Elastic：5 个原因解释为什么可观察性和安全性能够很好地协同工作

作者：来自 Elastic Jennifer Ellard, Gagan Singh

网站可靠性工程师（site reliability engineers - SREs）和安全分析师 (security analysts) —— 尽管担任着非常不同的角色 —— 分享了许多相同的目标。他们都采用主动监控和事件响应策略来识别和解决潜在问题，以避免这些问题影响服务。他们同样都将组织的稳定性和韧性作为优先事项，旨在最小化停机时间和中断。

然而，当他们都强调不仅在各自团队内部，而且跨团队之间的合作和沟通的重要性时，他们实现了更高级别的操作韧性，并且能够主动响应对业务可能构成威胁的潜在威胁，而不是独立操作。

以下是安全性和可观察性团队在一起工作时能够取得更多成就的五种方式：

1. 改善团队协作

当涉及到供应商和技术合作伙伴时，数学很简单：更多工具 = 更多的旋转椅和更多时间用于解决问题。一次性、独立的技术增加了团队协作和洞察力的负担，这增加了工作量，使其容易出错。额外的工具还增加了管理、更新和维护软件的负担。统一的技术不仅减少了这种手动工作量，而且通过限制工具对组织系统的访问，减少了组织的攻击面。

合作行动

DISH Media 的广告收入业务每天从 2500 万个设备端点摄取和处理 100 亿条记录，包括操作、业务和安全数据。借助 Elastic 的统一解决方案和单一代理，现在团队可以在一个单一窗口中快速分析仪表板和数据。

这显著减少了事件检测和 MTTR，改善了客户体验。由于 Elastic 的单一代理，跨数百万个系统和客户设备的异常可以更快地被发现，加速了根本原因分析和补救措施。并且由于团队使用单一代理，没有额外的实施成本。

DISH Media 的工程主管约翰·哈斯克尔（John Haskell）表示：“借助 Elastic，我们现在拥有一个统一的数据视图，可以进行相关性分析以检测模式和异常。 ”“过去，根本原因分析和补救措施可能需要几周的时间。现在只需几个小时。”

查看完整的 DISH Media 故事。

2. 通过统一数据平台实现完整的可见性

随着基础设施和应用程序的复杂性持续增加，可观察性和安全团队被大量数据淹没。通常，这些数据是相同的，但两个团队以不同的方式使用它们。数据被分散到孤立的工具中，创造了人为的界限，这从性能及威胁检测的角度减缓了问题检测和解决的速度。此外，来自不同系统的数据很可能采用不同的格式，这给组织跨部门的可见性带来了额外的挑战。拥有一个依赖于通用模式来摄取和存储数据的统一平台的能力，使搜索和相关性分析相关信息变得更加容易，从而提高了组织的可见性。

合作行动

OpenTelemetry 是云原生计算基金会（CNCF）生态系统中增长速度最快的项目之一，被认为是遥测数据的事实标准，是 SRE 和安全团队广泛采用的框架。OTel语义约定框架帮助用户减少查询和相关性分析多样化数据、构建可视化以及分析机器学习应用程序特性所需的时间和努力。

使用 OTel 语义约定标准化安全和可观察性数据是一种强大的工具，它极大地减少了通常阻碍软件、性能和安全问题高效分析的复杂性。SRE 和安全团队以及技术供应商都在拥抱开放数据标准，以实现对多样化和异构数据的全面分析。

3. 异常和威胁检测

随着数据的指数增长以及代码和基础设施部署的快速步伐，发现异常并在其对服务造成影响之前检测到威胁的挑战日益增加。利用现成的和可定制的机器学习（ML）模型，AIOps 功能有助于自动检测异常，并提供根本原因分析和补救支持。可观察性解决方案减少噪音的能力取决于包括度量、日志、追踪和剖析数据在内的遥测数据。

日志、分布式追踪和指标提供了对请求流量、请求量和类型以及其他性能特征的视图。这些针对分布式系统的相关和上下文化数据提供了对应用程序行为的全面视图，也可以用于调查安全事件。根据已建立的历史基线分析数据并识别偏差的能力加速了安全调查。

生成式 AI 和检索增强生成（RAG）功能的演变使 SRE 和安全团队能够进一步调查和分析，使用理解自然语言并能够为所有运维和安全团队提供快速答案的交互式助手，缩短了解决问题的时间。

合作行动

与可观察性平台集成的 SIEM 解决方案和其他安全技术利用日志、指标和追踪的见解。这种统一方法使得可以主动识别异常模式、可疑活动和潜在的安全事件。

通过将网络流量中异常的日志高峰与服务器性能指标进行相关，组织可以快速区分合法的流量激增和潜在的 DDoS 攻击。异常模式，如重复的登录失败或来自异常位置的访问，将被快速发现，从而显著降低成功攻击的可能性。

4. 工具整合和成本降低

除了增强的可见性和主动识别问题外，将可观察性和安全能力在统一平台上整合，还导致了工具整合，带来了成本节省的额外好处。统一平台意味着通过捆绑关联的运营费用、服务、数据存储和管理两种实践所需的人员，降低了总体拥有成本。

合作行动

企业云数据管理领导者 Informatica 用 Elastic 的统一平台替换了其复杂的可观察性和 SIEM 解决方案。这不仅提高了应用程序性能，同时还保护了系统免受外部威胁 —— 在这个过程中大大节省了预算。

"Informatica 的 ML 工程、可观察性和站点可靠性工程主管 Amreth Chandrasehar 说：“有了 Elastic，我们有了一个用于可观察性和 SIEM 的单一供应商。与我们这样规模的组织使用其他解决方案相比，这代表了50%的成本节约。”

而且，性能不需要因整合而妥协。事实上，Informatica 发现情况正好相反。“Elastic 的搜索功能非常快，”Chandrasehar 解释说，“我们存储了数万亿份文档，但是搜索查询在10多秒内就能返回准确结果。”

查看完整的 Informatica 故事。

5. 数据处理的法则合规

加强安全实践有助于组织遵守管理可观察性数据处理的行业规定。通过将可观察性计划与严格的合规要求对齐，组织不仅避免了法律后果，还在利益相关者中树立了信任。

这种对齐促进了可观察性工具在受管制环境中的无缝集成。它还展示了安全性和可观察性在满足那些合规标准方面的潜在共生关系。

合作行动

没有哪个行业像金融部门那样了解合规要求。中东资产规模最大的银行集团之一的阿联酋国民银行 (Emirates NBD) 建立了一个集中日志系统，该系统每天从多个数据源处理多个TB的数据。以 Elastic 为核心，该新环境构成了阿联酋国民银行云计算和数据平台副总裁 Ali Rey 所说的单一真相来源的基础。

集中日志为银行提供了一个加强安全性的途径，并存储和检索治理利益相关者所需的审计日志。“如果有任何争议，或者任何问题、查询或任何从内部或外部视角发生的事情，我们有这些未被篡改的审计日志，”Rey 说。

多亏了向 Elastic 的集中日志迁移，银行从最初的可观察性投资扩展到了安全性，这帮助它检测到了外部和内部威胁。

查看完整的阿联酋国民银行故事。