.png)
Características poco conocidas de Illumio ASP: exportación de registros a cubos de Amazon S3
En esta serie rápida, el equipo de administración de productos de Illumio destacará las características menos conocidas (pero no menos poderosas) de Illumio ASP.
Servicio de almacenamiento simple de Amazon (“S3”) es un servicio de almacenamiento de datos escalable, fácil de usar y rentable que se puede utilizar para almacenar y recuperar cualquier tipo de datos desde cualquier lugar de Internet. Aunque tiene muchos usos, se utiliza principalmente para backup y recuperación, recuperación ante desastres, archivos de datos y almacenamiento en la nube.
Por lo general, una organización crea un bucket S3, que es similar a una carpeta de archivos accesible por Internet. En este bucket de S3, se pueden aplicar políticas de control de acceso de S3 para permitir que una organización escriba datos y otras organizaciones lean datos desde la ubicación de almacenamiento de información compartida. Los buckets S3 pueden ser propiedad de una organización y ser escritos o leídos por otra organización. Además, los datos de larga duración que se utilizan con poca frecuencia se pueden almacenar de forma barata.
Además de una interfaz web, S3 también proporciona una API para la integración con otros servicios web.
Los proveedores escriben integraciones que pueden leer/escribir datos de S3. Illumio CloudSecure, al igual que otros proveedores de SaaS, aprovecha Amazon S3 para escribir (entregar) logs a los clientes. Los clientes leen (acceden) a estos datos conectando el bucket S3 a sus herramientas de análisis de registros o SIEM.
Comúnmente, los clientes crean su propio bucket S3 y proporcionan su nombre de bucket e ID de cuenta a Illumio. Para que sea más fácil para los clientes configurar esto, publicamos un artículo de la base de conocimientos que incluye una plantilla de CloudFormation. Al cargar esta plantilla en AWS, nuestros clientes pueden crear los buckets S3 y aplicar las políticas de Administración de Identidad y Acceso (IAM) necesarias en unos sencillos pasos.
Alternativamente, los clientes pueden solicitar a Illumio que cree y hospede el bucket S3 en su nombre y simplemente acceda a los datos desde su lado. (Clientes actuales: consulte esta documentación para la plantilla de CloudFormation y detalles adicionales.)
Una vez que el bucket S3 esté configurado, el equipo de Operaciones SaaS de Illumio configurará el ID de cuenta y el nombre del bucket proporcionados para permitir la entrega de registros. También crearemos un par de subcarpetas en ese bucket S3 para diferentes tipos de datos. Los registros se entregan por lotes dentro de los 10 minutos posteriores a la configuración correcta, y los datos de registro son distribuidos por lotes por Illumio y escritos cada 10 minutos.
Illumio Secure Cloud puede proporcionar dos tipos de registros a través de Amazon S3: resúmenes de flujo de tráfico y eventos de auditoría. Los resúmenes de flujo de tráfico son registros que muestran la comunicación de aplicación a aplicación en su centro de datos, es decir, el tráfico este-oeste. Los eventos de auditoría son registros de cada cambio realizado en Illumio. Estos eventos de auditoría incluyen no solo los datos tradicionales de quién, qué, cuándo y dónde, sino también las notificaciones y los cambios reales de recursos.
Ambos tipos de registro son mensajes estructurados en formato JSON. Amplia documentación disponible aquí.
Los proveedores de SIEM como Splunk e IBM QRadar proporcionan integraciones prediseñadas que permiten a sus productos utilizar sin problemas el almacenamiento de información genérico proporcionado por S3.
- Splunk proporciona el complemento Splunk para AWS.
- QRadar proporciona un tipo de fuente de registro Amazon AWS CloudTrail, que se puede utilizar como un origen de registro de gateway para pasar datos a otros orígenes de registros.
Pronto volveremos con otra edición de nuestras “Características poco conocidas”, pero mientras tanto, envíe un mensaje a nuestro equipo de producto en Correo electrónico: [email protected] ¡para más información!
