Características pouco conhecidas do Illumio ASP — Exportação de log para Amazon S3 Buckets

Nesta série rápida, a equipe de gerenciamento de produtos da Illumio destacará os recursos menos conhecidos (mas não menos poderosos) do Iluminação ASP.

Amazon Simple Storage Service (“S3”) é um serviço de armazenamento de dados fácil de usar, econômico e escalável que pode ser usado para armazenar e recuperar qualquer tipo de dados de qualquer lugar na Internet. Embora tenha muitos usos, ele é usado principalmente para backup e recuperação, recuperação de desastres, arquivamento de dados e armazenamento em nuvem.

Normalmente, uma organização cria um bucket do S3, que é semelhante a uma pasta de arquivos acessível pela Internet. Nesse bucket do S3, as políticas de controle de acesso do S3 podem ser aplicadas para permitir que uma organização grave dados e que outras organizações leiam dados do local de armazenamento compartilhado. Os buckets do S3 podem pertencer a uma organização e ser gravados/lidos por outra organização. Além disso, dados de longa duração e usados com pouca frequência podem ser armazenados de forma barata.

Além de uma interface web, o S3 também fornece uma API para integração com outros serviços da web.

Os fornecedores escrevem integrações que podem ler/gravar dados do S3. Illumio CloudSecure, assim como outros fornecedores de SaaS, utiliza o Amazon S3 para gravar (entregar) registros aos clientes. Os clientes leem (acessam) esses dados conectando o bucket do S3 às ferramentas de SIEM ou de análise de registros.

Normalmente, os clientes criam seu próprio bucket do S3 e fornecem o nome do bucket e o ID da conta à Illumio. Para facilitar a configuração dos clientes, publicamos um artigo da base de conhecimento que inclui um modelo do CloudFormation. Ao carregar esse modelo na AWS, nossos clientes podem criar os buckets do S3 e aplicar as políticas necessárias de gerenciamento de identidade e acesso (IAM) em algumas etapas fáceis.

Como alternativa, os clientes podem solicitar que a Illumio crie e hospede o bucket do S3 em seu nome e simplesmente acesse os dados do lado deles. (Clientes atuais: consulte esta documentação para obter o modelo do CloudFormation e detalhes adicionais.)

Depois que o bucket do S3 estiver configurado, a equipe de operações SaaS da Illumio configurará o ID da conta e o nome do bucket fornecidos para permitir a entrega de registros. Também criaremos algumas subpastas nesse bucket do S3 para diferentes tipos de dados. Os registros são entregues em lote dentro de 10 minutos após a configuração bem-sucedida, e os dados de registro são agrupados pela Illumio e gravados a cada 10 minutos.

O Illumio Secure Cloud pode fornecer dois tipos de registros por meio do Amazon S3: resumos do fluxo de tráfego e eventos de auditoria. Os resumos do fluxo de tráfego são registros que mostram a comunicação entre aplicativos em seu data center, ou seja, tráfego leste-oeste. Os eventos de auditoria são registros de todas as alterações feitas no Illumio. Esses eventos de auditoria incluem não apenas os dados tradicionais de quem/quando/onde, mas também notificações e mudanças reais de recursos.

Esses dois tipos de log são mensagens estruturadas no formato JSON. Uma extensa documentação está disponível aqui.

Fornecedores de SIEM, como Splunk e IBM QRadar, fornecem integrações pré-construídas que permitem que seus produtos utilizem perfeitamente o armazenamento genérico fornecido pelo S3.

• A Splunk fornece o complemento Splunk para a AWS.
• O QRadar fornece um tipo de fonte de log de Amazon AWS CloudTrail, que pode ser usada como uma fonte de log do gateway para passar dados para outras fontes de log.

Voltaremos com outra edição de nossos “Little Known Features” em breve, mas, enquanto isso, envie uma mensagem para nossa equipe de produtos em [email protected] para obter mais informações!