ДОЛГОВРЕМЕННОЕ ХРАНЕНИЕ СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

LONG-TERM STORAGE OF INFORMATION SECURITY EVENTS

Maksim Bogatikov

student, Department of Information Systems Security,  Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрен подход горячего и холодного хранения данных в распределенных хранилищах.

Рассмотрена реализация горячего и холодного хранения событий информационной безопасности в индексах Elasticsearch.

ABSTRACT

The approach of hot and cold data storage in distributed storages is considered.

The implementation of hot and cold storage of information security events in Elasticsearch indexes is considered.

Ключевые слова: события информационной безопасности; хранение данных; Elasticsearch.

Keywords: information security events; data storage; Elasticsearch.

Введение

Для обеспечения безопасности информационной системы крайне важно отслеживать события, которые происходят в различных компонентах этой системы. Проводя анализ и сопоставление данных событий можно вовремя обнаружить аномальную активность в системе, связанную с действиями злоумышленника. Также события системы важны для изучения действий, совершенных в системе, что может существенно улучшить процедуру реагирования на инцидент и способствовать применению необходимых меры по нейтрализации инцидента и внедрению защиты от аналогичных угроз в дальнейшем.

Однако хранение всех событий сложная задача, поскольку их объем в крупномасштабных системах исчисляется в терабайтах в сутки. Для таких нагрузок требуется дорогая аппаратная составляющая, что приводит к проблеме оптимизации хранения событий информационной безопасности на долгий срок.  

Горячее и холодное хранение данных

Одним из подходов к оптимизации долгосрочного хранения данных является разделение хранения на холодное и горячее [2]. Разделение происходит на основе частоты использования данных, количества запросов и скорости доступа к ним. Горячие файлы часто запрашиваются и используются, а доступ к холодным файлам не такой частый и требования по скорости доступа ниже.

 Экономия на хранении данных при таком подходе обеспечивается использованием более простой аппаратной части для холодного хранения. Для обеспечения высокой скорости доступа горячие хранилища включают в себя твердотельные накопители и большой объем оперативной памяти, которые и обеспечивают высокую скорость доступа к данным. Кроме того, горячие хранилища требуют более мощное сетевое оборудование, поскольку трафик данных у горячих хранилищ значительно выше.

Холодные хранилища, как правило, используют жесткие диски, удешевляющие хранение аналогичного объема данных. К прочим составляющим системы требования становятся так же ниже, что приводит к снижению затрат.

Горячее и холодное хранение событий в Elasticsearch

В качестве хранилища событий информационной безопасности часто применяется Elasticsearch – распределенный поисковый движок с открытым исходным кодом, построенный на базе Apache Lucene [1]. События хранятся в формате документов в индексах. Индексы представляют из себя контейнеры для документов одного типа и обеспечивают быстрый поиск необходимых данных.

Одной из составляющих политики жизненного цикла индексов является реализация подхода горячего и холодного хранения данных [3]. Elasticsearch расширяет классификацию данных до четырех состояний: hot, warm, cold, frozen. Распределение индексов по узлам обеспечивается за счет указания соответствующего параметра в конфигурации.

К hot-данным относятся самые последние и самые часто запрашиваемые события. Warm-события запрашиваются и обновляются реже, однако скорость доступа к ним достаточно высока. Для поддержания высокой доступности данных hot и warm категорий требуется наличие нескольких реплик индексов, на случай отказа основной сущности.

Данные категорий cold и frozen редко запрашиваются, а последние к тому же не могут быть обновлены. Кроме экономии на аппаратной части хранилищ, Elasticsearch предоставляет механизм снимков с возможностью поиска. Данный механизм не требует запуска нескольких реплик индекса, что позволяет сократить необходимое дисковое пространство для индекса в два раз для cold-данных и в двадцать раз для frozen-данных. Отсутствие реплик компенсируется снимком индекса, с помощью которого происходит восстановление данных в случае их потери [3].

Выводы

Подход горячего и холодного хранения данных позволяет оптимизировать хранение событий информационной безопасности на длительный срок и снизить затраты на обеспечение информационной безопасности организации. Положительной тенденцией является встраивание нативных механизмов оптимизации в современные системы хранения данных.

Список литературы:

1. Введение в Elasticsearch – [электронный ресурс] – режим доступа. – URL: https://www.elastic.co/elasticsearch (дата обращения 02.01.2025)
2. Горячее и холодное хранение данных компании – [электронный ресурс] – режим доступа. – URL: https://cloud.vk.com/blog/goryachee-i-holodnoe-hranenie-dannyh-kompanii/ (дата обращения 02.01.2025)
3. Типы данных Elasticsearch – [электронный ресурс] – режим доступа. – URL: https://www.elastic.co/guide/en/elasticsearch/reference/current/data-tiers.html (дата обращения 02.01.2025)