安全日志记录着企业服务器、云基础设施、应用程序等的全部执行过程,对日志数据进行追溯分析,可以准确清晰地了解企业 IT 设施状况、排查安全隐患、检索故障源头等。
随着企业规模增长、数字化程度加深和安全设备的增加,安全日志数量呈指数级增长,而企业现行的日志处理平台在应对今天动辄 PB 级别的安全日志时,要么是需要支付非常高昂的授权费和专业人力成本,要么是性能瓶颈无法支撑 PB 级别体量的日志处理。
如何采用一套新的架构,能支撑企业在 PB 级别的数据里实现秒级查询,同时成本又可控?
9 月 20 日,腾讯安全发布全新一代云原生安全数据湖,专注海量日志数据分析,助力企业构建一体化云原生数据湖平台,迈向主动安全。据悉,在同等数据规模下,该产品的硬件成本仅为同类开源软件的 1/10,此外在查询性能特别是聚合查询性能方面有了成倍的提升,能实现 PB 级日志的秒级查询。
“目前企业的日志处理平台普通使用开源大数据 ELK 等组件快速搭建,以收集告警数据为主,分析数据不全,而且执行长周期数据查询需要分钟级甚至小时级等待,而网络安全是实时对抗的,任何以‘小时’为单位的数据分析产品肯定都不适用。”腾讯安全大数据实验室高级研究员杨浚宇表示。
两年前,腾讯安全在服务客户过程中发现,客户普遍反应遇到日志存储成本攀升、查询效率低下的问题,因此腾讯安全大数据实验室基于多年的大数据分析处理能力,前后花费两年时间自主研发了一款面向云原生的安全数据湖产品。
腾讯云原生安全数据湖是基于云原生的自研数据分析平台,利用日志数据无需修改、大量字段重复、有时间戳等特性进行了几大创新:
架构领先:MPP 架构,采用 Rust 语言开发,针对日志及安全场景进行专项优化
极致降本:使用列存储实现极致压缩比,无索引架构避免索引开销
一体化引擎:通过原子能力实现数据处理、查询、存储、分析一体化
插件式扩展:通过 SQL/SPL 语句支持不同分析场景,支持“插件式”扩容
易运维:面向云原生架构实现存算分离、读写分离、从而实现一键弹性扩容,故障秒级切换
依托上述技术创新,腾讯云原生安全数据湖实现了极致的压缩比和数据处理效率,能将企业的安全运营存储成本降低 90%;在底层架构上面向云原生设计,支撑多实例、多用户,能根据企业的实际需求实现弹性扩容。
此外,腾讯云原生安全数据湖支持泛安全数据接入、加工、存储、分析、告警、可视化等服务,还具备“插件化”应用开发能力,企业用户可根据需求定制上层应用,并通过平台+APP+合作伙伴构建完整的日志应用生态体系,全面赋能各类安全场景。
目前,该数据湖已经集成在腾讯安全 SOC+产品下,为企业安全运营管理提供基座。未来,腾讯安全还会对外提供独立产品,助力企业构建云原生数据湖平台。
面向智能化时代,安全运营与管理是企业的安全免疫中枢系统,而安全大数据的智能分析能力将成为企业迈向智能安全的基础。腾讯安全的安全运营产品矩阵始终围绕一件事情,就是如何为客户创造价值。未来,腾讯安全将持续开放技术原子能力,把腾讯领先的技术融合在企业现有的安全能力中,为千行百业的安全实践注入数字安全免疫力。
评论