中心電費和制冷費用,但您將看到一筆云賬單(每個月)。
我的意思是,在模式1和模式2種,所有的維護任務以及成本都是相同的。模式2是一種偽云,準確說只是租用了其他人的硬件,冷卻風扇和數據中心設施。此外,最大的區別是,模式1主要是資本支出(硬件),模式2是運營支出(云),這種差異對于某些企業來說可能很重要。
云的成本到底有多高呢?在我當分析師的時候,了解過一些案例,其中一位用戶在一個主流公共IaaS基礎架構上部署免費日志搜索工具,結果收到來自云服務商的6-7位數(美元)的賬單。如果你的供應商將數據存儲在云端虛擬機上的MySQL實例中,你需要付出的代價甚至更高(您還能想象比這更“反云”的事嗎?!)。這種情況下,第三種模式(原生SaaS安全應用),成本低得多,而且能夠規避前兩種模式的很多問題,例如:
- 收集和保留某些日志類型的合規性要求
- 監控此數據源和/或系統的合規性要求
- 易于集成日志源
- 供應商的解析器可用性
- 實際將日志數據傳輸到SIEM的能力
綜上所述,雖然在公共IaaS中托管傳統SIEM具有一些優勢,例如您不必購買,管理和更新硬件,也不必購買或擴展數據中心空間。但是,你需要支付與本地部署幾乎相同的SIEM成本,并且還要額外支付云成本。后者的成本有時會極為高昂。利用云原生基礎架構之上的原生云計算工具(以及成熟的云運營實踐)往往能夠大幅降低SIEM總體成本。
總而言之,SIEM不是省油的燈,但以反云方式在云中部署SIEM有可能會花更多的錢。
最后,需要指出的是,本文討論的成本問題,不是SIEM獨有的,也不限于“安全上云”,很多企業數字化轉型IT支出都面臨此類問題。