Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介
Search
Hiroyuki Kaji
June 24, 2021
Technology
0
19k
今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介
トレンドマイクロのCloud One File Storage Securityの紹介
Hiroyuki Kaji
June 24, 2021
Tweet
Share
More Decks by Hiroyuki Kaji
See All by Hiroyuki Kaji
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
1.2k
S3のマルウェア対策について紹介
cocacola917
1
3.9k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
50k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.4k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
500k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.5k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
41k
AWS Systems Managerの使い方
cocacola917
0
1.9k
いまどきのネットワーク機器の設定管理ツールを調べてみた
cocacola917
0
1.8k
Other Decks in Technology
See All in Technology
Enhancing SaaS Product Reliability and Release Velocity through Optimized Testing Approach
ropqa
1
260
Amplify Gen2から知るAWS CDK Toolkit Libraryの使い方/How to use the AWS CDK Toolkit Library as known from Amplify Gen2
fossamagna
1
290
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
990
伴走から自律へ: 形式知へと導くSREイネーブリングによる プロダクトチームの信頼性オーナーシップ向上 / SRE NEXT 2025
visional_engineering_and_design
3
240
Sansanのデータプロダクトマネジメントのアプローチ
sansantech
PRO
0
230
United airlines®️ USA Contact Numbers: Complete 2025 Support Guide
unitedflyhelp
0
340
SRE不在の開発チームが障害対応と 向き合った100日間 / 100 days dealing with issues without SREs
shin1988
2
1.6k
Claude Code に プロジェクト管理やらせたみた
unson
8
5k
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
kazari0425
1
170
AIでテストプロセス自動化に挑戦する
sakatakazunori
1
110
SREのためのeBPF活用ステップアップガイド
egmc
2
950
United™️ Airlines®️ Customer®️ USA Contact Numbers: Complete 2025 Support Guide
flyunitedguide
0
790
Featured
See All Featured
Making Projects Easy
brettharned
116
6.3k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
How to Ace a Technical Interview
jacobian
278
23k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
What's in a price? How to price your products and services
michaelherold
246
12k
The Cost Of JavaScript in 2023
addyosmani
51
8.5k
4 Signs Your Business is Dying
shpigford
184
22k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.5k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
KATA
mclloyd
30
14k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Transcript
今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji
2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴
・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社
3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン
導⼊⼿順 まとめ
4 クラウドオブジェクトストレージ︖
5 Amazon S3 (Amazon Simple Storage Service)
6 Amazon S3 (Amazon Simple Storage Service) とは︖
7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤
8 Amazon S3 の特徴
9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の
リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計
10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで
11 そもそもS3って どのような場合に利⽤するの︖
12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能
13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先
14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能
15 S3で持っているセキュリティ機能は︖
16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト
(ACL) バケット公開を防⽌ パブリックブロックアクセス
17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応
18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖
19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い
20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要
21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/
22 Cloud One File Storage Security
23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)
24 利⽤シーン
25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage
Security費も必要)
26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)
27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)
28 導⼊⼿順
29 導⼊⼿順
30 導⼊⼿順
31 導⼊⼿順
32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了
33 導⼊⼿順 コピー&ペーストしてSubmit
34 導⼊⼿順 以下の表⽰になりましたら導⼊完了
35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた
36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル
37 結果確認(File Storage Security コンソール) 統計情報を表⽰
38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/
39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/
40 まとめ
41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤
cocacola917
ropqa
fossamagna
oracle4engineer
visional_engineering_and_design
sansantech
unitedflyhelp
shin1988
unson
kazari0425
sakatakazunori
egmc
flyunitedguide
brettharned
jlugia
jacobian
chrisshort
michaelherold
addyosmani
shpigford
productmarketing
lauravandoore
aarron
mclloyd
keithpitt
