2022年12月2日,亚马逊云科技在2022 re:Invent全球大会上宣布,推出Amazon Security Lake,该服务可以自动将客户在云端和本地的安全数据集中到客户在亚马逊云科技账户下专门构建的数据湖中,方便客户针对安全数据做出快速行动。
Amazon Security Lake通过可定制的数据备份保留设置实现数据生命周期管理;该服务可将传入的安全数据转换为高效的Apache Parquet格式;并使数据符合开放网络安全架构框架(Open Cybersecurity Schema Framework,OCSF),对来自亚马逊云科技的安全数据可更轻松地实现自动标准化,以及将其与几十个预集成的第三方企业安全数据源相结合。安全分析师和工程师可以使用Amazon Security Lake聚合、管理和优化大批量迥然不同的各类日志和事件数据,实现更快的威胁检测、调查和事件响应,高效、快速地解决潜在问题,同时继续使用他们熟悉的分析工具。
客户希望对整个企业的安全活动具有更高的可见性,能够主动识别潜在的威胁和漏洞,评估安全告警并作出相应响应,预防安全事件的再次发生。为了做到这一点,大多数企业依赖于不同来源的日志和事件数据,例如应用程序、防火墙、身份识别系统等,这些数据源可能运行在云中或企业本地,各自使用独特的、互不兼容的数据格式。
为了获得安全有关的洞察,例如发现未经授权的敏感信息对外数据传输,或者识别安装在员工设备上的恶意软件,企业必须首先将所有数据聚合并且规范化为一致的格式。数据格式一致之后,客户就可以分析、了解当前的漏洞级别,然后对威胁进行关联和监测,提高数据的可观察性。客户通常使用不同的安全解决方案分别应对如事件响应和安全分析等特定场景。因为每个解决方案都有自己的数据存储和格式,这就意味着客户需要多次复制和处理相同的数据。这不仅耗时,而且成本高昂,降低了安全团队检测和响应问题的能力。当客户添加新的用户、工具和数据源时,安全团队还必须费时管理一组复杂的数据访问规则和安全策略,以跟踪数据使用情况并且确保工作人员能够获得工作所需的信息。一些安全团队在数据湖中为所有安全数据创建中央存储库,但是构建这些系统需要专门的技能,并且可能要花费长达数月的时间,因为来自不同数据源的日志数据规模可能达到PB级。
Amazon Security Lake是一个专门构建的安全数据湖,客户只需几次单击就可以创建,使用他们熟悉的分析工具,实现对数据的聚合、规范化和存储,更快地响应安全事件。客户在完成设置、连接到选定的数据源之后,Amazon Security Lake会自动在客户选定的亚马逊云科技区域中构建一个安全数据湖,让客户更轻松地满足区域性的数据合规要求。Amazon Security Lake会根据客户选择的数据源,自动聚合、规范来自亚马逊云科技的数据,将其与支持OCSF(开放网络安全架构框架,一种开放的行业标准)的第三方数据源结合,并将数据优化为易于存储和查询的格式。
Amazon Security Lake可自动编排从数据湖的创建、数据聚合到数据的规范和集成的端到端的流程。该服务使用Amazon Simple Storage Service(Amazon S3)和 Amazon Lake Formation构建安全数据湖,客户可在其亚马逊云科技帐户中自动配置安全数据湖的基础设施,让客户拥有自己的数据并具有完整的控制权。在数据摄入并规范化之后,客户就可以使用他们熟悉的安全和分析工具,包括Amazon Athena、Amazon OpenSearch和Amazon SageMaker,以及领先的第三方解决方案(如IBM、Splunk、Sumo Logic),快速、轻松地获取广泛的数据并进行深入的分析,数据可来自亚马逊云科技、50多个第三方(如Cisco、CrowdStrike、Palo Alto Networks)以及客户本地的数据源。Amazon Security Lake最终将帮助客户改善整体安全态势,为安全团队识别和了解安全事件提供更强大的可见性,并缩短安全问题的处理时间。
Amazon Security Lake 现已在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部 (俄勒冈)、亚太地区 (悉尼)、亚太地区 (东京)、欧洲 (法兰克福)和欧洲 (都柏林) 区域提供预览版,其它亚马逊云科技区域将很快推出。