全新 AWS AppFabric 提高了 SaaS 应用程序的可观察性

在如今的商业环境下，公司致力于为员工配备最合适、最有效的工具，以便其高效完成工作。为了实现这一目标，许多公司转向软件即服务（SaaS）应用程序。这种方法使公司能够优化其工作流程，提高员工的工作效率，并将资源集中在核心业务活动上，而不是软件开发和维护上。

随着 SaaS 应用程序逐渐普及，人们越来越需要能够主动识别和应对潜在安全威胁的解决方案，以保持持续业务运营。安全团队花时间监控应用程序使用数据中是否存在威胁或可疑行为，并负责维护安全监督，以满足监管和合规要求。

遗憾的是，将 SaaS 应用程序与现有安全工具集成，需要许多团队构建、管理和维护点对点（P2P）集成。这些 P2P 集成是安全团队监控事件日志，从而了解每个应用程序的用户或系统活动的必要前提。

推出 AWS AppFabric
今天，我们将推出 AWS AppFabric，这是一项完全托管的服务，可汇总和规范化 SaaS 应用程序中的安全数据，让您无需执行集成工作即可提高可观察性并帮助减少运营工作量和成本。

这是一张动画 GIF，可让您快速了解 AWS AppFabric 的工作原理。

借助 AppFabric，您可以轻松集成领先的 SaaS 应用程序，而无需构建和管理自定义代码或点对点集成。有关受支持内容的更多信息，请参阅 AppFabric 支持的应用程序。

当 SaaS 应用程序获得授权并建立连接后，AppFabric 会摄取数据并规范化不同的安全数据（例如用户活动日志）；这一工作将通过开放网络安全架构框架（OCSF）完成，OCSF 是 AWS 与他人共同创立的一个行业标准架构和开源项目。这提供了一个可扩展的架构开发框架，以及一个不受供应商影响的核心安全架构。

然后，使用用户标识符（例如公司电子邮件地址）来丰富数据。这可以缩短安全事件的响应时间，因为您可以全面了解每个事件的用户信息。可以将丰富的规范化数据摄取到首选的安全工具中，这样您就可以设置常用策略、标准化安全警报，并轻松管理多个应用程序的用户访问权限。

开始使用 AWS AppFabric
要开始使用 AppFabric，您需要创建一个应用程序包，这是一个一次性流程。这将存储所有 AppFabric 应用程序授权和摄取，包括使用的加密密钥。创建应用程序包时，AppFabric 会在您的 AWS 账户中创建所需的 AWS Identity and Access Management（AWS IAM）角色，该角色是向 Amazon CloudWatch 发送指标以及访问 Amazon Simple Storage Service（Amazon S3）和 Amazon Kinesis Data Firehose 等 AWS 资源所必需的。

创建应用程序包
首先，我从 AWS 管理控制台的主页或左侧导航面板中选择入门。

我按照分步说明设置 AppFabric，并选择创建应用程序包。

在加密部分，我使用 AWS Key Management Service（AWS KMS）定义加密密钥，以安全地保护我在所有未经授权的应用程序中的数据。KMS 密钥会对我的内部数据存储中的数据进行加密，这些数据存储用作我的摄取目的地；在本示例中，我的目的地是 Amazon S3。我的密钥选项包括 AWS 自有和客户管理。如果您想使用 KMS 中的密钥，请选择客户管理。

授权应用程序
创建应用程序包后，下一步是创建应用程序授权。在此页面上，我可以选择要连接到我的应用程序包的受支持 SaaS 应用程序。

然后，我需要输入我的应用程序凭证，以便 AppFabric 与其建立连接；使用 AppFabric 的好处之一是，它可以直接连接到 SaaS 应用程序，无需我编写任何代码。

我可以根据需要为每个应用程序重复此步骤，从而设置多个应用程序授权。授权所需的凭证因应用程序而异；有关详细信息，请参阅 AppFabric 文档。

设置审核日志摄取
现在，我已经在我的应用程序包中创建了应用程序授权。我可以继续设置审核日志摄取。此步骤会摄取和规范化审核日志，并将其传输到 AWS 中的一个或多个目的地，包括 Amazon S3 或 Amazon Kinesis Data Firehose。

在选择应用程序授权下，我选择在上一步中创建的授权应用程序。在这一步，我可以选择多个授权应用程序，这样可以将来自各种 SaaS 应用程序的数据整合到一个目的地。然后，我可以为所选应用程序的审核日志选择目的地。如果我选择了多个应用程序授权，则目的地将应用于每个已授权的应用程序。目前，AppFabric 支持以下目的地：

• Amazon S3 — 新存储桶
• Amazon S3 — 现有存储桶
• Amazon Kinesis Data Firehose

选择目的地后，会随之出现其他字段。例如，如果我选择了 Amazon S3 — 新存储桶，则需要填写 Amazon S3 存储桶和可选前缀的详细信息。

之后，我需要为所选应用程序定义已摄取审核日志数据的架构和格式。此时显示了三个选项：

• OCSF — JSON
• OCSF — Parquet
• 原始 — JSON

AppFabric 会将审核日志数据规范化为 OCSF 架构，并将审核日志数据设置为 JSON 或 Parquet 格式。对于“OCSF — JSON”和“OCSF — Parquet”选项，AppFabric 会自动映射字段，并使用用户电子邮件作为标识符来丰富字段。而对于“原始 — JSON”数据格式，AppFabric 将仅以其原始 JSON 形式提供审核日志数据。

要查看我的摄取状态的详细视图，请在摄取页面上，选择我现有的摄取。

在这里，我看到摄取状态为已启用，我的 Amazon S3 存储桶的状态为活动。

在我的摄取运行大约 10 分钟后，我可以看到 AppFabric 将审核数据日志存储在我的 Amazon S3 存储桶中。

当我打开文件时，可以看到来自 SaaS 应用程序的所有审核数据日志。

对于 Amazon S3 中现有的审核数据日志，我还可以使用 AWS 服务来分析日志数据并从中提取见解。例如，我可以对 Amazon S3 中的数据使用 AWS Glue，并且可以使用 Amazon Athena 运行查询。以下屏幕截图显示了如何对审核数据日志中的所有活动运行查询。

用户访问权限
AWS AppFabric 还有一项名为用户访问权限的功能，安全和 IT 管理员团队可以通过此功能快速了解谁有权访问哪些应用程序。AppFabric 会使用员工的企业电子邮件地址来搜索应用程序包中的所有授权应用程序，以返回用户有权访问的应用程序列表。这有助于识别未经授权的用户访问并加快解除用户配置。

注意事项
可用性 — AWS AppFabric 现已在美国东部（弗吉尼亚州北部）、欧洲地区（爱尔兰）和亚太地区（东京）正式上市，并即将在其他 AWS 区域上线。

AWS AppFabric 生成式人工智能功能 — AWS AppFabric 将在未来版本中推出，届时您将能够使用生成式人工智能自动跨应用程序执行任务。这款 AI 助手由 Amazon Bedrock 提供支持，可针对自然语言查询生成答案、自动执行任务管理，并跨 SaaS 应用程序显示见解。

与 SaaS 应用程序集成 — AppFabric 连接了多个 SaaS 应用程序，包括 Asana、Atlassian Jira 套件、Dropbox、Miro、Okta、Slack、Smartsheet、Webex by Cisco、Zendesk 和 Zoom。有关更多详细信息，请参阅支持的应用程序。

与安全工具集成 — 来自 AppFabric 的审核数据日志与 Logz.io、Netskope、NetWitness、Rapid7 和 Splunk 等安全工具或客户的专有安全解决方案兼容。有关如何设置特定安全工具和服务的更多详细信息，请参阅兼容的安全工具和服务。

了解详情
要开始使用，请前往 AWS AppFabric 了解更多信息和定价详情。

祝大家构建顺利。
— Donnie