[AWS] 2022 AWS re:Invent Security 產品介紹 - AWS Security Lake [Preview] (EP2)

 在前一篇 EP1 介紹了, AWS Macie 這個服務

接下來來介紹下一個產品 AWS Security Lake ,但還在 Preview 階段

什麼是 Preview 階段,可參考這篇說明

這邊會分享當時介紹的五個 AWS Security 產品 

快速轉跳頁面至 -----> EP1 EP2 EP3 EP4 EP5

Amazon Security Lake 是一個可將組織中安全資料的來源作彙總、以及標準化和資料管理自動化，並儲存在帳戶的安全資料湖中。
安全資料湖可透過設定的安全分析解決方案來廣泛存取組織的安全資料，以支援威脅偵測、調查和事件回應等使用的情境。
Security Lake 採用開放式網路安全架構框架 (OCSF)，將AWS 安全相關的服務如AWS CloudTrail 與 Amazon GuardDuty 所記錄起來的日誌，以及其他資安合作夥伴，
如PaloAlto與IBM等所蒐集到資料，全部集中到AWS Security Lake；同時也整合分析的工具，如AWS OpenSearch、Amazon Athena等，將蒐集到的日誌資料進行資安分析，更全面地了解整個組織的安全性。

優勢

1. 自動集中來自雲、本地和跨區域自定義安全源的資安分析數據
2. 可優化和管理安全數據以獲得更高效能更高效益的存儲和查詢性能
3. 將所收集到的數據規範為做行業標準化，以便輕鬆地與多種分析工具共享和使用
4. 同時保留對安全數據的控制和所有權

Security Lake 的運作流程

Security Lake 自動將來自雲端、內部部署和自訂來源的安全資料集中儲存到帳戶中專用的資料湖。

並會將收集到的日誌儲存到您的 S3 內，讓你始終掌控並享有資料擁有權。

藉助 Security Lake，可以更全面地了解整個組織的安全資料。還可以改進對工作負載、應用程式和資料的保護。

Amazon Security Lake 的主要功能，會自動收集包括 AWS Route 53、S3 和 Lambda，以及 Security Hub 來自 GuardDuty、Macie 與 Health Dashboard 的日誌和事件來源，

另外，超過50個第三方安全調查結果，也能夠整合到 Security Lake 中，AWS安全合作夥伴可以直接將資料，透過OCSF（Open Cybersecurity Schema Framework）標準格式發送至Security Lake。

Security Lake 分析安全資料，可更全面地了解整個組織的安全性。也可以來助您改善工作負載、應用程式和資料的保護。

安全相關資料包括服務和應用程式日誌、安全提醒以及威脅情報 (例如已知的惡意 IP 地址)，

這些資料是偵測、調查和補救安全事件的真實來源。安全最佳實務需要有效的日誌和安全事件資料管理程序。

Security Lake 可將此程序自動化，並促進解決方案執行串流分析偵測、時間序列分析、使用者和實體行為分析 (UEBA)、安全協同運作和補救 (SOAR)，以及事件回應。

Amazon Security Lake預覽版已經在多個AWS地區上線，包括美東、美西、歐洲，亞太則有東京和雪梨地區。

Security Lake 可以用於你的 AWS Org 去管理你的 Account

選擇一個委託管理員帳戶來管理您的安全數據

也可以去蒐集所有的 Log 像是 CloudTrail , VPC flow log , WAF , DNS 等等的 Log 或是事件
也可以收集單一的 Region,或是多個 Region , 最後你可以選擇收整個 Org 下面的所有 Account 或是單一 Account

SecurityLake能夠自動對傳入的日誌資料建立分割區，並將其轉換成能夠高效儲存和查詢的 Parquet 或 OCSF 格式，促使資料更廣泛安全地分析。管理人員還能夠控制 Security Lake 訂閱者的資料存取層級，遵守資料留存法規要求。

目前已經整合許多第三方資料來源和訂閱服務，支援 OCSF 安全資料的第三方來源包括 Cisco、Palo Alto Networks 和 VMware 等，而支援的第三方自動化分析工具則包含 Datadog、IBM 與 Splunk等

因為支援第三方的分析工具,如畫面上的 Splunk. IBM. Datadog 等等都可以整合到 Security Lake 內做統一管理及查看對於控管上面又更為便利

補充說明:這邊如何跟第三方分析工具作整合,會在 IAM 開一個帳號給Security Lake 去抓取如 Splunk 的權限,在透過 AWS Glue 的爬蟲功能去抓取資料

在 Splunk 或是其他第三方工具中在開啟給這個 aws iam account 權限讓他可以進去撈取即可

Amazon Security Lake 採用 OCSF，這是一種開放標準，有助於從透過 AWS Security Hub 的 50 多項解決方案自動標準化安全問題清單。還有越來越多的技術解決方案可提供 OCSF 格式的資料，並與 Amazon Security Lake 整合。

什麼是 OCSF (開放式網路安全結構描述架構) (Open Cybersecurity Schema Framework)？

OSCF 是用於安全日誌和事件的協作式開放原始碼結構描述。

• OSCF 包含與廠商無關的資料分類法，可減少在各種產品、服務和開放原始碼工具之間標準化安全日誌和事件資料的需求。
• 開源項目為安全數據提供簡化且與供應商無關的分類法
• 無需耗時的前期規範化任務即可加速數據攝取和分析
• 結合來自 OCSF 兼容來源的數據，以打破阻礙安全團隊發展的數據孤島
• 可在任何環境、應用程序或解決方案提供商中採用的開放標準

[AWS] 2022 AWS re:Invent Security 產品介紹 - AWS Macie (EP1)

雖然已經 2023 年了，補一下去年的年度大事，在 AWS 全球年度最大的雲端科技發表會 re:Invent 於 2022/12/2 日在美國拉斯維加斯精彩落幕，現場和線上超過五萬人齊聚一堂 , 在這次的 re:Ivent 更發佈了 13大類以及超過 70 項新服務。

本次我代表公司(iKala)與 AWS Community Hero：Ernest Chiang 一同製作、編審此份懶人包
可參考連結免費 下載 ,也於 12/28 完成 iKala x AWS re:Cap 的活動頁面

這邊會分享當時介紹的五個 AWS Security 產品 

快速轉跳頁面至 -----> EP1 EP2 EP3 EP4 EP5

Amazon Macie 是一個數據資料安全和維護資料隱私的服務

是使用機器學習 (ML)和模式匹配所發現敏感數據、並提供對數據安全風險的可見性，並實現針對這些風險的自動保護管理服務。

Macie 採用機器學習和模式的比對，以更符合成本效益的方式進行大規模掃描敏感資料。

Macie 可自動偵測龐大的數據內容，且不斷擴展的敏感資料進行分類清單，包括個人識別資訊 (PII)，例如姓名、地址和信用卡號。

還提供 Amazon S3 中儲存資料的持續可見性和資料隱私權。

在 AWS 管理主控台中按一下滑鼠或透過單一 API 呼叫，即可輕鬆完成 Macie 的設定。

支援多帳戶支援以及與 AWS Organizations 的整合

在多帳戶組態中，單一 Macie 管理員帳戶可以管理所有成員帳戶，包括建立和管理各帳戶的敏感資料探索任務。

Macie 可透過 AWS Organizations 整合，支援多個帳戶。

安全和機敏資料探索結果會在 Macie 管理員帳戶中進行彙整，然後傳送到 Amazon CloudWatch Events。

現在只要使用一個帳戶，就能與事件管理、工作流程和票證系統整合，或者搭配使用 Macie 探索結果與 AWS Step Functions服務，自動執行修正動作。

本次 re:Ivent 推出的新功能是在，對S3 進行自動機敏數據偵測。 

借助這項新功能，Macie 可以自動且智能地對 S3 存儲桶中的對象進行採樣和分析，檢查它們是否存在敏感數據，例如個人身份信息 (PII)、財務數據和 AWS 憑證。 

然後顯示在 S3 中的所有敏感數據都會在有啟用 Macie 的帳戶中顯示，並為每個存儲桶提供敏感度分數。 

Amazon Macie 使用多種自動化技術，包括按存儲桶名稱、文件類型和前綴等屬性進行資源集群，以最大限度地減少發現 S3 存儲桶中機敏數據所需的數據掃描。 

這有助於您在無需手動配置的情況下持續識別和修復數據安全風險，並降低監控和響應數據安全風險的成本。

只需在 AWS 管理控制台中單擊一下或通過一次 API 調用，即可快速輕鬆地開始使用 Amazon Macie。 

Macie 使用 AWS Organizations 提供多賬戶支持，這讓您可以更輕鬆地跨所有 AWS 賬戶啟用 Macie。 

Macie 應用機器學習和模式匹配技術來自動識別敏感數據並提醒您注意敏感數據，例如姓名、地址、信用卡號或憑證材料。

現有 Macie 賬戶可免費使用前 30 天的自動敏感數據發現。在試用期間，可以在試用期結束後在 Macie 管理控制台中查看運行自動敏感數據發現的預估成本。

透過這項功能,就可以在 Findings 這個頁面內看到個風險等級的漏洞

會告訴你在哪一個 bucket 內的哪一個檔案有高風險都可以在 Macie 的這個新服務內一目了然

更為方便的管理,尤其是可以透過 Org 做跨帳號的統整可以看到旗下的所有bucket 內是否有風險產生

[AWS] AWS Migration Strategies (7 Rs) 7R搬遷策略

 AWS 7 Rs 遷移策略

Rehost

這種方案對於企業用戶而言是最容易實現, 利用 AWS 工具輕易遷移完成, 雖然不能完全發揮AWS雲端優勢, 能讓技術人力短缺的企業用戶快速遷移.

Replatform

這種方案需要經過一些優化或是修改套件後進行遷移, 不需要修改程式碼和開發新的程式, 例如現有的 MySQL 資料庫轉移上 RDS 或升級到 Amazon Auroea.

Repurchase

顧名思義就是重新購買, 完全捨棄舊有的軟體, 終止 license 續約, 進而使用新的軟體取代, 可能會遇到新軟體上的學習過程及費用的成長, 但以長期來看會有良好的效益.

Refactor/Re-architect

這種方案需要重新編寫程式碼, 符合雲端服務環境, 這種方案適合企業服務需要加速服務表現, 增加彈性或是地端上無法實現的新功能, 重新建構服務最企業相對有利, 但是會花費大量成本.

Retire

這種方案用來檢視所有服務, 有些古老的軟體環境不一定適合雲端平台, 或是不符使用, 可以藉此機會淘汰.

Retain

有一些服務結束後不再繼續使用, 但是目前還是需要運行, 如果決定不需要再使用這些服務, 就不需要遷移, 結束後直接停用即可.

Relocate 

不需要購買新的硬體, 修改或重寫APP即可搬遷至雲端上, 此方案限定於使用 VMware Cloud on AWS. 可以搭配使用 VMware Cloud Foundation 技術來遷移您設備. 

[1] 評估移轉至AWS雲端期間要淘汰之應用程式的最佳做法