Illumio ASPのあまり知られていない機能–Amazon S3バケットへのログエクスポート

このクイックシリーズでは、イルミオの製品管理チームが、あまり知られていない(しかしそれほど強力な)機能に焦点を当てます。 Illumio ASP.

Amazon Simple Storage Service (“S3”) is an easy to use, cost-efficient, scalable data storage service that can be used to store and retrieve any type of data from anywhere on the Internet. Although it has many uses, it is primarily used for backup and recovery, disaster recovery, data archives, and cloud storage.

通常、組織は、インターネットからアクセス可能なファイルフォルダに似た S3 バケットを作成します。この S3 バケットでは、S3 アクセス制御ポリシーを適用して、1 つの組織がデータを書き込んだり、他の組織が共有ストレージの場所からデータを読み取ったりできるようにすることができます。S3 バケットは、ある組織が所有し、別の組織が書き込み/読み取りすることができます。さらに、有効期間が長く、使用頻度の低いデータを安価に保存できます。

S3 は、Web インターフェイスに加えて、他の Web サービスと統合するための API も提供します。

Vendors write integrations that can read/write S3 data. Illumio CloudSecure, like other SaaS vendors, leverages Amazon S3 to write (deliver) logs to customers. Customers read (access) this data by connecting the S3 bucket to their SIEM or log analysis tools.

通常、顧客は独自のS3バケットを作成し、バケット名とアカウントIDをイルミオに提供します。お客様がこれを設定しやすくするために、CloudFormation テンプレートを含むナレッジベースの記事を公開しました。このテンプレートを AWS にロードすることで、お客様は S3 バケットを作成し、いくつかの簡単な手順で必要な Identity and Access Management (IAM) ポリシーを適用できます。

Alternatively, customers can request Illumio to create and host the S3 bucket on their behalf and simply access the data from their side. (Current customers: see this documentation for the CloudFormation template and additional details.)

S3バケットが設定されると、イルミオのSaaS運用チームは、ログの配信を可能にするために、提供されたアカウントIDとバケット名を設定します。また、その S3 バケットに、さまざまな種類のデータ用にいくつかのサブフォルダーを作成します。ログはセットアップが成功してから10分以内にバッチ配信され、ログデータはイルミオによってバッチ処理され、10分ごとに書き込まれます。

Illumio Secure Cloudは、Amazon S3を介してトラフィックフローの概要と監査イベントの2種類のログを提供できます。トラフィックフローの概要は、データセンター内のアプリケーション間の通信、つまり東西のトラフィックを示すレコードです。監査イベントは、イルミオで行われたすべての変更の記録です。これらの監査イベントには、従来の誰が/何を/いつ/どこで行うデータだけでなく、通知や実際のリソース変更も含まれます。

Both of these log types are structured messages in JSON format. Extensive documentation is available here.

Splunk や IBM QRadar などの SIEM ベンダーは、自社製品が S3 によって提供される汎用ストレージをシームレスに利用できるようにする事前構築された統合を提供しています。

• Splunkは、AWS用のSplunkアドオンを提供しています。
• QRadar provides a log source type of Amazon AWS CloudTrail, which can be used as a gateway log source to pass data to other log sources.

We’ll be back with another edition of our “Little Known Features” soon, but in the meantime, message our product team at [email protected] for more information!