Suchen

Speicherung von Log- und Event-Daten SIEM-Lösungen stellen hohe Anforderungen an Storage-Infrastruktur

| Autor / Redakteur: Craig Nunes, 3PAR / Stephan Augsten

Netzwerk- und Systemereignisse werden heutzutage gerne mithilfe von SIEM-Software (Security Information und Event Management) verarbeitet. Eine SIEM-Lösung erfasst und analysiert wiederum Log-Daten, um mögliche Angriffe zu erkennen. Da kommt eine große Menge an Informationen zusammen, die erst einmal gespeichert werden will.

Firmen zum Thema

Ein wichtiger Grundsatz der IT-Sicherheit: Man kann nur jene Angriffe bekämpfen, die man sieht.
Ein wichtiger Grundsatz der IT-Sicherheit: Man kann nur jene Angriffe bekämpfen, die man sieht.
( Archiv: Vogel Business Media )

Um die Bedrohung durch globale, hoch entwickelte Internet-Angriffe zu bekämpfen, greifen Security-Fachleute auf ein breites Spektrum an Techniken zurück. Diese Systeme können täglich Tausende oder sogar Millionen Protokolldateien erzeugen.

Angreifer können unterdessen automatisierte Systeme und Mechanismen nutzen, um Angriffe mit Millionen Events zu starten. Groß angelegte Angriffe verursachen wiederum noch mehr Daten, die zu Analysenzwecken gespeichert werden müssen.

Diese Informationsflut kann eine wenig bekannte Achillesferse in Sicherheitssystemen bloßstellen: das Fehlen eines leistungsfähigen, schnellen und robusten Speichersystems für alle Daten, die analysiert werden müssen.

Storage-Herausforderungen

Die größte Herausforderung für diese Storage-Systeme ist der Datenbestand, den sie verarbeiten müssen und die Geschwindigkeit, mit der er erzeugt werden kann. Einige Unternehmen setzen Tausende IT-Geräte und -Systeme ein, die so viele Events erzeugen, dass sie sehr hohe IOPS-Anforderungen (Input/Output Operations Per Second) an das Speichersystem stellen.

Vorangetrieben durch Automatisierung im Firmennetz setzt sich dieser Prozess sieben Tage in der Woche und 24 Stunden am Tag mit wenigen Pausen fort. Ein Security-Event-Management- und Monitoring-System der Enterprise-Klasse erfordert eine Speicherinfrastruktur, die neben der Kosteneffizienz folgende Eigenschaften aufweist:

  • Reaktionszeit: Unterstützung für bis zu 200.000 IOPS (je nach individuellen Anforderungen des Unternehmens),
  • Skalierbarkeit: Lineare Erweiterbarkeit gemäß wachsenden Datenhaltungsanforderungen
  • Flexibilität: Anpassungsfähigkeit in einer schnell ändernden Security-Landschaft
  • Zuverlässigkeit: Verfügbarkeit für ein konstantes Security Monitoring

Die Pflege und Verwaltung eines Verzeichnisses der Event-Informationen zur Nachprüfung und historischen Analyse erfordert hohe Kapazität und Performance. Und das erfordert die Wahl der richtigen Storage-Technologie.

Ein Unternehmen wollte beispielsweise ein Information und Event Management System auf einer Oracle Datenbank einsetzen, die ungefähr 100.000 IOPS erforderte. Interne Tests zeigten, dass die vorhandene Midrange-Storage-Lösung jene Anforderungen nicht erfüllen konnte.

Ein anderer Hersteller schlug eine ähnliche Speicherarchitektur mit doppelten Controllern vor. Diese bot zwar genügend Kapazität für den aktuellen Bedarf an, aber das Unternehmen stellte fest, dass sie bald zusätzliche Arrays kaufen müssten, was mehr Kosten, mehr zu verwaltende Systeme und mehr Zeitaufwand und Personalressourcen bedeuten würde. Außerdem war die Firma unsicher, ob diese Array die hohen IOPS verarbeiten könnte, wenn sie schnellere Laufwerke hinzufügten.

Inhalt

  • Seite 1: Storage-Herausforderungen bei SIEM-Lösungen
  • Seite 2: Wide Striping und Virtualisierung für bessere Ergebnisse

(ID:2048221)