Memulai dengan AWS AppFabric untuk keamanan - AWS AppFabric
PrasyaratLangkah 1: Buat bundel aplikasiLangkah 2: Otorisasi aplikasiLangkah 3: Siapkan konsumsi log auditLangkah 4: Gunakan alat akses penggunaLangkah 5: Connect AppFabric untuk data keamanan di alat keamanan dan tujuan lainnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS AppFabric untuk keamanan

Untuk memulai AWS AppFabric untuk keamanan, Anda harus terlebih dahulu membuat bundel aplikasi dan kemudian mengotorisasi dan menghubungkan aplikasi ke bundel aplikasi Anda. Setelah otorisasi aplikasi terhubung ke aplikasi, Anda dapat menggunakannya AppFabric untuk fitur keamanan seperti konsumsi log audit dan akses pengguna.

Bagian ini menjelaskan cara mulai menggunakan AppFabric di AWS Management Console.

Prasyarat

Sebelum memulai, Anda harus terlebih dahulu membuat Akun AWS dan pengguna administratif. Untuk informasi selengkapnya, lihat Mendaftar untuk Akun AWS dan Buat pengguna dengan akses administratif.

Langkah 1: Buat bundel aplikasi

Bundel aplikasi menyimpan semua otorisasi dan konsumsi aplikasi keamanan Anda AppFabric . Untuk membuat bundel aplikasi, siapkan kunci enkripsi untuk melindungi data aplikasi resmi Anda dengan aman.

  1. Buka AppFabric konsol di https://console.aws.amazon.com/appfabric/.

  2. Dalam Select a Region selector di sudut kanan atas halaman, pilih. Wilayah AWS AppFabric hanya tersedia di Wilayah AS Timur (Virginia N.), Eropa (Irlandia), dan Asia Pasifik (Tokyo).

  3. Pilih Memulai.

  4. Pada halaman Memulai, untuk Langkah 1. Buat bundel aplikasi, pilih Buat bundel aplikasi.

  5. Di bagian Enkripsi, siapkan kunci enkripsi untuk melindungi data Anda dengan aman dari semua aplikasi resmi. Kunci ini digunakan untuk mengenkripsi data Anda dalam layanan keamanan AppFabric for.

    AppFabric untuk keamanan mengenkripsi data secara default. AppFabric dapat menggunakan kunci yang Kunci milik AWS dibuat dan dikelola oleh AppFabric atas nama Anda atau kunci yang dikelola pelanggan yang Anda buat dan kelola di AWS Key Management Service (AWS KMS).

  6. Untuk AWS KMS Kunci, pilih Use Kunci milik AWS atau Customer managed key.

    Jika Anda memilih untuk menggunakan kunci yang dikelola pelanggan, masukkan Nama Sumber Daya Amazon (ARN) atau ID kunci kunci yang ada yang ingin Anda gunakan, atau pilih Buat AWS KMS kunci.

    Pertimbangkan hal berikut ketika memilih Kunci milik AWS atau kunci yang dikelola pelanggan:

    • Kunci milik AWSadalah kumpulan kunci AWS Key Management Service (AWS KMS) yang Layanan AWS dimiliki dan dikelola untuk digunakan dalam beberapa Akun AWS. Meskipun tidak Kunci milik AWS ada dalam Anda Akun AWS, an Layanan AWS dapat menggunakan Kunci milik AWS untuk melindungi sumber daya di akun Anda. Kunci milik AWS jangan dihitung terhadap AWS KMS kuota untuk akun Anda. Anda tidak perlu membuat atau mempertahankan kunci atau kebijakan utamanya. Rotasi Kunci milik AWS bervariasi antar layanan. Untuk informasi tentang rotasi Kunci milik AWS for AppFabric, lihat Enkripsi saat istirahat.

    • Kunci yang dikelola pelanggan adalah kunci KMS Akun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kendali penuh atas AWS KMS kunci-kunci ini. Anda dapat menetapkan dan memelihara kebijakan utama mereka, kebijakan AWS Identity and Access Management (IAM), dan hibah. Anda dapat mengaktifkan dan menonaktifkannya, memutar materi kriptografi mereka, menambahkan tag, membuat alias yang merujuk ke AWS KMS kunci, dan menjadwalkan AWS KMS kunci untuk dihapus. Kunci terkelola pelanggan muncul di halaman kunci terkelola Pelanggan AWS Management Console untuk AWS KMS.

      Untuk mengidentifikasi kunci yang dikelola pelanggan secara definitif, gunakan operasi. DescribeKey Untuk kunci yang dikelola pelanggan, nilai KeyManager bidang DescribeKey respons adalahCUSTOMER. Anda dapat menggunakan kunci yang dikelola pelanggan Anda dalam operasi kriptografi dan penggunaan audit di AWS CloudTrail log. Dengan banyak Layanan AWS yang terintegrasi AWS KMS, Anda dapat menentukan kunci yang dikelola pelanggan untuk melindungi data yang disimpan dan dikelola untuk Anda. Kunci yang dikelola pelanggan dikenakan biaya bulanan dan biaya untuk penggunaan melebihi Tingkat AWS Gratis. Kunci yang dikelola pelanggan dihitung terhadap AWS KMS kuota untuk akun Anda.

    Untuk informasi selengkapnya tentang Kunci milik AWS dan kunci yang dikelola pelanggan, lihat Kunci dan AWS kunci pelanggan di Panduan AWS Key Management Service Pengembang.

    catatan

    Saat bundel aplikasi dibuat, AppFabric untuk keamanan juga akan membuat peran IAM khusus yang Akun AWS disebut peran terkait layanan (SLR) untuk Anda. AppFabric Ini memungkinkan layanan untuk mengirim metrik ke Amazon CloudWatch. Setelah Anda menambahkan tujuan log audit, SLR memungkinkan akses layanan keamanan AppFabric untuk ke sumber daya AWS Anda (bucket Amazon S3, aliran pengiriman Amazon Data Firehose). Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AppFabric.

  7. (Opsional) Untuk Tag, Anda memiliki opsi untuk menambahkan tag ke bundel aplikasi Anda. Tag adalah pasangan nilai kunci yang menetapkan metadata ke sumber daya yang Anda buat. Untuk informasi selengkapnya, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Editor AWS Tag.

  8. Untuk membuat app bundle, pilih Create app bundle.

Langkah 2: Otorisasi aplikasi

Setelah bundel aplikasi berhasil dibuat, kini Anda dapat mengotorisasi keamanan AppFabric untuk terhubung dan berinteraksi dengan setiap aplikasi. Aplikasi resmi dienkripsi dan disimpan dalam bundel aplikasi Anda. Untuk menyiapkan beberapa otorisasi aplikasi per bundel aplikasi, ulangi langkah otorisasi aplikasi sesuai kebutuhan untuk setiap aplikasi.

Sebelum Anda memulai langkah-langkah untuk mengotorisasi aplikasi, tinjau dan verifikasi prasyarat untuk setiap aplikasi, seperti jenis paket yang diperlukan, di. Aplikasi-aplikasi yang didukung

  1. Pada halaman Memulai, untuk Langkah 2. Otorisasi aplikasi, pilih Buat otorisasi aplikasi.

  2. Di bagian Otorisasi aplikasi, pilih aplikasi yang ingin Anda berikan izin untuk keamanan AppFabric untuk terhubung dari dropdown Aplikasi. Aplikasi yang ditampilkan adalah aplikasi yang saat ini didukung oleh AppFabric untuk keamanan.

  3. Saat Anda memilih aplikasi, bidang informasi yang diperlukan muncul. Bidang ini mencakup ID penyewa dan nama penyewa dan mungkin juga menyertakan ID klien, rahasia klien, atau token akses pribadi. Nilai input untuk bidang ini bervariasi menurut aplikasi. Untuk petunjuk spesifik aplikasi terperinci tentang cara menemukan nilai-nilai ini, lihat. Aplikasi-aplikasi yang didukung

  4. (Opsional) Untuk Tag, Anda memiliki opsi untuk menambahkan tag ke otorisasi aplikasi Anda. Tag adalah pasangan nilai kunci yang menetapkan metadata ke sumber daya yang Anda buat. Untuk informasi selengkapnya, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Editor AWS Tag.

  5. Pilih Buat otorisasi aplikasi.

  6. Jika jendela pop-up muncul (tergantung pada aplikasi yang sedang terhubung), pilih Izinkan untuk mengotorisasi keamanan AppFabric untuk terhubung dengan aplikasi Anda.

    Jika otorisasi aplikasi berhasil, Anda akan melihat pesan sukses otorisasi Aplikasi yang terhubung di halaman Memulai.

  7. Anda dapat memeriksa status otorisasi aplikasi kapan saja di halaman otorisasi Aplikasi yang tercantum di panel navigasi, di bawah status untuk setiap aplikasi. Status Terhubung berarti otorisasi aplikasi Anda telah diberikan AppFabric untuk keamanan untuk terhubung ke aplikasi dan selesai.

  8. Status otorisasi aplikasi yang mungkin ditampilkan dalam tabel berikut, termasuk langkah-langkah pemecahan masalah yang dapat Anda ambil untuk memperbaiki kesalahan terkait.

    Nama status Deskripsi status Langkah pemecahan masalah

    Tertunda

    Status Pending berarti otorisasi aplikasi untuk aplikasi dibuat, tetapi AppFabric untuk keamanan belum terhubung ke aplikasi.

    Saat Anda melihat status ini, pilih Connect dari dropdown Tindakan pada halaman otorisasi App untuk memulai koneksi. Jika kesalahan ini berlanjut, periksa apakah pemblokir pop-up browser Anda dinonaktifkan. Jika ada pesan kesalahan, seperti 400 Permintaan Buruk di jendela pop-up, periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar. Mungkin juga otorisasi aplikasi aplikasi tidak dibuat dengan benar. Untuk informasi selengkapnya, lihat Aplikasi yang didukung.

    Validasi koneksi gagal

    Status validasi Sambungan gagal berarti bahwa AppFabric untuk keamanan tidak dapat memvalidasi koneksi otorisasi aplikasi dengan aplikasi.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Rotasi otomatis token gagal

    Status rotasi otomatis token gagal berarti token penyegaran OAuth gagal setelah otorisasi aplikasi berhasil dihubungkan.

    Jika kesalahan ini berlanjut, periksa aplikasi otentikasi aplikasi. Untuk informasi selengkapnya, lihat Aplikasi yang didukung.

  9. Untuk mengotorisasi aplikasi tambahan, ulangi langkah 1 hingga 8 sesuai kebutuhan.

Langkah 3: Siapkan konsumsi log audit

Setelah Anda memiliki setidaknya satu otorisasi aplikasi yang dibuat di app bundle, kini Anda dapat menyiapkan proses log audit. Penyerapan log audit menggunakan log audit dari aplikasi resmi dan menormalkannya ke dalam Open Cybersecurity Schema Framework (OCSF). Kemudian mengantarkan mereka ke satu atau lebih tujuan di dalamnya AWS. Anda juga dapat memilih untuk mengirimkan file JSON mentah ke tujuan Anda.

  1. Pada halaman Memulai, untuk Langkah 3. Siapkan bagian konsumsi log audit, pilih Pengaturan cepat konsumsi.

    catatan

    Untuk penyiapan yang lebih cepat, gunakan halaman penyiapan cepat Ingestions, yang hanya dapat diakses dari halaman Memulai, untuk membuat konsumsi untuk beberapa otorisasi aplikasi sekaligus, dengan tujuan konsumsi yang sama. Misalnya, bucket Amazon S3 yang sama atau aliran data Amazon Data Firehose.

    Anda juga dapat membuat konsumsi dari halaman Ingestions, yang dapat diakses dari panel navigasi. Pada halaman Ingestions, Anda dapat mengatur satu konsumsi pada satu waktu ke tujuan yang berbeda. Pada halaman Ingestions, Anda juga dapat membuat tag untuk konsumsi. Petunjuk berikut adalah untuk halaman pengaturan cepat Ingestions.

  2. Untuk Pilih otorisasi aplikasi, pilih otorisasi aplikasi yang ingin Anda buat untuk konsumsi log audit. Nama penyewa yang muncul di dropdown otorisasi Aplikasi adalah nama penyewa aplikasi yang sebelumnya telah Anda buat otorisasi aplikasi untuk keamanan. AppFabric

  3. Untuk tujuan Tambah, pilih tujuan untuk konsumsi log audit dari aplikasi yang Anda pilih. Opsi tujuan termasuk Amazon S3 - Bucket yang Ada, Amazon S3 - Bucket Baru, atau Amazon Data Firehose. Jika Anda memilih beberapa nama penyewa, tujuan yang Anda pilih akan diterapkan pada setiap penggunaan otorisasi aplikasi.

  4. Saat Anda memilih tujuan, kolom tambahan yang diperlukan akan muncul.

    1. Jika Anda memilih Amazon S3 — Bucket baru sebagai tujuan Anda, Anda harus memasukkan nama bucket S3 yang ingin Anda buat. Untuk petunjuk selengkapnya tentang cara membuat bucket Amazon S3, lihat Membuat tujuan keluaran.

    2. Jika Anda memilih Amazon S3 — Bucket yang ada sebagai tujuan Anda, pilih nama bucket Amazon S3 yang ingin Anda gunakan.

    3. Jika Anda memilih Amazon Data Firehose sebagai tujuan, pilih nama aliran pengiriman dari daftar tarik-turun nama aliran pengiriman Firehose. Untuk petunjuk selengkapnya tentang cara membuat aliran pengiriman Amazon Data Firehose, lihat Membuat tujuan keluaran, dan perhatikan kebijakan izin yang diperlukan untuk AppFabric keamanan.

  5. Untuk Skema & Format, Anda dapat memilih untuk menyimpan log audit Anda di Raw - JSON, OCSF - JSON, OCSF - untuk bucket Amazon S3, atau Raw - JSON atau OCSF-JSON Parquet untuk Firehose.

    Format data mentah menyediakan data log audit Anda yang dikonversi ke JSON dari serangkaian data. Format data OCSF menormalkan data log audit Anda ke skema Open Cybersecurity Schema Framework (OCSF) AppFabric untuk keamanan. Untuk informasi selengkapnya tentang cara AppFabric menggunakan OCSF, lihat. Buka Kerangka Skema Keamanan Siber Anda dapat memilih hanya satu skema dan format tipe data pada satu waktu untuk konsumsi. Jika Anda ingin menambahkan skema tambahan dan format tipe data, Anda dapat mengatur tujuan konsumsi tambahan dengan mengulangi proses pembuatan konsumsi.

  6. (Opsional) Jika Anda ingin menambahkan tag ke konsumsi, buka halaman Tertelan dari panel navigasi. Untuk pergi ke halaman detail konsumsi, pilih nama penyewa. Untuk Tag, Anda memiliki opsi untuk menambahkan tag ke konsumsi Anda. Tag adalah pasangan nilai kunci yang menetapkan metadata ke sumber daya yang Anda buat. Untuk informasi selengkapnya, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Editor AWS Tag.

  7. Pilih Mengatur konsumsi.

    Ketika Anda berhasil mengatur konsumsi, Anda akan melihat pesan sukses dari Ingestion dibuat di halaman Memulai.

  8. Anda juga dapat memeriksa status konsumsi dan status tujuan konsumsi Anda kapan saja di halaman Konsumsi dari panel navigasi. Di halaman ini, Anda dapat melihat nama penyewa yang dibuat saat membuat otorisasi aplikasi, tujuan, dan status konsumsi Anda. Status Diaktifkan untuk konsumsi Anda berarti konsumsi Anda diaktifkan. Jika Anda memilih nama penyewa otorisasi aplikasi di halaman ini, Anda dapat melihat halaman detail untuk otorisasi aplikasi tersebut, termasuk detail dan status tujuan. Status Aktif untuk tujuan konsumsi Anda berarti bahwa tujuan diatur dengan benar dan aktif. Jika otorisasi aplikasi memiliki status Terhubung dan status tujuan konsumsi adalah Aktif, maka log audit harus diproses dan dikirimkan. Jika status otorisasi aplikasi atau status tujuan konsumsi adalah salah satu status gagal, log audit tidak akan diproses atau dikirim meskipun status konsumsi diaktifkan. Untuk memperbaiki kegagalan otorisasi aplikasi, lihat Langkah 2. Otorisasi aplikasi.

  9. Status tujuan konsumsi dan konsumsi yang mungkin ditampilkan dalam tabel berikut, dengan langkah-langkah pemecahan masalah yang dapat Anda ambil untuk memperbaiki status kesalahan apa pun.

    Nama negara atau status Deskripsi Langkah pemecahan masalah

    Dinonaktifkan

    Status dinonaktifkan untuk konsumsi berarti konsumsi Anda dinonaktifkan.

    Anda dapat mengaktifkan konsumsi dengan memilih Aktifkan dari dropdown Tindakan pada halaman Ingestions.

    Failed

    Status Gagal untuk tujuan konsumsi berarti bahwa tujuan konsumsi tidak menerima log audit. Misalnya, status ini mungkin terjadi karena lokasi penyimpanan penuh.

    Untuk memperbaiki masalah ini, buka konsol Amazon S3 atau Firehose.

Langkah 4: Gunakan alat akses pengguna

Menggunakan alat akses pengguna AppFabric untuk keamanan, tim keamanan dan IT Admin dapat dengan cepat melihat siapa yang memiliki akses ke aplikasi tertentu dengan menjalankan pencarian sederhana menggunakan alamat email perusahaan karyawan. Pendekatan ini dapat membantu dalam mengurangi waktu yang dihabiskan untuk tugas-tugas seperti deprovisioning pengguna yang mungkin memerlukan pemeriksaan manual atau audit akses pengguna di seluruh aplikasi SaaS. Jika pengguna ditemukan, AppFabric untuk keamanan memberikan nama pengguna dalam aplikasi dan status pengguna dalam aplikasi mereka (misalnya, Aktif) jika disediakan oleh aplikasi. AppFabric untuk pencarian keamanan semua aplikasi resmi dalam bundel aplikasi untuk mengembalikan daftar aplikasi yang dapat diakses pengguna.

  1. Pada halaman Memulai, untuk Langkah 4. Gunakan alat akses pengguna, pilih Cari pengguna.

  2. Di bidang Alamat email, ketik alamat email pengguna, lalu pilih Cari.

  3. Di bagian Hasil pencarian, Anda melihat daftar semua aplikasi resmi yang dapat diakses pengguna. Untuk menampilkan nama pengguna dalam aplikasi dan statusnya (jika tersedia), pilih hasil pencarian.

  4. Pesan Pengguna yang ditemukan di kolom hasil penelusuran berarti pengguna dapat mengakses aplikasi yang terdaftar. Tabel berikut menunjukkan kemungkinan hasil pencarian, kesalahan, dan tindakan yang dapat Anda lakukan untuk mengatasi kesalahan.

    Hasil pencarian Deskripsi

    Pengguna tidak ditemukan

    Tidak ada pengguna yang ditemukan dengan alamat email yang digunakan.

    Token otorisasi tidak ditemukan. Connect otorisasi aplikasi untuk aplikasi.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Token otorisasi dicabut. Connect otorisasi aplikasi untuk aplikasi.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Kami tidak dapat memutar token otorisasi. Connect otorisasi aplikasi untuk aplikasi.

    Token penyegaran OAuth gagal setelah otorisasi aplikasi berhasil dihubungkan. Jika kesalahan ini berlanjut, periksa aplikasi otentikasi aplikasi. Untuk informasi selengkapnya, lihat Aplikasi yang didukung.

    Izin yang diperlukan tidak ditemukan. Connect otorisasi aplikasi untuk aplikasi.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Otorisasi aplikasi tidak valid.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Kami tidak dapat memanggil API aplikasi karena izin yang tidak mencukupi.

    Periksa apakah semua informasi, seperti ID penyewa, ID klien, dan rahasia klien, dimasukkan dengan benar untuk otorisasi aplikasi.

    Batas permintaan aplikasi terlampaui.

    Ini adalah pesan kesalahan yang diterima dari aplikasi. Anda dapat mencoba mencari alamat email nanti.

    Aplikasi mengalami kesalahan server internal

    Ini adalah pesan kesalahan yang diterima dari aplikasi. Anda dapat mencoba mencari alamat email nanti.

    Aplikasi mengalami kesalahan gateway yang buruk

    Ini adalah pesan kesalahan yang diterima dari aplikasi. Anda dapat mencoba mencari alamat email nanti.

    Aplikasi belum siap untuk menangani permintaan

    Ini adalah pesan kesalahan yang diterima dari aplikasi. Anda dapat mencoba mencari alamat email nanti.

    Aplikasi mengalami kesalahan permintaan yang buruk.

    Ini adalah pesan kesalahan yang kami terima dari aplikasi. Anda dapat mencoba mencari email lagi nanti.

    Aplikasi mengalami kesalahan layanan tidak tersedia.

    Ini adalah pesan kesalahan yang kami terima dari aplikasi. Anda dapat mencoba mencari email lagi nanti.

Langkah 5: Connect AppFabric untuk data keamanan di alat keamanan dan tujuan lainnya

Data aplikasi yang dinormalisasi (atau mentah) dari AppFabric kompatibel dengan alat apa pun yang mendukung konsumsi data dari Amazon S3 dan integrasi dengan Firehose, termasuk alat keamanan seperti,,,,,,, dan Barracuda XDR Dynatrace Logz.io Netskope NetWitness Rapid7Splunk, atau solusi keamanan milik Anda. Untuk mendapatkan data aplikasi yang dinormalisasi (atau mentah) AppFabric, ikuti langkah sebelumnya 1 hingga 3. Untuk detail selengkapnya tentang cara menyiapkan alat dan layanan keamanan tertentu, lihat Alat dan layanan keamanan yang kompatibel.