Nuestra experiencia con Amazon Security Lake
En Salesforce, la confianza es nuestro principal activo. No hay nada más importante que la seguridad y la privacidad de los datos de los clientes. Nuestra plataforma Customer 360 conecta los datos de los equipos de marketing, ventas, comercio, servicios y TI de cada cliente para favorecer la colaboración entre ellos, al tiempo que se aumentan la productividad y la eficiencia y se reducen los costes.
Para favorecer la ampliación de nuestra base de clientes global, ahora ofrecemos Customer 360 tanto con una infraestructura propia como a través de Hyperforce, una nueva arquitectura de infraestructura que permite a Salesforce escalar rápidamente y de forma segura mediante socios de nube pública (incluido AWS y sus innovaciones de seguridad más recientes).
Una solución para la recopilación de registros a gran escala en Hyperforce
El equipo de Detección y respuesta (DnR) es esencial para proteger la infraestructura de Salesforce, detectar actividades maliciosas y amenazas y responder a tiempo a los eventos de seguridad. Para ello, recopilamos e inspeccionamos petabytes de registros de seguridad de decenas de organizaciones, algunas de las cuales tienen miles de cuentas.
A medida que aumenta el número de instancias, cuentas y servicios de Hyperforce, nuestro equipo de Detección y respuesta debe afrontar el reto de mejorar la eficiencia y la escalabilidad de nuestras canalizaciones de datos y los lagos de datos. Hay que contar con tareas que requieren una gran dedicación, tales como reducir la latencia y mejorar la eficiencia de la incorporación de registros, hacer escalables las canalizaciones, racionalizar el coste de prestación del servicio y gestionar eficazmente el almacenamiento de registros.
El equipo de DnR ha diseñado e implementado una canalización existente para recopilar de forma segura los registros de instancias de Hyperforce globales en AWS. Dado que los tipos de registros de seguridad son muy diversos, hemos adoptado la estrategia de "divide y vencerás" para crear diferentes mecanismos de recopilación de registros de los diferentes tipos de registro. Por ejemplo, utilizamos la recopilación de registros basada en CloudWatch, en almacenamiento de S3, en Lambda, en Kinesis, en MSK, etc. Conforme aumenta exponencialmente el volumen de registros, gestionar la complejidad y la eficiencia de nuestros mecanismos de recopilación de registros puede plantear serias dificultades.
Para lograr una recopilación de registros a gran escala en Hyperforce, queremos habilitar una arquitectura convergente que admita diversos orígenes de registros, que habilite ETL escalable, que active una gestión de esquemas exacta, que contribuya a las consultas y análisis de registros y que cubra la capacidad de observación integral de todas las canalizaciones.
Eventos de seguridad a escala con Amazon Security Lake
Amazon Security Lake es un servicio que centraliza automáticamente los datos de seguridad de una organización en un lago de datos diseñado específicamente en una cuenta de AWS del cliente y permite a clientes empresariales como Salesforce agregar, gestionar y usar de forma centralizada datos de eventos y registros de seguridad a escala. Este servicio consolida cómodamente los registros de seguridad y los eventos desde AWS, en las instalaciones y desde otros proveedores de nube.
Para lograrlo, automatiza la recopilación de registros relacionados con la seguridad y datos de eventos desde servicios de AWS integrados y fuentes externas; gestiona el ciclo de vida de esos datos con ajustes de retención personalizables y distribución a las regiones de AWS preferidas, y transforma los datos en un formato de código abierto estándar llamado Open Cybersecurity Schema Framework (OCSF). Posteriormente, podemos usar los datos de seguridad almacenados y disponibles en Amazon Security Lake para la respuesta a incidentes y los análisis de datos de seguridad.
El equipo de DnR de Salesforce ha podido probar la versión beta de Amazon Security Lake e identificar varias de sus ventajas. Amazon Security Lake tiene una buena capacidad para recopilar y transformar los registros nativos de AWS (p. ej., registro de CloudTrail, registro de flujos de VPC o registro de Route53 Resolver). Una vez transformado, el registro se puede usar directamente en el esquema OCSF y en el formato de datos Parquet.
- Gestión unificada de recopilación de registros para cuentas que pertenecen a una misma organización de AWS: Amazon Security Lake ofrece una gestión unificada de la recopilación de registros de seguridad en diversas cuentas de AWS. La recopilación de registros es sencilla y directa gracias a que ahora se tarda unas horas en hacer tareas que antes llevaba días y semanas completar.
- Numerosas fuentes de registros de seguridad: Amazon Security Lake es compatible con una lista de registros nativos de AWS como el registro de CloudTrail, el registro de flujos de VPC, el registro de Route53 Resolver, etc. Además, incorpora compatibilidad con registros de proveedores compatibles con OCSF.
- ETL automático para transformación de registros con el esquema OCSF: Amazon Security Lake ejecuta automáticamente trabajos de ETL para transformar los datos de registros al esquema de OCSF específico y permite usar los datos en formato Parquet fácilmente en el depósito S3 de Amazon Security Lake.
- Partición eficaz de registros y distribución regional: Amazon Security Lake ofrece distribución de datos de registro para regiones específicas que pueden ayudar a gestionar datos de registro en nuestra infraestructura global. Los datos del registro están perfectamente particionados por origen del registro, región, Id. de la cuenta y hora del evento.
- Compatibilidad con la incorporación de fuentes de registros personalizadas: los datos del registro de clientes se pueden incorporar al lago de datos de seguridad de Amazon Security Lake siempre y cuando los datos de registro del cliente sean compatibles con OCSF. Con ello se crea un lago de datos unificado para gestionar los registros de seguridad nativos de AWS y los datos de registros propios de Salesforce.
- Compatibilidad con integración de otros servicios: Amazon Security Lake ofrece una buena compatibilidad para la integración de otros servicios, tales como Athena, Splunk, etc. Podemos buscar y ejecutar trabajos de análisis fácilmente contrastándolos con los datos de registros de Amazon Security Lake y diversos motores de consulta.
La innovación y la confianza van de la mano
En resumidas cuentas, la adopción de Amazon Security Lake nos ayuda realmente a sacar adelante parte del trabajo más laborioso de recopilación, transformación, incorporación, búsqueda y gestión de registros. Se adapta bien a Salesforce Hyperforce en AWS y complementa las canalizaciones de datos del propio equipo de DnR. Además, la recopilación de registros y la distribución regional de Amazon Security Lake se adaptan completamente a la propia infraestructura de lago de datos global, descentralizada e híbrida del equipo de DnR.
Estamos ilusionados con el potencial de Amazon Security Lake para integrarse con miembros externos del consorcio de OCSF y unificar todos los datos de registros de seguridad. Estimamos que Amazon Security Lake ayudará a descargar entre un 30% y un 50% del tráfico de nuestra propia canalización de datos, a reducir significativamente nuestro tiempo de incorporación de registros y a aumentar la cobertura de registros. Además, revitalizará la estrategia de seguridad de Salesforce, fortaleciendo nuestro énfasis en la confianza y la innovación.
Esta entrada ha sido redactada por los siguientes miembros del Equipo de ingeniería de Detección y respuesta (DnR) de Salesforce:
Lei Ye, arquitecto de ingeniería de software, ingeniería de detección y respuesta (DnR), centra su labor en la innovación de las canalizaciones de procesamiento de datos, los lagos de datos y el motor de consulta de DnR y otros problemas de seguridad de infraestructuras. Es el responsable de tecnología al mando del proyecto de Amazon Security Lake de Salesforce. Ha creado el diseño de la infraestructura del lago de datos de última generación de DnR y ha impulsado la colaboración entre las organizaciones y los equipos.
Ajith Jayamohan, vicepresidente de ingeniería de detección y respuesta (DnR), dirige los equipos de aprendizaje automático y plataforma de datos dirigida por IA de Salesforce, que se centran en detectar adversarios o factores de amenaza internos y externos y darles una respuesta para proteger a Salesforce y a sus clientes.