Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

Hiroyuki Kaji
June 24, 2021
Technology
0
18k

 今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

トレンドマイクロのCloud One File Storage Securityの紹介

Hiroyuki Kaji

June 24, 2021
Tweet

More Decks by Hiroyuki Kaji

See All by Hiroyuki Kaji
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
1.1k
S3のマルウェア対策について紹介
cocacola917
1
3.7k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
48k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.3k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
480k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.3k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
40k
AWS Systems Managerの使い方
cocacola917
0
1.8k
いまどきのネットワーク機器の設定管理ツールを調べてみた
cocacola917
0
1.7k

Other Decks in Technology

See All in Technology
アップデート紹介:AWS Data Transfer Terminal
stknohg
PRO
0
180
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
550
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
160
GitHub Copilot のテクニック集/GitHub Copilot Techniques
rayuron
24
11k
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
250
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
150
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
非機能品質を作り込むための実践アーキテクチャ
knih
3
870
Amazon VPC Lattice 最新アップデート紹介 - PrivateLink も似たようなアップデートあったけど違いとは
bigmuramura
0
190
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
12
3.5k
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
160

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
Raft: Consensus for Rubyists
vanstee
137
6.7k
Being A Developer After 40
akosma
87
590k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Become a Pro
speakerdeck
PRO
26
5k
The Cost Of JavaScript in 2023
addyosmani
45
7k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
Building a Scalable Design System with Sketch
lauravandoore
460
33k

Transcript

  1. 今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji

  2. 2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴

    ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社

  3. 3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン

    導⼊⼿順 まとめ

  4. 4 クラウドオブジェクトストレージ︖

  5. 5 Amazon S3 (Amazon Simple Storage Service)

  6. 6 Amazon S3 (Amazon Simple Storage Service) とは︖

  7. 7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤

  8. 8 Amazon S3 の特徴

  9. 9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の

    リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計

  10. 10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで

  11. 11 そもそもS3って どのような場合に利⽤するの︖

  12. 12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能

  13. 13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先

  14. 14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能

  15. 15 S3で持っているセキュリティ機能は︖

  16. 16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト

    (ACL) バケット公開を防⽌ パブリックブロックアクセス

  17. 17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応

  18. 18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖

  19. 19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い

  20. 20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要

  21. 21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

  22. 22 Cloud One File Storage Security

  23. 23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)

  24. 24 利⽤シーン

  25. 25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage

    Security費も必要)

  26. 26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)

  27. 27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)

  28. 28 導⼊⼿順

  29. 29 導⼊⼿順

  30. 30 導⼊⼿順

  31. 31 導⼊⼿順

  32. 32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了

  33. 33 導⼊⼿順 コピー&ペーストしてSubmit

  34. 34 導⼊⼿順 以下の表⽰になりましたら導⼊完了

  35. 35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた

  36. 36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル

  37. 37 結果確認(File Storage Security コンソール) 統計情報を表⽰

  38. 38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

  39. 39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

  40. 40 まとめ

  41. 41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤