今までなかった！？クラウドオブジェクトストレージのためのセキュリティを紹介

Transcript

1. 今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji

2. 2 ⾃⼰紹介 梶 浩幸（Hiroyuki Kaji） Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ（エンジニア育成） 経歴

   ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社

3. 3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン

   導⼊⼿順 まとめ

4. 4 クラウドオブジェクトストレージ︖

5. 5 Amazon S3 (Amazon Simple Storage Service)

6. 6 Amazon S3 (Amazon Simple Storage Service) とは︖

7. 7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤

8. 8 Amazon S3 の特徴

9. 9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の

   リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計

10. 10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで

11. 11 そもそもS3って どのような場合に利⽤するの︖

12. 12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能

13. 13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先

14. 14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能

15. 15 S3で持っているセキュリティ機能は︖

16. 16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト

    （ACL） バケット公開を防⽌ パブリックブロックアクセス

17. 17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報（PII）︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応

18. 18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖

19. 19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い

20. 20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要

21. 21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

22. 22 Cloud One File Storage Security

23. 23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)

24. 24 利⽤シーン

25. 25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage

    Security費も必要)

26. 26 Cloud One File Storage Security 導⼊⼿順 （試⽤版で試せます）

27. 27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check（東京リージョン）

28. 28 導⼊⼿順

29. 29 導⼊⼿順

30. 30 導⼊⼿順

31. 31 導⼊⼿順

32. 32 導⼊⼿順 〜省略〜（⾮表⽰部分は編集不要） スタックの作成をクリック後、7〜8分程度で構築完了

33. 33 導⼊⼿順 コピー＆ペーストしてSubmit

34. 34 導⼊⼿順 以下の表⽰になりましたら導⼊完了

35. 35 S3バケットに 擬似ウィルスソフト（Eicarファイル）を アップロードして試してみた

36. 36 結果の確認（S3バケットのオブジェクトのタグ） S3バケットのオブジェクト（ファイル）のタグ 不正ファイル 通常のファイル

37. 37 結果確認（File Storage Security コンソール） 統計情報を表⽰

38. 38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

39. 39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

40. 40 まとめ

41. 41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤