Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

Hiroyuki Kaji
June 24, 2021
Technology
0
17k

 今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

トレンドマイクロのCloud One File Storage Securityの紹介

Hiroyuki Kaji

June 24, 2021
Tweet

More Decks by Hiroyuki Kaji

See All by Hiroyuki Kaji
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
990
S3のマルウェア対策について紹介
cocacola917
1
3.4k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
46k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.3k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
470k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.2k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
38k
AWS Systems Managerの使い方
cocacola917
0
1.8k
いまどきのネットワーク機器の設定管理ツールを調べてみた
cocacola917
0
1.6k

Other Decks in Technology

See All in Technology
20240724_cm_odyssey_hibiyatech
hiashisan
0
110
ACRiルーム最新情報とAMD GPUサーバーのご紹介
anjn
0
150
簡単に始めるSnowflakeの機械学習
nayuts
1
190
大規模ドラレコデータ収集・機械学習基盤を支える AWS CDK 〜導入・運用事例紹介〜
pemugi
0
110
VPoEの視点から見た、ヘンリーがサーバーサイドKotlinを使う理由 / Why Server-side Kotlin 2024
cho0o0
1
420
さらに高品質・高速化を目指すAI時代のテスト設計支援と、めざす先 / AI Test Lab vol.1
shift_evolve
0
190
運用改善、不都合な真実 / 20240722-ssmjp-kaizen
opelab
17
8.1k
推薦システムを本番導入する上で一番優先すべきだったこと~NewsPicks記事推薦機能の改善事例を元に~
morinota
0
130
DevIO2024_レガシー運用からの脱却 -クラウド活用の実践事例とベストプラクティス-
jun2882
0
210
「我々はどこに向かっているのか」を問い続けるための仕組みづくり / Establishing a System for Continuous Inquiry about where we are
daitasu
0
170
E2Eテスト自動化プラットフォームにおけるAIの活用
shift_evolve
0
190
テスト・設計研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
29
2.5k
Six Lessons from altMBA
skipperchong
24
3.2k
Fontdeck: Realign not Redesign
paulrobertlloyd
79
5.1k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
No one is an island. Learnings from fostering a developers community.
thoeni
17
2.8k
Making Projects Easy
brettharned
111
5.7k
Pencils Down: Stop Designing & Start Developing
hursman
118
11k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
12
3.8k
We Have a Design System, Now What?
morganepeng
46
7k
Building Effective Engineering Teams - LeadDev
addyosmani
47
2.2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
26
1.6k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
245
1.2M

Transcript

  1. 今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji

  2. 2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴

    ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社

  3. 3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン

    導⼊⼿順 まとめ

  4. 4 クラウドオブジェクトストレージ︖

  5. 5 Amazon S3 (Amazon Simple Storage Service)

  6. 6 Amazon S3 (Amazon Simple Storage Service) とは︖

  7. 7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤

  8. 8 Amazon S3 の特徴

  9. 9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の

    リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計

  10. 10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで

  11. 11 そもそもS3って どのような場合に利⽤するの︖

  12. 12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能

  13. 13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先

  14. 14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能

  15. 15 S3で持っているセキュリティ機能は︖

  16. 16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト

    (ACL) バケット公開を防⽌ パブリックブロックアクセス

  17. 17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応

  18. 18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖

  19. 19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い

  20. 20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要

  21. 21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

  22. 22 Cloud One File Storage Security

  23. 23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)

  24. 24 利⽤シーン

  25. 25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage

    Security費も必要)

  26. 26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)

  27. 27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)

  28. 28 導⼊⼿順

  29. 29 導⼊⼿順

  30. 30 導⼊⼿順

  31. 31 導⼊⼿順

  32. 32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了

  33. 33 導⼊⼿順 コピー&ペーストしてSubmit

  34. 34 導⼊⼿順 以下の表⽰になりましたら導⼊完了

  35. 35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた

  36. 36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル

  37. 37 結果確認(File Storage Security コンソール) 統計情報を表⽰

  38. 38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

  39. 39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

  40. 40 まとめ

  41. 41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤