安全上云是数字化安全转型的热门概念，但是，“云中漫步”也遍布荆棘和陷阱，任何企业CSO和决策者都应该对此保持足够的警惕，成功的安全产品（例如SIEM），上云（如果合规的话）未必总是能够节省成本，弄不好还会增加成本。根据Gartner的预测，到2025年70%的企业数据都将再传统数据中心或者云计算外部处理（边缘计算），而根据IDC CloudPulse19年1季度报告，85%的企业都选择从公共云中“回迁”工作负载。未来，“上云”还是“下云”？“上哪种云”？对于企业安全主管们来说，依然是一个需要格外慎重考虑的问题。

以下内容来自一位资深安全分析师Anton Chuvakin的独家分享，希望能够带给读者一些启示：

十多年前，我曾在一家SaaS安全公司工作，该公司的首席执行官有一句口头禅：“没有成功的传统软件公司能够转型为成功的SaaS公司。” 坦白地说，我不知道该“定律”是否存在例外，但我多年来的经验表明，至少在网络安全领域，这种例外很少。换句话说，一家失败的传统安全软件公司可能会很好地转向SaaS，但是成功的安全软件业务实现这种过渡极为困难，正所谓“成功是失败之母”。
在这里需要特别提及一种“反云”模式，意即传统软件的托管、单租户、场外部署，这种模式往往也会被称为“云xx”或“ 某SaaS”。在某些情况下，这种方式对许多企业来说可能是不错的选择。但是，在某些情况下，结果不是很好。以SIEM为例，有三种产品模式：

1. SIEM软件本地部署在客户硬件上。

2. 在IaaS上部署了与本地相同的SIEM软件。

3. 原生SaaS SIEM，它是使用云技术和运营实践构建的SaaS服务。
（请注意，我在这里避开了共同管理的模式，因为这会使今天的话题过于复杂。以上假设所有需要的维护任务都是由客户或SaaS供应商执行）

哪种模式更好？正如我的Gartner合作撰稿人所言：“这是陷阱！” 确实，这是一个很大的陷阱，因为答案取决于企业的需求和自身条件限制。

首先我们需要简要回顾一下SIEM的成本问题，因为SIEM费用将远远超过您付给SIEM供应商的许可费用。
以下是一些最常见的SIEM的粗略成本模型（硬成本、软成本和隐性成本）：

首先来看硬成本：

1. 初始“硬”成本

1. SIEM许可证成本：基本价格+每个用户，每个节点，每个EPS，每个CPU（和每个CPU内核）等成本

2. 对于软件SIEM，还包括所需硬件数量，服务器的OS，数据库成本

3. （如果有的话）强制性的第三方软件许可费用（有时包括代理，报告工具等）

4. 供应商或顾问的部署服务。如果未选择这些服务，则部署的人员、时间等成本将归入将在下面的软费用中！

5. 供应商培训或有关日志，日志管理，SIEM等的第三方培训

6. 额外的外部存储（大多数情况下）

2. SIEM持续的运营“硬”成本

1. 各种SIEM供应商服务：支持（通常是强制性的），持续的专业服务成本

2. 操作SIEM的人员：从FTE的一部分（规模非常小，SIEM的用例很少）到1 FTE（小型设备部署）到许多具有各种角色的FTE（如果实施实时监控，则SOC人员配备更多）。SIEM的0 FTE = SIEM项目失败，概率为100.00％。

3. 定期或偶发的“硬”成本

1. 各种SIEM供应商服务：专业服务，用于设备集成的定制开发工作（如果在内部完成，其中一些可能会变成软成本–对于高级组织或已经有SIEM经验的人员）

2. 定期对员工进行SIEM操作和调试培训

3. 专业人员：DBA，系统管理员，节点系统管理员，自定义连接器的内部开发人员，Crystal Reports管理员等，缺失的岗位则可能会变成“软”成本

4. 部署扩展成本：与初始成本相同，但是随着业务的增长，对于额外的系统、软件、硬件等，如果SIEM的授权费用基于多个维度（例如用户+ CPU +节点+服务器+其他），则这些成本漏洞将很快“溢出”。

5. 外部存储扩展成本：如果您的数据容量增加，并且日志保留时间保持不变（例如，PCI DSS为1年），您将需要购买更多存储空间

软成本主要有三大块：

1. 初始“软”成本

1. SIEM项目的部署时间。如果仅使用内部人员而非供应商或顾问进行部署，则需分配更多时间

2. 日志源配置和集成。这可能比仅仅安装该工具还要多。这就是SIEM项目实施在具有多个孤岛的复杂分布式组织中需要数月时间的原因。

3. 初始调整，内容创建以及使工具匹配环境（尽管可能很轻巧）

4. 培训以及运营冷启动需要花费的其他工作人员的时间

2. 持续的运营“软”成本

1. 报告和其他正在进行的监控任务的审查–24/7、每天、每周

2. 告警响应和升级；SIEM意味着关联和自动告警

3. 其他“SIEM应用”任务，例如查看仪表板

4. 正常运行维护任务，即维护您的SIEM和存储、备份、更新、次要故障排除等

3. 定期或偶尔的“软”成本

1. SIEM规则调整，报告创建，仪表板定制，新日志源集成，其他正在进行的SIEM任务

2. 定期培训和相关人员的时间成本

3. 扩展：与初始软成本相同

隐性成本：

1. 事件响应的额外成本：可能会检测到更多事件

2. 安全事件的补救成本，包括预防性的新技术部署成本

3. 其他部门人员需要时间来处理SIEM揭示的问题。软成本确实会从安全部门蔓延到IT部门，甚至超出IT范围（法律，人力资源等）。

以我的经验，一个SIEM项目的总成本（刨除SIEM商业软件授权费之外的硬+软费用），差异极大，从SIEM许可成本的10%到令人难以置信的20倍。

因此，在第一种模式中，您支付了所有这些费用，加上硬件费用以及与在您的数据中心中托管所述硬件相关的所有费用。但是，在第二种模式，您同样需要支付所有这些成本，加上云成本（存储、计算、数据移动）。好的，表面上看，您节省了数据中心电费和制冷费用，但您将看到一笔云账单（每个月）。

我的意思是，在模式1和模式2种，所有的维护任务以及成本都是相同的。模式2是一种伪云，准确说只是租用了其他人的硬件，冷却风扇和数据中心设施。此外，最大的区别是，模式1主要是资本支出（硬件），模式2是运营支出（云），这种差异对于某些企业来说可能很重要。

云的成本到底有多高呢？在我当分析师的时候，了解过一些案例，其中一位用户在一个主流公共IaaS基础架构上部署免费日志搜索工具，结果收到来自云服务商的6-7位数（美元）的账单。如果你的供应商将数据存储在云端虚拟机上的MySQL实例中，你需要付出的代价甚至更高（您还能想象比这更“反云”的事吗？！）。这种情况下，第三种模式（原生SaaS安全应用），成本低得多，而且能够规避前两种模式的很多问题，例如：

• 收集和保留某些日志类型的合规性要求
• 监控此数据源和/或系统的合规性要求
• 易于集成日志源
• 供应商的解析器可用性
• 实际将日志数据传输到SIEM的能力

综上所述，虽然在公共IaaS中托管传统SIEM具有一些优势，例如您不必购买，管理和更新硬件，也不必购买或扩展数据中心空间。但是，你需要支付与本地部署几乎相同的SIEM成本，并且还要额外支付云成本。后者的成本有时会极为高昂。利用云原生基础架构之上的原生云计算工具（以及成熟的云运营实践）往往能够大幅降低SIEM总体成本。
总而言之，SIEM不是省油的灯，但以反云方式在云中部署SIEM有可能会花更多的钱。

最后，需要指出的是，本文讨论的成本问题，不是SIEM独有的，也不限于“安全上云”，很多企业数字化转型IT支出都面临此类问题。