AWS AppFabric 为了安全起见,入门 - AWS AppFabric
先决条件第 1 步:创建应用程序捆绑包第 2 步:授权应用程序第 3 步:设置审核日志提取第 4 步:使用用户访问工具步骤 5:Connect AppFabric 以获取安全工具和其他目标中的安全数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS AppFabric 为了安全起见,入门

AWS AppFabric 为了安全起见,您必须先创建一个应用程序包,然后授权应用程序并将其连接到您的应用程序包。将应用程序授权连接到应用程序后,您可以使用 AppFabric 安全功能,例如审核日志提取和用户访问权限。

本节介绍如何开始 AppFabric 在中使用 AWS Management Console。

先决条件

在开始之前,必须先创建一个 AWS 账户 和一个管理用户。有关更多信息,请参阅 注册获取 AWS 账户创建具有管理访问权限的用户

第 1 步:创建应用程序捆绑包

App bundle 会存储您的所有内容 AppFabric ,用于安全应用程序授权和摄取。要创建应用程序捆绑包,请设置加密密钥以安全保护您的授权应用程序数据。

  1. 打开 AppFabric 控制台,网址为 https://console.aws.amazon.com/appfabric/

  2. 在页面右上角的选择区域选择器中,选择一个。 AWS 区域 AppFabric 仅在美国东部(弗吉尼亚北部)、欧洲(爱尔兰)和亚太地区(东京)地区提供。

  3. 选择开始使用

  4. 开始使用页面上,进入步骤 1。创建应用程序捆绑包,选择创建应用程序捆绑包

  5. 加密部分中,设置加密密钥以安全保护您的数据免受所有授权应用程序的访问。此密钥用于在安全服务中 AppFabric加密您的数据。

    AppFabric 为了安全起见,默认情况下会加密数据。 AppFabric 可以使用代表您 AWS 拥有的密钥 创建和管理的密钥,也可以使用您 AppFabric 在 AWS Key Management Service (AWS KMS) 中创建和管理的客户托管密钥。

  6. 对于 AWS KMS 密钥,选择使用 AWS 拥有的密钥客户托管密钥

    如果您选择使用客户托管密钥,请输入您要使用的现有密钥的 Amazon 资源名称(ARN)或密钥 ID,或者选择创建 AWS KMS 密钥

    选择 AWS 拥有的密钥 或客户托管密钥时,请考虑以下几点:

    • AWS 拥有的密钥是 AWS Key Management Service (AWS KMS) 密钥的集合,这些密钥由一个人 AWS 服务 拥有并管理,用于多个密钥 AWS 账户。尽管 AWS 拥有的密钥 不在您的账户中 AWS 账户,但 AWS 服务 可以使用 AWS 拥有的密钥 来保护您账户中的资源。 AWS 拥有的密钥 不要计入您账户的 AWS KMS 配额。您不必创建或维护该密钥或其密钥策略。的轮换因服务 AWS 拥有的密钥 而异。有关 for 轮换的信息 AppFabric, AWS 拥有的密钥 请参阅静态加密

    • 客户托管密钥是您 AWS 账户 自己创建、拥有和管理的 KMS 密钥。您可以完全控制这些 AWS KMS 按键。您可以建立和维护他们的密钥策略、 AWS Identity and Access Management (IAM) 策略和授权。您可以启用和禁用它们、轮换其加密材料、添加标签、创建引用 AWS KMS 密钥的别名以及安排删除 AWS KMS 密钥。客户管理的密钥显示在的客户管理的密钥页面上 AWS Management Console AWS KMS。

      要明确地标识客户托管密钥,请使用 DescribeKey 操作。对于客户托管密钥,DescribeKey 响应的 KeyManager 字段的值为 CUSTOMER。您可以在加密操作中使用您的客户托管密钥,也可以在 AWS CloudTrail 日志中审核使用情况。对于许多与 AWS 服务 之集成的密钥 AWS KMS,您可以指定客户托管的密钥来保护为您存储和管理的数据。客户管理的密钥需要支付月费,超出 AWS 免费套餐的使用量则需要付费。客户托管的密钥计入您账户的 AWS KMS 配额。

    有关客户托管密钥 AWS 拥有的密钥 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的客户 AWS 密钥和密钥

    注意

    创建应用程序包时, AppFabric 为了安全起见,还会在您的 AWS 账户 名为服务相关角色 (SLR) 中创建一个特殊的 IAM 角色。 AppFabric它允许该服务向 Amazon 发送指标 CloudWatch。添加审核日志目标后,SLR 允许安全服务访问您的 AWS 资源(Amazon S3 存储桶、Amazon Data Firehose 传输流)。 AppFabric 有关更多信息,请参阅 将服务相关角色用于 AppFabric

  7. (可选)对于标签,您可以选择将标签添加到应用程序捆绑包。标签是键/值对,用于将元数据分配到您创建的资源。有关更多信息,请参阅《标签编辑器用户指南》中的为 AWS 资源AWS添加标签

  8. 要创建您的应用程序捆绑包,请选择创建应用程序捆绑包

第 2 步:授权应用程序

成功创建应用程序包后, AppFabric 为了安全起见,您现在可以授权与每个应用程序进行连接和交互。已授权的应用程序会进行加密并存储在您的应用程序捆绑包中。要为每个应用程序捆绑包设置多个应用程序授权,请根据需要为每个应用程序重复应用程序授权步骤。

在开始授权应用程序之前,请在 受支持的应用程序 中查看并验证中每个应用程序的先决条件,例如所需的计划类型。

  1. 开始使用页面上,进入步骤 2。授权应用程序,选择创建应用程序授权

  2. 在 “应用程序授权” 部分,从 “应用程序” 下拉列表中选择要授予安全连接权限的应用程序。 AppFabric AppFabric 为了安全起见,显示的应用程序是当前支持的应用程序。

  3. 选择应用程序时,将显示必填的信息字段。这些字段包括租户 ID 和租户名称,还可能包括客户端 ID、客户端密钥或个人访问令牌。这些字段的输入值因应用程序而异。有关如何查找这些值的特定于应用程序的详细说明,请参阅 受支持的应用程序

  4. (可选)对于标签,您可以选择将标签添加到应用程序授权中。标签是键/值对,用于将元数据分配到您创建的资源。有关更多信息,请参阅《标签编辑器用户指南》中的为 AWS 资源AWS添加标签

  5. 选择创建应用程序授权

  6. 如果出现弹出窗口(取决于正在连接的应用程序),请选择 “允许” 以授权与您的应用程序 AppFabric 进行安全连接。

    如果您的应用程序授权成功,您将在开始使用页面上看到一条应用程序授权已连接的成功消息。

  7. 您可以随时在导航窗格中每个应用程序状态下的应用程序授权页面上查看应用程序授权状态。“已连接” 状态表示您的应用程序已 AppFabric 获得授权,以确保连接到应用程序的安全性,并且已完成。

  8. 下表显示了可能的应用程序授权状态,包括您可以采取哪些故障排除步骤来修复相关错误。

    状态名称 状态描述 故障排除步骤

    待处理

    状态为 “待定” 表示应用程序的应用程序授权已创建,但 AppFabric 出于安全考虑,尚未连接到该应用程序。

    当您看到此状态时,请从应用程序授权页面的操作下拉列表中选择连接以启动连接。如果此错误仍然存在,请检查是否已禁用浏览器的弹出窗口拦截器。如果出现任何错误消息,例如带有 400 Bad Request 的弹出窗口,请检查所有信息(例如租户 ID、客户端 ID 和客户机密钥)是否输入正确。也可能未正确创建应用程序的应用程序授权。有关更多信息,请参阅 支持的应用程序

    连接验证失败

    连接验证失败的状态意味着 AppFabric 出于安全考虑,无法验证应用程序授权与应用程序的连接。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    令牌自动轮换失败

    “令牌自动轮换失败”状态表示成功连接应用程序授权后 OAuth 刷新令牌失败。

    如果此错误仍然存在,请检查应用程序的身份验证应用。有关更多信息,请参阅 支持的应用程序

  9. 要授权其他应用程序,请根据需要重复步骤 1 到 8。

第 3 步:设置审核日志提取

在应用程序捆绑包中创建了至少一个应用程序授权后,您现在可以设置审核日志提取了。审核日志提取使用来自授权应用程序的审核日志,并将其标准化为开放网络安全架构框架 (OCSF)。然后,它们将被运送至其中一个或多个目标 AWS。也可以选择将 Raw - JSON 文件传输至目标。

  1. 开始使用页面上,进入步骤 3。设置审核日志提取部分,选择提取快速设置

    注意

    要加快设置速度,请进入提取快速设置页面(仅可从开始使用页面访问),一次性为多个提取目标相同的应用程序授权创建提取。例如,相同的亚马逊 S3 存储桶或 Amazon Data Firehose 数据流。

    您也可以从提取页面创建提取,该页面可从导航窗格访问。在提取页面上,每次您可以设置一次目标不同的提取。在提取页面上,您还可以为提取创建标签。以下为提取快速设置页面的说明。

  2. 对于选择应用程序授权,选择要创建审核日志提取的应用程序授权。为了安全起见,“应用程序授权” 下拉列表中显示的租户名称是您之前为其创建应用程序授权的应用程序的 AppFabric 租户名称。

  3. 添加目标中,选择所选应用程序的审核日志提取目标。目标选项包括亚马逊 S3-现有存储桶亚马逊 S3-新存储桶亚马逊 Data Firehose。如果您选择了多个租户名称,则您选择的目标将应用于每次应用程序授权提取。

  4. 选择目标时,会出现其他必填字段。

    1. 如果您选择 Amazon S3 - 新存储桶作为目标,则必须输入要创建的 S3 存储桶的名称。有关如何创建 Amazon S3 存储桶的更多说明,请参阅创建输出目标

    2. 如果您选择 Amazon S3 - 现有存储桶作为目标,请选择要使用的 Amazon S3 存储桶的名称。

    3. 如果您选择 Amazon Data Firehose 作为目的地,请从 Firehose 传输流名称下拉列表中选择传输流的名称。有关如何创建 Amazon Data Firehose 传输流的更多说明,请参阅创建输出目标并注意安全 AppFabric 所需的权限策略。

  5. 对于架构和格式,对于亚马逊 S3 存储桶,您可以选择将审核日志存储为 Ra w-JSON、OCSF-JSON、O CSF(Parquet适用于亚马逊 S 3 存储桶),或者将审核日志存储为 Raw-JSON 或 OCSF -JSON(适用于 Firehos e)。

    原始数据格式提供将审核日志数据从数据字符串转换为 JSON 的功能。为了安全起见,OCSF 数据格式将您的审核日志数据标准化 AppFabric 为开放式网络安全架构框架 (OCSF) 架构。有关如何 AppFabric 使用 OCSF 的更多信息,请参阅开放式网络安全模式框架。每次只能选择一种模式和格式数据类型进行数据提取。如果要添加其他架构和格式数据类型,则可以通过重复提取创建过程来设置其他提取目标。

  6. (可选)如果要为提取添加标签,请从导航窗格转到提取页面。要转到提取详细信息页面,请选择租户名称。对于标签,您可以选择在提取中添加标签。标签是键/值对,用于将元数据分配到您创建的资源。有关更多信息,请参阅《标签编辑器用户指南》中的为 AWS 资源AWS添加标签

  7. 选择设置提取

    成功设置提取后,您将在开始使用页面看到一条提取已创建的成功消息。

  8. 您也可以随时在导览窗格的提取页面上查看您的提取状态和提取目标的状态。在此页面上,您可以看到在创建应用程序授权时创建的租户名称、目标和提取状态。提取状态为已启用,表示您的提取已启用。如果您在此页面上选择应用程序授权的租户名称,则可以看到该应用程序授权的详细信息页面,包括目标详细信息和状态。提取目标的状态为活动,表示目标已正确设置且处于活动状态。如果应用程序授权的状态为已连接,且提取目标状态为活动,表示应处理并提交审核日志。如果应用程序授权状态或提取目标状态为失败状态,表示即使启用了提取状态,也不会处理或传送审核日志。要修复应用程序授权失败,请参阅步骤 2。授权应用程序

  9. 下表显示了可能出现的提取和提取目标状态,以及您可以采取以修复任何错误状态的故障排除步骤。

    状态或状态名称 描述 故障排除步骤

    Disabled (已禁用)

    提取已禁用状态表示您的提取已禁用。

    您可以通过在提取页面的操作下拉列表中选择启用来启用提取。

    已失败

    提取目标的失败状态表示提取目标不接受审核日志。例如,出现这种状态可能是由于存储位置已满。

    要修复这些问题,请访问亚马逊 S3 或 Firehose 控制台。

第 4 步:使用用户访问工具

使用安全用户访问工具,安全和 IT 管理员团队可以使用员工的公司电子邮件地址进行简单搜索,从而快速查看谁有权访问特定应用程序。 AppFabric 这种方法有助于减少在诸如用户取消配置的任务上花费的时间,这些任务可能需要手动检查或审核用户对 SaaS 应用程序的访问。如果找到了用户, AppFabric 出于安全考虑,将在应用程序中提供该用户的姓名以及应用程序内用户状态(例如,Active)(如果应用程序提供)。 AppFabric 为了安全起见,搜索应用程序包中所有已授权的应用程序,以返回用户有权访问的应用程序列表。

  1. 开始使用页面上,进入步骤 4。使用用户访问工具,选择查找用户

  2. 电子邮箱地址字段中,键入用户的电子邮箱地址,然后选择搜索

  3. 搜索结果部分,您可以看到用户有权访问的所有授权应用程序的列表。要在应用程序中显示用户的姓名及其状态(如有),请选择搜索结果。

  4. 搜索结果栏中出现找到用户的消息,表示用户已列出可以访问的应用程序。下表显示了可能出现的搜索结果、错误以及为解决这些错误可以采取的措施。

    搜索结果 描述

    找不到用户

    未找到使用该电子邮箱地址的用户。

    未找到授权令牌。为应用程序连接应用程序授权。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    授权令牌已撤销。为应用程序连接应用程序授权。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    我们无法轮换授权令牌。为应用程序连接应用程序授权。

    成功连接应用程序授权后,OAuth 刷新令牌失败。如果此错误仍然存在,请检查应用程序的身份验证应用。有关更多信息,请参阅 支持的应用程序

    未找到所需权限。为应用程序连接应用程序授权。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    应用程序授权无效。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    由于权限不足,我们无法调用应用程序 API。

    检查是否正确输入了用于应用程序授权的所有信息,例如租户 ID、客户端 ID 和客户端密钥。

    超出应用程序请求限制。

    这是从应用程序收到的错误消息。您可以稍后尝试搜索电子邮箱地址。

    应用程序遇到了内部服务器错误

    这是从应用程序收到的错误消息。您可以稍后尝试搜索电子邮箱地址。

    应用程序遇到了网关错误

    这是从应用程序收到的错误消息。您可以稍后尝试搜索电子邮箱地址。

    应用程序尚未准备好处理请求

    这是从应用程序收到的错误消息。您可以稍后尝试搜索电子邮箱地址。

    应用程序遇到了请求错误。

    这是我们从应用程序收到的错误消息。您可以稍后再次尝试搜索电子邮件。

    应用程序遇到了服务不可用错误。

    这是我们从应用程序收到的错误消息。您可以稍后再次尝试搜索电子邮件。

步骤 5:Connect AppFabric 以获取安全工具和其他目标中的安全数据

来自的标准化(或原始)应用程序数据与任何支持从 AppFabric Amazon S3 提取数据并与 Firehose 集成的工具兼容,包括、、Barracuda XDR、、、DynatraceLogz.ioNetskopeNetWitnessRapid7Splunk、和等安全工具或您的专有安全解决方案。要从中获取标准化(或原始)应用程序数据 AppFabric,请按照前面的步骤 1 到 3 进行操作。有关如何设置特定安全工具和服务的更多详细信息,请参阅兼容的安全工具和服务