通过安全智能获得对云的更好可见性
与过去相比,今天的组织面临的攻击数量和种类更多。 这些攻击变得越来越协调一致,并且针对关键的组织资产,包括客户数据库,知识产权,甚至是由信息系统驱动的物理资产。 随着组织将工作负载转移到云和虚拟数据中心等平台上,出于审计目的以及有效应对组织的虚拟化基础架构面临的威胁,跟踪活动的需求也在增加。
安全管理员通常会担心其云和虚拟环境中的所有“审核”和合规性,例如发生了什么事件, 何时发生, 在哪里发生。 例如,安全管理员可能会对检查整个环境中所有失败和成功的身份验证感兴趣,或者他可能想知道特定事件(例如虚拟机的创建或删除)是否很快。
更具体地说,在云中,组织正在寻找更好的方法来:
- 保护和跟踪虚拟基础架构上的用户活动
- 满足虚拟基础架构的审核和合规性需求
- 更好地了解虚拟基础架构中发生的事情
- 获得虚拟基础架构的运营智能
要提供这种情报,需要汇总并分析来自云中各种来源的数据。
图1.安全情报涉及跨各种来源收集和分析事件。
安全情报是通过实时收集,规范化和分析各种来源的日志来识别,跟踪和解决持久性威胁的综合,自动化和主动方式。 为了监视云活动,除传统的数据中心基础架构,数据库,应用程序和设备之外,该平台还需要从虚拟机管理程序和云管理平台收集事件。
IBM Security QRadar安全智能平台是一个集成的产品家族,可以收集和分析来自这些各种来源的数据。 带有新提供的设备特定模块(DSM)的IBM Security QRadar也可以从虚拟基础架构(例如VMware组件)收集日志和事件。 本文详细介绍了这些新功能,并演示了如何通过仪表板上的实时通知来跟踪用户活动,检测攻击并领先于威胁。 您可以通过适用于所有层(包括虚拟机,虚拟机管理程序和云管理系统)的即用型审计和合规性报告,轻松管理云的安全风险。
下一节重点介绍为基于VMware的虚拟化环境提供安全智能的IBM Security QRadar功能。
适用于VMware云和虚拟化环境的安全智能
VMware vCloud环境包含多个组件。 下表描述了一些必需的关键组件,您需要监视这些组件才能了解云环境。 有关组件的完整列表和详细的vCloud架构,请参见VMware vCloud Architecture Toolkit。 (