加强SaaS应用程序的安全性和可观察性：AWS AppFabric

作者 Samarth Madduru Bobby Williams Tamar Heyman发布时间 2023年6月28日来源 公告 永久链接

重点概述

本文讨论了AWS AppFabric如何有效解决SaaS应用程序的安全和可观察性问题，提升系统的安全性和用户可见性。随着企业使用的SaaS应用程序数量不断增加，组织面临安全事件识别和响应的挑战，而AppFabric为此提供了快速连接和集成解决方案，极大地降低了安全监控的复杂度。

介绍

软件即服务SaaS应用程序的使用量持续增长，许多组织现在在其业务中利用数百个SaaS应用程序。虽然组织常常利用这些应用程序来提高员工的生产力，但许多公司也面临着安全问题和由于数据孤岛而导致的效率低下。IT和安全团队在快速识别和响应其SaaS应用程序组合中的安全事件时遇到挑战。而数据监管的力度也因有限的数据监控而难以达到合规要求。

为了解决这些挑战，IT团队通常会在每个SaaS应用程序和所需的审核日志分析工具之间构建点对点P2P集成。构建这些个别P2P集成可能需要数周或数月的时间，从而导致安全监控效果不佳。为了监测威胁和异常行为，安全团队必须构建机制，将应用程序数据标准化为支持跨应用分析和警报的格式。一旦触发警报，分析往往需要根据每个应用程序的独特标识符手动获取用户详细信息。最后，在未与中心身份提供者IdP连接的SaaS应用程序中，用户的授予和撤回过程可能需要安全团队在每个应用程序中手动检测用户访问状态，这不仅耗时，还会增加未授权用户访问的风险。

AWS AppFabric通过快速连接SaaS应用程序来解决这些挑战，从而提高安全性和生产力。AppFabric消除了构建和管理单个SaaS应用程序与组织安全和业务运营工具之间P2P集成的工作。AppFabric全面管理这些集成，并通过开放网络安全模式框架OCSF自动提供标准化的SaaS应用程序数据。OCSF是一种开源的、与供应商无关的安全模式。

“我们在一个高度监管的环境中运营，”YuJa的首席商务官Nathan Arora表示，“AppFabric帮助我们团队在管道管理中的手动工作减少了近40。凭借基于常见威胁向量的标准化框架，AppFabric还改善了我们内部应用工具集的安全态势。”

AppFabric通过为SaaS应用程序数据增加唯一用户ID，使客户能够集中监控其SaaS应用程序组合中可能的风险，如大文件下载、来自未知位置的登录、公开共享的数据和管理员权限的更改。AppFabric还包括一个用户访问功能，允许安全和IT管理员快速确定哪些用户访问特定应用程序。管理员只需根据公司电子邮件地址在AppFabric中进行搜索即可。这减少了在需要手动干预的任务上，如用户的分配和撤销或审计各个SaaS应用程序中用户访问时所需的时间。

“我们非常喜欢AppFabric为我们组织带来的简单集成和更强的安全可见性，”以色列银行网络数据负责人Dudi Levi说，“通过利用AWS AppFabric聚合众多流行SaaS企业应用程序的日志，并支持OCSF架构，我们能够将为高级安全运营中心交付安全日志的时间从几天缩短到仅几小时。日志将被流式传输到银行的亚马逊Redshift和亚马逊Aurora分析服务中，并准备立即消费。”

AWS AppFabric架构

AppFabric监控SaaS应用程序的新日志数据，然后使用额外的详细信息如用户电子邮件地址丰富这些数据。AppFabric用户可以设置数据摄取连接器，以亚马逊简单存储服务Amazon S3或亚马逊Kinesis数据消防hose来监测和存储转换后的数据见图1。通过利用安全应用程序和其他AWS服务，组织可以进一步增强其安全态势，配置关键事件的警报，或识别可能带来组织风险的日志数据模式。

“将SaaS应用程序的原始审计日志数据转换为集中存储的数据是充满挑战的。然而，这是创建警报和监测多个应用程序使用的基础性要求，”Optibus首席信息安全官Boris Surets说。“我们特别关注为全球员工创建基本的可见性，以减少风险暴露。AppFabric使我们在不久的时间内对SaaS活动的可见性翻了一番，几乎没有付出努力和成本。”

连接到亚马逊S3

AppFabric提供的标准化应用程序审计日志可以直接存储在Amazon S3中。SaaS审计日志在静止时使用亚马逊S3托管密钥SSES3或AWS密钥管理服务的默认亚马逊S3托管密钥SSEKMS加密。由于这些密钥由AWS管理，因此无需进行密钥物料轮换。此外，您可以使用生命周期策略将标准化审计日志根据用户定义的访问模式转换为更便宜的Amazon S3存储层，例如Amazon S3标准不频繁访问。

要将AppFabric源的审计日志存储到Amazon S3中，请选择现有存储桶或在您AppFabric资源相同区域中创建带全球唯一标识符的新存储桶。一旦在存储桶中，您可以使用AWS命令行界面AWS CLI、AWS软件开发工具包AWS SDK，或AWS管理控制台来检查和消费审计日志，您可以在安全工具中搜索数据并运行威胁检测模型。

用例1：AppFabric与Amazon S3

大多数组织希望防止不法分子提取和利用知识产权及其他敏感公司数据。在这个例子中，一家公司可能使用Dropbox进行云存储，Okta进行企业身份验证，以及Smartsheet进行项目计划。借助AppFabric，该公司将所有这些应用程序的审计日志摄取并标准化到配置为目标的Amazon S3存储桶中，并使用这个Amazon S3存储桶作为其可观察性的工具Rapid7的数据源。最近，该公司的安全团队注意到通过公司Smartsheet账户的一个用户出现了增多的失败登录尝试，因此想查看其他SaaS应用程序是否存在类似模式。他们还注意到近期对产品团队使用的Dropbox文件夹的管理员权限进行了更改。借助AppFabric作为集成层见图2，安全团队在Rapid7中创建了警报和通知，以在再次发生此类事件时通知他们，使团队能够进行调查并采取执行措施，包括撤销某些账户的Smartsheet访问权限。

查看图2以可视化用例1中描述的端到端过程。

连接到亚马逊Kinesis数据消防hose

使用亚马逊Kinesis数据消防hose实时摄取AppFabric审计日志。通过使用亚马逊Kinesis作为摄取目标，可以将标准化的日志与AWS服务和支持的第三方应用程序连接起来可以在此处找到目标列表。通过使用亚马逊Kinesis，用户能够配置期望的缓冲区大小和时间间隔，以确定性地发送标准化日志到最终目标。这些目标包括如Splunk等应用程序和AWS服务如亚马逊Redshift。拥有软件许可证或亲和访问的用户可以继续使用他们的首选监测工具，同时利用可扩展的亚马逊Kinesis传递流。要将AppFabric与亚马逊Kinesis设置在一起，交付流必须使用直接PUT作为源，并配置在与AppFabric资源相同的区域。

用例2：AppFabric与亚马逊Kinesis数据消防hose

在这个例子中，一家金融服务公司希望在所有SaaS应用程序中实施全公司日志记录。由于该公司处理敏感的客户金融数据，因此实施近实时监控至关重要。公司主要使用Miro、Slack和Zoom进行协作，并使用Splunk作为安全工具。随着每小时成千上万条信息的流动和数百次日常协作会议的召开，自动化解决方案对于实时数据监测变得非常重要。借助AppFabric与亚马逊Kinesis数据消防hose见图3，公司能够将标准化的日志流式传输到他们的Splunk SOAR仪表板。DevOps团队建立了规则例如：在Smartsheet上发生的异常下载活动、Slack频道上提升的管理员权限，或在Slack频道上启用的公共共享设置，触发通知进入DevOps Slack频道以启动调查。

图3可视化了用例2中描述的AppFabric与亚马逊Kinesis数据消防hose集成的端到端过程：

与AppFabric兼容的安全和可观察工具

来自AppFabric的SaaS应用程序数据与任何支持从Amazon S3或亚马逊Kinesis数据消防hose接收数据的工具兼容。这包括安全工具如Logzio、Netskope、Netwitness、Rapid7、Splunk，以及专有的安全解决方案。请参阅AppFabric管理员指南中关于兼容安全工具和服务的部分，以获取有关如何设置特定安全工具和服务以观察来自AppFabric的数据的详细信息。

开始使用AppFabric

要设置AppFabric并启用来自受支持应用程序的审计日志摄取，您需要创建应用程序包AppFabric应用程序包存储您所有的应用程序授权和审计日志摄取，授权AppFabric连接到您的SaaS应用程序，并设置数据摄取以将审计日志输出到Amazon S3或亚马逊Kinesis数据消防hose。有关如何创建这些AppFabric资源的详细信息，请参考AppFabric管理员指南中的快速入门部分。AppFabric管理员指南还包括高级选项，如使用客户管理密钥的加密和连接受支持应用程序及安全可观察平台的详细信息。

使用用户访问功能

要使用用户访问功能，您必须先为某个SaaS应用程序配置授权。一旦您授权了SaaS应用程序，您可以在AppFabric控制台中通过电子邮件地址搜索见图4用户，并查看与该用户在所有SaaS应用程序中的相关信息。

图4 用户访问功能，展示了在三款SaaS应用程序中的两个中找到的一个用户示例：

清理AppFabric资源

如果您在完成此设置过程后不想继续使用AppFabric，请删除输出位置中残留的任何数据，并删除为避免产生额外费用而创建的任何其他AppFabric资源。有关如何清理AppFabric资源的说明，请参见AppFabric管理员指南中的删除AppFabric资源部分。

总结

在这篇博客文章中，我们讨论了AppFabric如何改善SaaS应用程序的安全性和可观察性、AppFabric的架构、如何开始使用AppFabric以及如何使用AppFabric用户访问功能。我们讨论了利用AppFabric和Amazon S3保障知识产权的用例，以及通过AppFabric和亚马逊Kinesis数据消防hose进行SaaS应用程序的近实时数据监测的用例。

AppFabric减少了识别和处理SaaS应用程序组合中的安全事件所需的运营开销，并提供跨SaaS应用程序获取用户信息的能力，以帮助进行如撤销授权等任务。我们邀请您探索使用AppFabric的好处。请在AppFabric控制台开始使用。通过全面的文档，您可以迅速将SaaS应用程序连接到AppFabric，进一步提升安全可观察性体验。

Samarth Madduru

Samarth Madduru是AWS的解决方案架构师，致力于为中等规模的工业和制造公司提供咨询。他在机器学习和人工智能方面拥有丰富的经验，帮助客户在高影响力的生产环境中利用AI解决方案。他拥有伊利诺伊大学香槟分校的本科学位。

Bobby Williams

Bobby是AWS的高级解决方案架构师，拥有数十年的经验，专注于设计、构建和支持全球规模的企业软件解决方案。他在各个行业和领域中提供解决方案，致力于为每位客户创造愉悦的体验。

Tamar Heyman

Tamar Heyman是AWS的首席产品经理。在过去六年中，她一直在亚马逊工作，最近负责为AWS商业应用组织推出AWS AppFabric。在此之前，Tamar是亚马逊品牌注册的产品负责人，负责入驻体验和滥用防止路线的开发。