К вопросу о масштабировании SIEM-систем

В настоящее время все больше компаний сталкиваются с необходимостью расширения бизнеса для выхода на качественно новый уровень. Но стремительный рост предприятия открывает новые проблемы информационной безопасности, которые не были так заметны раньше. Краеугольным камнем любой современной системы информационной безопасности являются SIEM-системы, которые не всегда готовы к быстрому росту числа источников данных.

В чем же особенность масштабирования SIEM-систем? Рассмотрим подробнее типы масштабирования.

Вертикальное масштабирование — увеличение производительности каждого компонента системы с целью повышения общей производительности.

Горизонтальное масштабирование — разбиение системы на более мелкие структурные компоненты и разнесение их по отдельным физическим машинам (или их группам), и (или) увеличение количества серверов, параллельно выполняющих одну и ту же функцию.

Самым простым и очевидным способом масштабирования является вертикальное. Наращивание дискового пространства баз данных SIEM-систем, увеличение объема оперативной памяти, перенос на более производительные платформы — все эти меры имеют предел эффективности и могут использоваться при небольшом росте нагрузки на SIEM-систему.

Горизонтальное масштабирование требует тщательного анализа новой ИТ-инфраструктуры и переработки архитектуры работающей SIEM-системы. Сбор событий в SIEM проходит в два этапа: первый — сбор «сырых» событий в текстовом виде, второй — нормализация и запись события в базу данных. Исходя из этого, можно выделить два метода горизонтального масштабирования SIEM.

siem collectors

Перенос на отдельный узел модуля для сбора и нормализации событий безопасности (т.н. коллекторов) позволит снизить нагрузку на сервер SIEM, а также в дальнейшем добавлять новые узлы такого типа без перенастройки системы. Кроме того, такая архитектура позволит получать события безопасности, размещая в удаленных сетях только коллекторы, что позволит снизить нагрузку на канал между сервером и источником событий безопасности.

Масштабирование средствами СУБД позволяет снизить нагрузку на сервер БД и позволяет в дальнейшем проводить мероприятия по масштабированию средствами самой СУБД, например, распределяя нагрузку на БД между несколькими узлами.

Таким образом, горизонтальное мастабирование является более перспективным направлением развития SIEM в ИТ-инфраструктуре предприятия, поскольку помимо увеличения производительности позволяет реализовать распределенную структуру системы.