LogDock je služba společnosti DataSpring pro přehled o infrastruktuře zákazníků a LogDock Advanced je jejím rozšířením pro nadstavby, jako například SIEM. Jak tyto služby fungují a pro koho jsou vhodné odpovídal Igor Tomeš, Solution Architect Lead, DataSpring.
Nabízíte službu LogDock a LogDock Advanced, která funguje jako centrální úložiště logů a datových toků ze sítí vašich zákazníků. Co umožňuje?
Nabízíme zákazníkům možnost sběru logů a informací o datových tocích v síťovém prostředí, které mají buď u nás nebo u sebe, a jejich uložení v našem datovém centru certifikovaném na Tier III. Poskytujeme jim pro zachování těchto logů a událostí úložný prostor a základní nástroje pro reporting a analýzu, což může být základem dalších služeb. Zákazník kromě toho dostává vlastní přístup, aby se ke svým logům mohl dostat, vizualizovat si data pomocí dashboardů, zobrazovat trendy apod. Logy mají retenci, kterou lze řídit „per user“, takže pokud zákazník potřebuje buď kvůli svému vnitřnímu procesu, nebo zákonné regulaci ukládat logy i několik let, jsme schopni mu je držet po celou tuto dobu. Proces je řiditelný podle potřeb každého zákazníka. Služba LogDock Advanced získala ocenění IT Produkt 2018 v kategorii Bezpečnostní řešení.
Jakou má DataSpring pro poskytování takovéto služby kvalifikaci, případně prověrku?
DataSpring má certifikaci ISO 27001, avšak prověrku na zpracování důvěrných, vyhrazených nebo tajných informací nemáme. Nejde o prvotní směr, kterým bychom mířili. Službu LogDock jsme zavedli se základní myšlenkou troubleshootingu, až poté z pohledu bezpečnosti. Když má totiž zákazník svoji infrastrukturu rozptýlenou všude možně, potřebuje mít centrální pohled, co se mu v ní děje. Logy jsou přece jak známo tím nejjednodušším a nejbezpečnějším nástrojem pro nasazení nástrojů pro třídění a vysledování korelací. Když už ale máme logy a jejich vyhodnocování, máme i základ pro náhled do bezpečnostních událostí, včetně možnosti postavit nad tím vším SIEM, tedy správu bezpečnostních informací a událostí.
Řešíte tedy také nějak správu bezpečnostních informací podle SIEM?
To vždy závisí na zákazníkovi. Naším záměrem je poskytovat nástroje, které zákazník může využít pro správu informací, aby si zavést mohl SIEM, resp. postavit Security Operation Centre. Pokud jej bude mít, my mu k tomu budeme dodávat nástroje, tzn. nejen archivované logy a informace o datových tocích včetně nástrojů pro jejich vizualizaci, ale poskytujeme i reporting. Případně jsme schopni navázat výsledky z analýzy logů a toků na nějaký ticketovací nástroj včetně alertu (požadavek na vyřízení události včetně upozornění). To znamená, že pokud někde vznikl bezpečnostní incident, umíme na něj vygenerovat „security ticket“ a zákazníkovi ho poslat. Ono upozornění neznamená, že někde něco přeteklo, nebo že se stala minoritní událost, ale že na základě podrobnější analýzy došlo k podezření. Jde o strojovou analýzu, nikoliv lidskou. Co se týče vlastního doporučení SIEM, jde o rozšíření analýzy ze služby LogDock Advanced, kterou jsme schopni o funkce SIEM rozšířit.
Co když zákazník potřebuje vyšší úroveň vyhodnocení a analýzy a logů a datových toků, než je strojová, tedy lidskou pomoc a inteligenci?
Když zákazník přijde s tím, že má ve své síťové infrastruktuře bezpečnostní incident, s nímž si neví rady a potřebuje od nás pomoc, pak pokud máme kapacity, pomůžeme mu. Jde čistě o naši interní lidskou kapacitu, protože bezpečnostních událostí je opravdu velké množství. Proto tento druh služby nemůžeme garantovat, jde o neřešitelně nafukovací záležitost.
Disponuje DataSpring tzv. bezpečným úložištěm? Pokud ano, co to znamená ve vašem případě? Provozujete úložiště od třetí strany, nebo máte nějaké vlastní řešení?
Vycházíme z technologie, která je použita pro LogDock, která dokáže data ukládat, spravovat, komprimovat apod. Logy jsou ukládány na diskovém poli, které je zálohováno a v zálohách jsou logy šifrovány. Systém si je tím zabezpečuje a ukládá je pak v balíčcích. Klasické, tzv. bezpečné úložiště, kde by byla data podepsána, orazítkována, v jednotlivých balíčcích, však neprovozujeme. Službou LogDock totiž nemíříme na zákazníky požadující službu spisovou, jaká by se pro ukládání logů nevyplatila.
Proč by se vůbec měla nějaká firma obrátit na externího řešitele takovéto úlohy? Pokud ano, proč na DataSpring?
Důvodů je více. Prvním je flexibilita a možnost dynamického rozvoje. S námi může firma začít s logováním firewallů a postupně přibírat další. Není blokována investicí, kterou by dala do zařízení a licencí. Když naopak některé potřeby pominou, lze slevit. Druhým důvodem je, že nemusí počítat úložiště dat a zařízení, které vždy bude stárnout, kam a jak bude tato data ukládat. To také děláme za zákazníka my. Kromě těchto dvou ekonomických důvodů je zde naše know-how, které ohledně správy logů a toků máme, což jsme schopni se zákazníky sdílet. Start k tomu, aby se zákazník dostal k funkčnímu systému, je s námi o hodně kratší, než když si systém budou vytvářet sami, hledat k tomu partnery, případně vlastní lidi.
Další výhodou je, že služba je provozovaná mimo prostředí zákazníka a hůře se tak manipuluje se zařízeními a daty způsobem, který by mohl být z pohledu bezpečnosti dejme tomu diskutabilní.
Službu LogDock instalujete pro každého zákazníka zvlášť, nebo ji provozujete a spravujete centrálně, s oddělenými jednotlivými zákazníky v tzv. režimu multitenant?
Hodně záleží na požadavcích zákazníka. Základem je multitenantní prostředí, které provozujeme. Jsme však schopni některé funkce oddělit a provozovat je na speciálních serverech, vyhrazených pro konkrétního zákazníka. Jde o velmi flexibilní řešení.
Jak mohou zákazníci služby LogDock ke svým datům přistupovat a jak je jejich přístup zabezpečen?
Ke službě LogDock mohou zákazníci přistupovat přes webové rozhraní. Zabezpečení je buď VPN, nebo vyhrazený okruh, nebo alespoň zabezpečení HTTPS. Nejlépe však přes VPN.
Existují ve službě LogDock nějaké manažerské nadstavby pro rychlé přehledy o událostech?
Zde záleží na libovůli zákazníka. Základní sadu reportů máme a dáváme je k dispozici. Pokud by zákazník potřeboval nějakou speciální aplikaci, jsme schopni ji pro něj vyvinout.
Jak službu LogDock naceňujete?
Cena se odvíjí od zpracovaného datového toku. Zákazník si řekne, kolik událostí a/z datového toku (events per second) potřebuje uložit, a podle toho mu nastavíme prahové úrovně (thresholds). Co se do tohoto objemu vejde, je zpracováno online a co je nad tento objem se ukládá do bufferů a zpracovává se následně. Nacenění je tedy velmi jednoduché a transparentní, podle objednané kapacity. Za dodatečné služby, jako například SIEM, nadstandardní reporting, konzultace apod., samozřejmě účtujeme navíc.
Na koho se má případný zájemce o službu LogDock u vás obrátit?
Zájemce o službu LogDock a LogDock Advanced se může přihlásit u společnosti DataSpring přes web, kde vyplní přihlašovací formulář, nebo se může obrátit na libovolného obchodníka DataSpringu.