Der Aufbau und Betrieb eines Security Operations Centers (SOC) erfordert eine gründliche Planung und die Beantwortung vieler wichtiger Fragen. Dabei spielen Aspekte wie die Infrastrukturarchitektur, die benötigten Ressourcen, die Datenverfügbarkeit und -speicherung, der gewünschte Technologie-Stack und die technologischen Möglichkeiten eine entscheidende Rolle. Eine der grundlegenden Entscheidungen, vor der Sie stehen, betrifft jedoch den Ort, an dem Ihr SOC betrieben werden soll: in einem zentralen Rechenzentrum oder in der Cloud. In diesem Artikel erläutern wir, warum die Cloud die optimale Wahl sein kann.

Betriebsaufwand für die SOC-Plattform 

Ein leistungsfähiges SOC benötigt mindestens ein Security Information and Event Management (SIEM) System und einen Schwachstellenscanner. Dies bedeutet, dass 5-10 virtuelle Maschinen bereitgestellt werden müssen, auf denen das vom SIEM unterstützte Betriebssystem läuft. Einige dieser Komponenten sind als fertige Applications verfügbar und müssen nicht weiter angepasst werden. Darüber hinaus benötigen Sie Datenbanken, Benutzer- und Dienstkonten sowie Berechtigungen für diese Konten. Da ein SIEM, Daten aus verschiedenen Netzwerken empfängt, sind auch Firewallfreigaben erforderlich. 

Der Aufwand für den Betrieb eines SOC ist erheblich und muss kontinuierlich betrieben werden, da sich die Anforderungen an die SOC-Architektur im Laufe der Zeit ändern. Durch den Einsatz einer Cloud-Plattform anstelle einer On-Premise-Lösung kann das Betriebsteam erheblich entlastet werden, da viele dieser Aufwände entfallen. 

Betriebsaufwand für Log-Management und Wartung 

Ein SIEM-System ist nur so effektiv wie die Daten, die es verarbeitet. Um den Betriebsaufwand realistisch einschätzen zu können, müssen Sie wissen, von welchen Assets oder Asset-Klassen die Daten stammen, wo sich diese Assets befinden und wie die Daten von der Quelle zum SIEM gelangen. Außerdem muss ausreichend Bandbreite zur Verfügung stehen, um die Daten in akzeptabler Zeit zu übertragen. In den meisten Fällen ist es effizienter, die Log-Daten in die Cloud zu verschieben, insbesondere wenn Ihre Management-Plattformen bereits in der Cloud betrieben werden. 

IT-Ressourcen für die Infrastruktur 

Um sicherzustellen, dass Ihr SOC zuverlässig und in Echtzeit funktioniert, benötigen Sie ausreichend Festplattenspeicher, hochverfügbare Systeme und eine leistungsstarke Infrastruktur. Ein SIEM-System benötigt schnelle SSDs und RAM, um effizient arbeiten zu können. Die Ressourcenanforderungen für ein SIEM sind oft höher als erwartet und bleiben weitgehend unverändert, unabhängig davon, ob Sie sich für eine Cloud- oder eine On-Premise-Lösung entscheiden. Allerdings sind die Ressourcenkosten in der Cloud in der Regel günstiger, da die großen Anbieter unbegrenzte Kapazitäten und günstige Angebote bieten. 

Fazit

Warum entscheiden sich manche gegen die Cloud für ihr SOC? Einer der Hauptgründe ist der Wunsch nach vollständiger Kontrolle über die eigenen Daten. Die Vorstellung, dass sensible Informationen außerhalb des eigenen Einflussbereichs gespeichert werden, kann abschreckend wirken. Datenschutzbedenken werden häufig als Argument gegen die Cloud angeführt. 

In den meisten Fällen überwiegen jedoch die Vorteile. Die Praxis zeigt, dass Unternehmen Cloud-Lösungen wie Office 365 nutzen, um Daten kostengünstig und effizient zu speichern. Datenschutzkonforme Lösungen sind in der Cloud durchaus realisierbar und bieten eine hervorragende Möglichkeit, Ressourcen zu sparen und den Betriebsaufwand zu reduzieren. 

Alles in allem ist die Entscheidung, ein SOC in der Cloud zu betreiben, eine vernünftige Wahl, um Betriebskosten zu senken, die Effizienz zu steigern und den Schutz der Daten zu gewährleisten. Die Cloud bietet eine kostengünstige und leistungsstarke Alternative zur On-Premise-Infrastruktur, die den Anforderungen moderner SOC-Architekturen gerecht wird.