新的 AWS AppFabric 提高了 SaaS 应用程序的应用程序可观察性。在当今的商业环境中,公司努力为员工配备最合适、最高效的工具,以有效地完成工作。为了实现这一目标,许多公司转向软件即服务(SaaS) 应用程序。这种方法使公司能够优化其工作流程,提高员工生产力,并将资源集中在核心业务活动上,而不是软件开发和维护上。
随着 SaaS 应用程序的使用范围不断扩大,对能够主动识别和解决潜在安全威胁以维持业务运营不间断的解决方案的需求不断增加。安全团队花时间监控应用程序使用数据是否存在威胁或可疑行为,他们负责维护安全监督以满足监管和合规性要求。
不幸的是,将 SaaS 应用程序与现有安全工具集成需要许多团队来构建、管理和维护点对点 (P2P) 集成。需要这些 P2P 集成,以便安全团队可以监控事件日志以了解每个应用程序的用户或系统活动。
AWS AppFabric 简介
今天,我们将推出AWS AppFabric,这是一项完全托管的服务,可聚合和规范化跨 SaaS 应用程序的安全数据,以提高可观察性并帮助减少运营工作量和成本,而无需进行任何集成工作。
这是一个动画 GIF,可让您快速了解 AWS AppFabric 的工作原理。
借助 AppFabric,您可以轻松集成领先的 SaaS 应用程序,而无需构建和管理自定义代码或点对点集成。有关支持内容的更多信息,请参阅AppFabric支持的应用程序。
由 Amazon Bedrock 提供支持的 AppFabric 的生成式 AI 功能将在未来版本中提供
当 SaaS 应用程序获得授权并连接时,AppFabric 会提取数据并标准化不同的安全数据,例如用户活动日志;这是通过使用开放网络安全架构框架(OCSF) 来完成的,这是一个由 AWS 共同创立的行业标准架构和开源项目。这提供了用于开发模式的可扩展框架和与供应商无关的核心安全模式。
然后使用用户标识符(例如公司电子邮件地址)来丰富数据。这可以缩短安全事件响应时间,因为您可以全面了解每个事件的用户信息。您可以将规范化和丰富的数据提取到您首选的安全工具中,从而允许您设置通用策略、标准化安全警报并轻松管理跨多个应用程序的用户访问。
AWS AppFabric 入门
要开始使用 AppFabric,您需要创建一个应用程序包,这是一个一次性过程。这存储所有 AppFabric 应用程序授权和摄取,包括使用的加密密钥。当您创建应用程序包时,AppFabric 在您的 AWS 账户中创建所需的AWS Identity and Access Management (IAM)角色,这是将指标发送到Amazon CloudWatch以及访问 AWS 资源(例如Amazon Simple Storage Service (Amazon S3)和Amazon Kinesis Data Firehose。
创建应用程序包
首先,我从 AWS 管理控制台的主页或左侧导航面板中选择入门。
按照设置 AppFabric 的分步说明,我选择创建应用程序包。
在加密部分,我使用AWS Key Management Service (AWS KMS)定义加密密钥,以安全地保护所有未经授权的应用程序中的数据。KMS 密钥对用作我的摄取目的地的内部数据存储中的数据进行加密;在此示例中,我的目标是 Amazon S3。我的主要选项包括AWS 自有和客户管理。如果您想使用 KMS 内拥有的密钥,请选择客户管理。
授权应用程序
创建应用程序包后,下一步是创建应用程序授权。在此页面上,我可以选择要连接到我的应用程序包的受支持的 SaaS 应用程序。
然后,我需要输入我的应用程序凭据,以便 AppFabric 可以连接;使用 AppFabric 的优点之一是它可以直接连接到 SaaS 应用程序,而无需我编写任何代码。
我可以根据需要为每个应用程序重复此步骤来设置多个应用程序授权。授权所需的凭据因应用程序而异;有关详细信息,请参阅AppFabric 文档。
设置审核日志摄取
现在我已经在我的应用程序包中创建了应用程序授权。我可以继续设置审核日志摄取。此步骤会提取并标准化审核日志,并将其传送到 AWS 内的一个或多个目标,包括 Amazon S3 或 Amazon Kinesis Data Firehose。
在“选择应用程序授权”下,我选择在上一步中创建的授权应用程序。在这里,我可以选择多个授权应用程序,这些应用程序允许我将来自各种 SaaS 应用程序的数据整合到一个目标中。然后,我可以选择所选应用程序的审核日志的目的地。如果我选择了多个应用程序授权,则目标将应用于每个授权的应用程序。目前,AppFabric 支持以下目标:
Amazon S3 – 新存储桶
Amazon S3 – 现有存储桶
亚马逊 Kinesis Data Firehose
当我选择目的地时,会出现其他字段。例如,如果我选择Amazon S3 – New Bucket,我需要填写 Amazon S3 存储桶的详细信息和可选前缀。
之后,我需要为我选择的应用程序定义摄取的审核日志数据的架构和格式。在这里,我有三个选择:
OCSF – JSON
OCSF – 镶木地板
原始 – JSON
AppFabric 将审核日志数据标准化为 OCSF 架构,并将审核日志数据格式化为 JSON 或 Parquet 格式。对于 OCSF – JSON 和 OCSF – Parquet 选项,AppFabric 会自动映射字段并使用用户电子邮件作为标识符来丰富字段。对于 Raw – JSON 数据格式,AppFabric 仅以其原始 JSON 形式提供审核日志数据。
要查看我的摄取状态的详细视图,在“摄取”页面上,我选择我的现有摄取。
在这里,我看到提取状态为Enabled,并且我的 Amazon S3 存储桶的状态为Active
提取运行大约 10 分钟后,我可以看到 AppFabric 将审核数据日志存储在我的 Amazon S3 存储桶中
当我打开该文件时,我可以看到来自 SaaS 应用程序的所有审核数据日志
现在,借助 Amazon S3 中的审核数据日志,我还可以使用 AWS 服务来分析日志数据并从中提取见解。例如,对于 Amazon S3 中的数据,我可以使用AWS Glue并使用Amazon Athena运行查询。以下屏幕截图显示了我如何对审核数据日志中的所有活动运行查询。
用户访问
AWS AppFabric 还具有一项名为“用户访问”的功能,允许安全和 IT 管理团队快速查看谁有权访问哪些应用程序。AppFabric 使用员工的公司电子邮件地址搜索应用程序包中的所有授权应用程序,以返回用户有权访问的应用程序列表。这有助于识别未经授权的用户访问并加速用户取消配置。
可用性— AWS AppFabric 现已在美国东部(弗吉尼亚北部)、欧洲(爱尔兰)和亚太地区(东京)全面推出,并且即将在其他 AWS 区域推出。
AWS AppFabric 生成式 AI 功能– AWS AppFabric 将在未来版本中提供,使您能够使用生成式 AI 跨应用程序自动执行任务。该 AI 助手由Amazon Bedrock提供支持,可生成自然语言查询的答案、自动执行任务管理并显示跨 SaaS 应用程序的见解。
与 SaaS 应用程序集成— AppFabric 连接 SaaS 应用程序,包括 Asana、Atlassian Jira suite、Dropbox、Miro、Okta、Slack、Smartsheet、Webex by Cisco、Zendesk 和 Zoom。有关更多详细信息,请参阅支持的应用程序。
与安全工具集成— AppFabric 的审核数据日志与 Logz.io、Netskope、NetWitness、Rapid7 和 Splunk 等安全工具或客户的专有安全解决方案兼容。
