Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

 今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

トレンドマイクロのCloud One File Storage Securityの紹介

Hiroyuki Kaji

June 24, 2021
Tweet

More Decks by Hiroyuki Kaji

Other Decks in Technology

Transcript

  1. 今までなかった︕︖
    クラウドオブジェクトストレージのための
    セキュリティを紹介
    1
    AWS事業本部 コンサルティング部
    Hiroyuki Kaji

    View full-size slide

  2. 2
    ⾃⼰紹介
    梶 浩幸(Hiroyuki Kaji)
    Twitter︓@cocacola917
    AWS環境の構築、コンサルティング
    札幌オフィス勤務
    デリバリーチームリーダ(エンジニア育成)
    経歴
    ・ネットワーク機器メーカSE
    ・セキュリティ関連企業の商⽤システム運⽤者
    ・2014年 クラスメソッド 札幌オフィス⼊社

    View full-size slide

  3. 3
    アジェンダ
    クラウドオブジェクトストレージ︖
    Cloud One File Storage Security
    フローとアーキテクチャ
    利⽤シーン
    導⼊⼿順
    まとめ

    View full-size slide

  4. 4
    クラウドオブジェクトストレージ︖

    View full-size slide

  5. 5
    Amazon S3
    (Amazon Simple Storage Service)

    View full-size slide

  6. 6
    Amazon S3
    (Amazon Simple Storage Service)
    とは︖

    View full-size slide

  7. 7
    Amazon S3(Amazon Simple Storage Service)
    AWSサービス開始当初から存在し、歴史が⻑い
    インターネット経由で利⽤するストレージサービス
    データストレージとしてAWSの中核を担う存在
    AWSでシステムを構築する際に、確実に利⽤

    View full-size slide

  8. 8
    Amazon S3 の特徴

    View full-size slide

  9. 9
    堅牢性
    99.999999999% (9 x 11) の耐久性を実現するよう
    に設計
    データをAmazon S3に保存しておけば、データ消失の
    リスクはほぼゼロに
    Amazon S3では、保存されたファイルをリージョン内
    で3箇所以上のデータセンターに⾃動的に複製して保持
    可⽤性については99.99%の設計

    View full-size slide

  10. 10
    容量無制限
    保存できるデータ容量、ファイル数に制限なし
    従量課⾦なので使った分だけ料⾦は発⽣
    容量を気にせず使⽤できることは⼤きなメリット
    データの総量に対する制限はありませんが、ファイルサ
    イズは1ファイル最⼤「5TB」まで

    View full-size slide

  11. 11
    そもそもS3って
    どのような場合に利⽤するの︖

    View full-size slide

  12. 12
    データのバックアップ
    イレブンナインの堅牢性からデータバックアップスト
    レージとしての⽤途
    ディザスタリカバリ⽬的でオンプレミスにあるサーバの
    バックアップを保存
    個⼈でも写真や動画データをS3に保存可能

    View full-size slide

  13. 13
    ログデータ等の保存先
    EC2で稼働するアプリケーションのログ退避先
    ビッグデータ分析で使⽤する⽣データ
    (基幹システムのDBからエクスポートしたCSVファイル等)
    中間データ(⽣データを分析⽤に加⼯)の保存先
    各種AWSサービスのログの保存先

    View full-size slide

  14. 14
    コンテンツ配信
    S3に保存したファイルはインターネット経由でアクセ
    スさせることも可能
    「静的ウェブサイトのホスティング」の機能で、S3⾃
    体をWebサーバとして機能させることも可能
    Webサイトの静的コンテンツ(htmlファイル、画像ファイル、
    javascriptファイルなど)をS3に保存
    S3から直接クライアントに配信可能で、Webサイトをホス
    トするWebサーバの負荷を軽減することが可能

    View full-size slide

  15. 15
    S3で持っているセキュリティ機能は︖

    View full-size slide

  16. 16
    S3のアクセスコントロール
    内容 機能名
    ユーザ操作のコントロール IAM
    バケット全体のアクセス許可 バケットポリシー
    オブジェクト単体のアクセス許可
    アクセスコントロールリスト
    (ACL)
    バケット公開を防⽌ パブリックブロックアクセス

    View full-size slide

  17. 17
    Amazon Macie
    指定されたS3バケットの機微情報の評価・検出
    機微情報
    個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号
    ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など
    認証情報︓AWSシークレットキー、秘密鍵など
    個⼈識別情報(PII)については、⽇本の運転免許証など
    は未対応

    View full-size slide

  18. 18
    S3にアップロードしたオブジェクトは
    マルウェアスキャンしてくれるの︖

    View full-size slide

  19. 19
    S3にウィルススキャンという機能はありません
    S3へオブジェクトをウィルススキャンするには…
    アップロード前にウィルススキャン
    アップロード後に別途ダウンロードしてウィルススキャン
    データ管理は利⽤者側の責任のため、ウイルスチェック
    が必要な場合はユーザー側での対応が必要
    S3バケット内ではファイル動作・操作しないためウィルス
    ファイルの影響は無い

    View full-size slide

  20. 20
    ダウンロード先で更なる拡散防⽌
    ファイルの受け渡しを⾏うためダウンロード先でのさら
    なる拡散を防⽌したいと希望が多い。
    要件に合わせた冗⻑性も検討必要

    View full-size slide

  21. 21
    他には
    https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

    View full-size slide

  22. 22
    Cloud One File Storage Security

    View full-size slide

  23. 23
    フローとアーキテクチャー
    https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/
    (1)
    (2)
    (3)
    (4)
    (5)
    (6)
    (7)

    View full-size slide

  24. 24
    利⽤シーン

    View full-size slide

  25. 25
    AWSの利⽤費は︖
    1⽇平均200ファイルをスキャン
    平均ファイルサイズ2MB
    50USD/⽉
    https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/
    (別途Cloud One File Storage Security費も必要)

    View full-size slide

  26. 26
    Cloud One File Storage Security
    導⼊⼿順
    (試⽤版で試せます)

    View full-size slide

  27. 27
    前提条件
    Cloud Oneアカウントを取得済みであること
    同じブラウザ上で、AWSアカウントにAdministrator
    権限のユーザでログインをしておく
    スキャン対象のS3バケットを構築しておく
    バケット例︓kaji-fss-check(東京リージョン)

    View full-size slide

  28. 28
    導⼊⼿順

    View full-size slide

  29. 29
    導⼊⼿順

    View full-size slide

  30. 30
    導⼊⼿順

    View full-size slide

  31. 31
    導⼊⼿順

    View full-size slide

  32. 32
    導⼊⼿順
    〜省略〜(⾮表⽰部分は編集不要)
    スタックの作成をクリック後、7〜8分程度で構築完了

    View full-size slide

  33. 33
    導⼊⼿順
    コピー&ペーストしてSubmit

    View full-size slide

  34. 34
    導⼊⼿順
    以下の表⽰になりましたら導⼊完了

    View full-size slide

  35. 35
    S3バケットに
    擬似ウィルスソフト(Eicarファイル)を
    アップロードして試してみた

    View full-size slide

  36. 36
    結果の確認(S3バケットのオブジェクトのタグ)
    S3バケットのオブジェクト(ファイル)のタグ
    不正ファイル
    通常のファイル

    View full-size slide

  37. 37
    結果確認(File Storage Security コンソール)
    統計情報を表⽰

    View full-size slide

  38. 38
    詳細はブログを
    https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

    View full-size slide

  39. 39
    詳細はブログを
    https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

    View full-size slide

  40. 41
    File Storage Securityは
    導⼊が⾮常にカンタン
    サーバレスでS3にアップロードされた時のみ動作
    サーバ運⽤不要なため構成に影響をあたえず運⽤

    View full-size slide