使用 Amazon AppFabric 提高 SaaS 应用程序的安全可观察性

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/BIZ213-Improve_SaaS_application_security_observability_with_AWS_AppFabric-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 软件即服务 (SaaS) 应用程序用户数量大幅增加，这为 IT 和安全团队造成较大的压力，并要求他们连续管理不同的数据和点对点集成。数据孤岛形成及安全复杂性增加，效率也会成倍增加。参加本论坛，了解 Amazon AppFabric 如何将 SaaS 应用程序数据自动规范化，以便安全分析师轻松地将日志引入首选安全工具，并在降低的运营成本的同时，增强安全态势。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 塔玛·海曼是亚马逊云科技的AppFabric部门的主要产品经理，他与Splunk的合作伙伴解决方案工程经理Anoushka Gaikwad共同主持了此次会议。据塔玛介绍，这次会议对于任何在组织中面临软件即服务（SaaS）扩展、关注提高SaaS应用程序的可观察性和增强从基础设施到SaaS层的安全状况的人来说都是有益的。为了更好地了解参会者，塔玛询问了有多少人从事信息安全、云计算安全、IT或运维工作。她发现，无论职责如何，获得对SaaS应用的洞察和改善可观察性的挑战都适用于各个角色。Anoushka表示同意，并补充说，Splunk还与亚马逊云科技的其他服务集成，如EventBridge、CloudTrail、CloudWatch和Security Hub。他们还将讨论将亚马逊云科技数据输入到Splunk的方法。 塔玛阐述了他们在实现SaaS可观察性方面的挑战、亚马逊云科技AppFabric如何解决这些挑战、展示AppFabric在Splunk中的数据以及提供关键见解。接下来，她将提出安全团队经常面临的一些问题——谁能访问敏感数据？用户如何使用这些数据？应用程序设置是否已更改，使公司处于危险之中？为了解决这些问题，安全团队依赖应用程序审计日志来跟踪事件和异常活动。然而，将这些日志传输到安全工具涉及到手动管理每个应用程序的许多点对点集成。 Gartner报告称，拥有超过1000名员工的公司平均使用100多个应用程序。这导致了大量需要管理和监督的集成。塔玛通过一个人物角色展示了这些挑战——Christa，一家名为Acme的公司的安全工程师。Christa的团队需要开始监控三个应用程序——Zoom、Dropbox和Zendesk。要将审计日志输入到Splunk中，她必须阅读每个应用程序的API文档，构建集成，使数据正常化以适应Splunk兼容的架构，丰富数据以支持威胁检测，并应用跨资源的数据规则。客户访谈显示，每添加一个应用程序都需要花费数周或数月的时间。 尽管像Splunk这样的第三方工具已经提供了一部分应用程序集成，但许多集成都是由开发者社区而非供应商所创建，因此在性能和可靠性方面存在差异。为了满足客户需求，供应商需要支持更多的应用程序，这可能导致对威胁检测和用户体验的关注被分散。结果，安全团队不得不管理大量的点对点集成，导致他们无法专注于监控和检测。客户一直在努力解决这些问题。 塔玛了解到的一个关键问题是，检测异常SaaS行为至关重要，但在实际操作中却非常困难。团队在管道管理和威胁响应之间进行权衡。在处理日志时，规范化过程尤为痛苦。团队需要在要集成的应用程序和要监控的应用程序之间做出优先选择，从而导致暴露的风险增加。 为了应对这些挑战，亚马逊云科技近期推出了一款名为AppFabric的全托管服务，它将领先的SaaS应用程序与优选的安全工具连接起来。该服务可以汇集、规范化并丰富审计日志，从而提高应用程序用户的生产力。 使用AppFabric的客户可以选择如何处理日志。他们可以获取原始或经过OCSF规范化的日志，格式为JSON或Parquet。他们可以将日志发送到[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)、Kinesis Data Firehose或安全工具如Splunk。目前，AppFabric支持14个应用源，如Slack、Dropbox、GitHub等，更多应用将在年底前推出。此外，AppFabric还支持领先的安全目的地。明年，应用程序覆盖范围将大幅加速。 在解释AppFabric如何与其他亚马逊云科技服务区分开时，塔玛提到了AppFabric能够快速连接SaaS应用程序和安全工具，并将日志转换为OCSF安全模式。相比之下，AppFlow安全地传输应用程序和亚马逊云科技服务之间的数据，但不涉及以安全为重点的规范化。EventBridge则使用事件来连接应用程序组件，以便开发人员能够构建基于事件的应用程序。 应用架构（AppFabric）对OCSF进行了扩展，以便更好地表现软件即服务（SaaS）行为。基础设施审计日志关注的是性能问题，而SaaS日志则揭示了异常用户操作。此外，应用架构还通过唯一用户身份丰富了日志，从而区分不同的参与者，例如Jane Doe 1和J Doe 2。总的来说，这种规范化和丰富有助于安全团队更高效地从SaaS日志中提取更多信息。 应用架构使用了相同的OCSF类别和事件类，但增加了针对SaaS的活动名称，如“撤销权限”和“导出数据”。这有效地将示例可疑事件与OCSF进行了匹配。 在过去，团队需要将许多应用程序点对点集成到多个工具中，并亲自处理转换过程。而现在，有了应用架构，他们不再需要构建和维护这些管道和集成。完全不需要编程。 塔玛尔展示了一个如何在亚马逊云科技控制台中轻松设置应用架构的过程。用户可以创建一个“应用程序捆绑包”来包含资源，通过提供凭证授权应用程序，并设置摄取偏好，如目的地S3桶。 在演示过程中，塔玛尔创建了一个带有亚马逊云科技管理的加密密钥的捆绑包。然后，她通过配置具有所需权限的Zoom OAuth应用程序并复制来自Zoom市场的凭据来授权Zoom。这只需要点击几次按钮，花费不到几分钟的时间。最后，她配置日志被发送到现有的S3桶，选择OCSF规范化的Parquet格式。 在短短10分钟内完成这三个步骤后，Zoom审计日志开始流式传输到S3。塔玛尔强调，这是每个应用程序的一次性设置，不需要持续的管理。 现在，日志正在由应用架构收集，安全团队可以从其中提取有价值的信息。亚马逊云科技与Splunk合作以满足客户需求并端到端消除摩擦。他们收集了来自金融服务、媒体、专业服务和其他拥有数千名SaaS用户的客户的反馈。首席信息安全官、云架构师等人接受了采访。他们都强调了他们喜欢安全工具的功能，但他们希望减少数据管道管理开销。 在导入SaaS日志的过程中，客户普遍反映规范化是一个棘手的问题。62%的客户迫切希望在Splunk中实现OCSF日志的输入解决方案。96%的客户希望获得规范的日志，而83%的客户表示解决方案必须解决识别不适当的访问/权限、跟踪应用程序配置更改以及检测可疑登录行为等问题。现在我们来回顾一下Christa的情况，她已经成功设置了AppFabric。不到30分钟，她通过Kinesis Firehose获得了Zoom、Dropbox和Zendesk的日志流。她在其他来源上已经使用过Firehose，因此将AppFabric日志路由到Splunk变得轻而易举。她已经配置了Splunk，以便在发生诸如升级应用程序特权或公开通过Slack Direct Messages共享的事件时通知她。这样的警报刚刚响起。Anoushka向Christa展示了如何在Splunk中进行调查。在Christa的仪表板上，她看到了Zoom正在产生大量的流量。时间线显示在凌晨4:30左右有一个峰值。两个用户占据了73%的事件，其中一个用户独自创造了54%。他的非公司电子邮件域引起了关注。深入挖掘这个用户在应用程序中的活动，Christa发现，在凌晨4:30左右，还发生了类似添加用户、删除用户和更新配置之类的事件。由于Splunk的OCSF数据模型，她编写了这样一个搜索查询，可以找到这个用户被授予管理员特权的特定事件。出乎意料的是，这是来自内部人员。无论是内部威胁还是身份盗窃，这都可能在先前的攻击之前。Anoushka总结了使Christa能够迅速检测和分析威胁的关键Splunk功能：数据摄入（如添加Firehose）、紧密集成的亚马逊云科技解决方案、与Security Lake的OCSF集成、统一的基础设施和软件即服务数据、数据规范化（由OCSF消除）以及数据分析（如自定义仪表板、相关性、ML模型和协调自动化的威胁调查和响应）。各行各业的客户都在使用AppFabric来改善SaaS安全监控，Tamar分享道。像金融服务和医疗保健这样高度监管的行业受益于其HIPAA合规性。以SAS为中心、云优先的用户，他们迅速采用缺乏可观察性的应用程序，并在AppFabric中找到安慰。 一家以色列的大型银行报告称，已经释放了进行战略工作的能力。一家中型金融服务客户将Microsoft AppFabric誉为“关键”技术，因为它能够轻松且无摩擦地了解过去黑暗的软件即服务（SaaS）活动的情况。医疗保健提供商Amazon Health对AppFabriC的合规性表示赞赏，该合规性符合健康保险责任与问责法案（HIPAA）的规定。 总的来说，Tamar详细介绍了AppFabric如何克服实现SaaS可观察性的多重挑战，并通过标准化的以安全为重点的开放式架构丰富日志。这消除了安全团队一直面临的额外开销和复杂性。通过与Splunk等解决方案相结合，客户现在可以轻松地提取价值以改善安全状况。 她鼓励与会者立即开始使用AppFabric，只需几分钟即可创建应用程序捆绑包、授权应用程序和设置摄取偏好，而无需编写代码。在Amazon峰会期间，还可以参加其他关于AppFabric的会议和咨询专家以解决任何问题。Tamar最后感谢所有人的参与，并敦促他们通过提交反馈来支持会议的调查。 **下面是一些演讲现场的精彩瞬间：** 大家好，我是一位负责领导构建与亚马逊云科技及其他合作伙伴集成的团队的专家。  安全团队依赖审计日志来追踪用户活动和异常行为，然而管理众多从应用程序到安全工具的集成需要复杂的人工操作。  作为一名安全工程师，克里斯塔认为她的团队需要开始监控Zoom、Dropbox和Zendesk的审计日志，以便将其导入Splunk。  亚马逊云科技的App Fabric能够帮助客户将SAS应用程序与安全工具集成以检测威胁，从而减轻运营负担。  领导者强调亚马逊云科技织物为客户提供了选择格式、架构和审计日志目的地的灵活性。  亚马逊云科技的AppFabric目前已支持14个应用程序，并计划明年加速覆盖范围达到三位数。  领导者感谢大家的参与和时间，并鼓励大家提供反馈以帮助改进未来的活动。  ## 总结 亚马逊云科技的AppFabric通过采用开放网络安全架构框架（OCSF），对来自领先软件即服务（SaaS）应用的审计日志进行整合、规范和优化，从而提供支持。AppFabrier将这些数据转换成通用的安全架构OCSF，使得诸如Splunk等安全工具能够轻松地摄入和分析这些数据。 其主要优势包括： - AppFabric能有效减轻在管理和维护软件即服务应用与安全工具之间的点对点集成的工作负担。 - 通过规范至OCSF，安全团队能更有效地从软件即服务审计日志中获取更多的价值。 - 利用唯一的用户ID丰富数据有助于识别跨多个应用程序的异常行为。 - AppFabric对Splunk的支持简化了威胁检测和调查工作流程。 通过运用AppFabric，安全团队可以在较低的努力和成本下提高软件即服务应用的可见性并增强整体的安全状况。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")