Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

Hiroyuki Kaji
June 24, 2021
Technology
0
18k

 今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

トレンドマイクロのCloud One File Storage Securityの紹介

Hiroyuki Kaji

June 24, 2021
Tweet

More Decks by Hiroyuki Kaji

See All by Hiroyuki Kaji
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
1.1k
S3のマルウェア対策について紹介
cocacola917
1
3.7k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
48k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.3k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
490k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.4k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
40k
AWS Systems Managerの使い方
cocacola917
0
1.8k
いまどきのネットワーク機器の設定管理ツールを調べてみた
cocacola917
0
1.7k

Other Decks in Technology

See All in Technology
機械学習を「社会実装」するということ 2025年版 / Social Implementation of Machine Learning 2025 Version
moepy_stats
5
1.3k
実践! ソフトウェアエンジニアリングの価値の計測 ── Effort、Output、Outcome、Impact
nomuson
0
2.1k
自社 200 記事を元に整理した読みやすいテックブログを書くための Tips 集
masakihirose
2
330
Bring Your Own Container: When Containers Turn the Key to EDR Bypass/byoc-avtokyo2024
tkmru
0
860
AWS re:Invent 2024 recap in 20min / JAWSUG 千葉 2025.1.14
shimy
1
100
駆け出しリーダーとしての第一歩〜開発チームとの新しい関わり方〜 / Beginning Journey as Team Leader
kaonavi
0
120
AWS re:Invent 2024 re:Cap Taipei (for Developer): New Launches that facilitate Developer Workflow and Continuous Innovation
dwchiang
0
170
KMP with Crashlytics
sansantech
PRO
0
240
Godot Engineについて調べてみた
unsoluble_sugar
0
410
RubyでKubernetesプログラミング
sat
PRO
4
160
ゼロからわかる!!AWSの構成図を書いてみようワークショップ 問題&解答解説 #デッカイギ #羽田デッカイギおつ
_mossann_t
0
1.5k
WantedlyでのKotlin Multiplatformの導入と課題 / Kotlin Multiplatform Implementation and Challenges at Wantedly
kubode
0
250

Featured

See All Featured
Speed Design
sergeychernyshev
25
740
Statistics for Hackers
jakevdp
797
220k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
RailsConf 2023
tenderlove
29
970
Building Your Own Lightsaber
phodgson
104
6.2k
For a Future-Friendly Web
brad_frost
176
9.5k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.5k
Being A Developer After 40
akosma
89
590k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
The Art of Programming - Codeland 2020
erikaheidi
53
13k

Transcript

  1. 今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji

  2. 2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴

    ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社

  3. 3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン

    導⼊⼿順 まとめ

  4. 4 クラウドオブジェクトストレージ︖

  5. 5 Amazon S3 (Amazon Simple Storage Service)

  6. 6 Amazon S3 (Amazon Simple Storage Service) とは︖

  7. 7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤

  8. 8 Amazon S3 の特徴

  9. 9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の

    リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計

  10. 10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで

  11. 11 そもそもS3って どのような場合に利⽤するの︖

  12. 12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能

  13. 13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先

  14. 14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能

  15. 15 S3で持っているセキュリティ機能は︖

  16. 16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト

    (ACL) バケット公開を防⽌ パブリックブロックアクセス

  17. 17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応

  18. 18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖

  19. 19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い

  20. 20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要

  21. 21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

  22. 22 Cloud One File Storage Security

  23. 23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)

  24. 24 利⽤シーン

  25. 25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage

    Security費も必要)

  26. 26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)

  27. 27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)

  28. 28 導⼊⼿順

  29. 29 導⼊⼿順

  30. 30 導⼊⼿順

  31. 31 導⼊⼿順

  32. 32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了

  33. 33 導⼊⼿順 コピー&ペーストしてSubmit

  34. 34 導⼊⼿順 以下の表⽰になりましたら導⼊完了

  35. 35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた

  36. 36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル

  37. 37 結果確認(File Storage Security コンソール) 統計情報を表⽰

  38. 38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

  39. 39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

  40. 40 まとめ

  41. 41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤