Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
Amazon GuardDuty Malware Protection for Amazon S3の ここがすごい! 戸井田 理 1 / 17
Slide 2
Slide 2 text
$ whoami 名前:戸井田 理(みどり) / @ryder472 所属: 日本ラッド株式会社 クラウドソリューション事業部ビッグデータ技術部 好きなキーバインド: Emacs 好きなサービス: TiDB JAWS-UG 茨城 運営 第007636号 2 / 17
Slide 3
Slide 3 text
みなさん!!!! 3 / 17
Slide 4
Slide 4 text
マルウェアは 好きか!!!!???? 4 / 17
Slide 5
Slide 5 text
・・・ 5 / 17
Slide 6
Slide 6 text
自分は嫌いです。 6 / 17
Slide 7
Slide 7 text
Amazon S3のマルウェア対策 1. EC2に一回アップロードしてスキャン 2. S3にあげてからLambdaでスキャン(自力で解決) 3. サードパーティのサービスを使う (Trend Vision Oneとか) 4. Amazon GuardDuty Malware Protection for Amazon S3 を使う 7 / 17
Slide 8
Slide 8 text
Amazon GuardDuty Malware Protection for Amazon S3 re:Inforce 2024で発表されたGuardDutyの新機能 S3に保存されたオブジェクトをスキャン、結果をタグ付け →タグが自動でつけられるのでそれをトリガーにできる 利用できるストレージタイプはミリ秒アクセスができる タイプのみ 料金はスキャンファイル数+スキャン容量で決定 8 / 17
Slide 9
Slide 9 text
Amazon GuardDuty Malware Protection for Amazon S3 Guard Duty本体を有効にしなくてもこれだけで利用する ことも可能 (でもGuardDutyは有効にしておいた ほうがいい) 9 / 17
Slide 10
Slide 10 text
他のGuardDutyの機能との違い S3 Protectionとの違い S3バケット自体に対する不正アクセスや脅威検知をするもので オブジェクト自体は対象外 EC2 の Malware Protection EBSボリュームをスキャンしてその中のマルウェアを検知する ものでS3は対象外 10 / 17
Slide 11
Slide 11 text
できること、できないこと できること 追加のリソース無しでオブジェクトのマルウェアスキャン スキャン済みオブジェクトに対してタグ付け(任意) できないこと 単体で検知オブジェクトの駆除、除外(Lambdaが必要) →アクセスさせないだけならバケットポリシーでできる 11 / 17
Slide 12
Slide 12 text
ユースケース エンドユーザーからファイルをアップロードされたものをS3へ保 存しておく場合 外部からファイルをダウンロードしてきてそれをS3へ保存して おく場合 →内部で生成したファイル(e.g. CloudTrailのログ)などは スキャン対象から外すのが良いのではないでしょうか。 12 / 17
Slide 13
Slide 13 text
有効化するときのポイント バケット内の特定のプ レフィックスの ものをスキャン対象に できる 13 / 17
Slide 14
Slide 14 text
スキャンの頻度や注意点 ● スキャンはPUTイベントで走る ○ 既存バケットを有効化したとき、すでにある オブジェクトはそのままだとスキャンされない ● ファイルサイズが5GBを超えたり、圧縮ファイルのファイル数 が1000を超えていたり、深度が5を超えていた場合スキャン できません。 14 / 17
Slide 15
Slide 15 text
注意事項(お約束) むやみにマルウェアをアップロードする行為は日本国内におい て以下の法律に違反する可能性があります。 不正指令電磁的記録に関する罪(刑法19条の2) 電子計算機損壊等業務妨害罪(刑法234条の2) テスト用としてはこれから使用するeicarテストファイルを使用す ることをおすすめします。 15 / 17
Slide 16
Slide 16 text
実演 実験用ファイルとしていくつか準備しました。 eicar.com, eicar.txt: eicarテストファイル contamination.xlsx: eicarテストファイルが混入したエクセル ファイル encrypted.zip: eicar.comを暗号化zipにしたもの key.png, da01.xlsx: 無害な画像、エクセルファイル 16 / 17
Slide 17
Slide 17 text
結果(無害なファイル) 無害なファイル(key.png, da01.xlsx)は key:GaurdDutyMalwareScanStatus value:NO_THREATS_FOUND が付与されていました。 17 / 17
Slide 18
Slide 18 text
結果(有害なファイル) 有害なファイル(eicar.com, eicar.txt, contamination.xlsx)は key:GaurdDutyMalwareScanStatus value:THREATS_FOUND が付与されていました。 18 / 17
Slide 19
Slide 19 text
結果(スキャン不能なファイル) スキャン不能なファイル(encrypted.zip)は key:GaurdDutyMalwareScanStatus value:UNSUPPORTED が付与されていました。 19 / 17
Slide 20
Slide 20 text
まとめ ● 外部サービスなしでマルウェアスキャンができる ● GuardDuty+S3バケットポリシーでアクセス制限だけはでき る ○ 駆除や除外がしたい場合、Lambdaが必要 ● もしマルチクラウド環境でTrend Vision One等を使用 していたらそっちを使ったほうがいいのかも ○ GuardDutyはファイル数と容量に対して課金 ○ Trend Vision Oneはファイル数のみ 20 / 17
Slide 21
Slide 21 text
宣伝 https://jawsug-ibaraki.connpass.com/event/338441/ 21 / 17