Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240314-AboutStorageAntivirusMeasures
Search
Takano
March 15, 2024
Technology
330
1
Share
20240314-AboutStorageAntivirusMeasures
2024年03月14日開催のstorageJAWSでお悩みを聞いてもらったLT資料です。
Takano
March 15, 2024
More Decks by Takano
See All by Takano
JAWSDAYS 2026一般参加レポート
takano0131
0
230
楽しく学ぼう!EC2・コンテナ
takano0131
1
190
WEBサービスを成り立たせるAWSサービス
takano0131
1
310
同人誌を書こう
takano0131
2
180
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
510
Other Decks in Technology
See All in Technology
Rapid Start: Faster Internet Connections, with Ruby's Help
kazuho
1
110
レビューしきれない?それは「全て人力でのレビュー」だからではないでしょうか
amixedcolor
0
110
#jawsugyokohama 100 LT11, "My AWS Journey 2011-2026 - kwntravel"
shinichirokawano
0
300
3つのボトルネックを解消し、リリースエンジニアリングを再定義した話
nealle
0
500
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
3
170
最新の脅威動向から考える、コンテナサプライチェーンのリスクと対策
kyohmizu
0
400
インフラを Excel 管理していた組織が 3 ヶ月で IaC 化されるまで
geekplus_tech
3
200
NOSTR, réseau social et espace de liberté décentralisé
rlifchitz
0
200
マルチエージェント × ハーネスエンジニアリング × GitLab Duo Agent Platformで実現する「AIエージェントに仕事をさせる時代へ。」 / 20260421 GitLab Duo Agent Platform
n11sh1
0
120
CloudSec JP #005 後締め ~ソフトウェアサプライチェーン攻撃から開発者のシークレットを守る~
lhazy
0
220
暗黙知について一歩踏み込んで考える - 暗黙知の4タイプと暗黙考・暗黙動へ
masayamoriofficial
0
1.8k
「責任あるAIエージェント」こそ自社で開発しよう!
minorun365
5
750
Featured
See All Featured
How GitHub (no longer) Works
holman
316
150k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
180
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
200
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
53k
エンジニアに許された特別な時間の終わり
watany
106
240k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
240
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
510
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.4k
Between Models and Reality
mayunak
3
260
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
Transcript
某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて
自己紹介 高野(@takano0131) 某JTC システム子会社所属 雑用系インフラエンジニア 現担当:共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access
Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー
アジェンダ 1. お願い 2. 背景 ~ある日の出来事~ 3. システム要件 4. システム構成
AsIs & ToBe 5. 新 システム構成 ToBe 6. 問題点 7. お願い(再掲)
お願い これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
背景~ある日の出来事~ ・RHEL7 のEOLに備えたシステム更改を依頼される ー 過去担当が更改後構成図案を作成済 ー 基本設計完了済 ー 弊社方針に基づき脱オンプレ → AWSのクラウド化案件 ー 詳細設計から
システム要件 社外会社システムからのファイル受領(SFTP)後、社内システムに転送 ー IPアドレスホワイトリスト形式 ACL ー ユーザーコントロール ー ファイルの安全性を担保(アンチウィルス対策) ー 24/365運用(冗長性/BCPの担保) 要は社外ファイル転送システムです。
システム構成 AsIs
システム構成 ToBe
JTCあるある?システム更改内容 既存踏襲でVMを とりあえずEC2化
紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ&FW新規導入 1から考えた ほうが良い! Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …
新 システム構成 ToBe
新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW+WAF+Lambda SFTPサーバ
Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………
まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。
お願い(再) これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
知恵はこちらまで ハッシュタグ #storagejaws #jawsug X@takano0131 へのリプライ・DM あと質問タイム上で お願いします! 聞きたいこと例)※その他アンチウイルス対策についての知見はどんなのでも! ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか
・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します!
Appendex 当日頂いた知見をご紹介します!
①Trend Micro Cloud One File Storage Security TrendMicro製品。 スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補!
②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です! ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …
③ClamAV 正式名称はClam AntiVirus (クラム・アンチウイルス。略称 Clam AV) デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型(特定の文字情報のパターン)をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい!
④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション (スキャン用にパーティションを分けるのもよし) S3は、 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました!
沢山の知見を頂き、本当にありがとうございます! 来月からの案件なので引き続き頑張ります! 結果はひと段落したら報告させてください!
takano0131
kazuho
amixedcolor
shinichirokawano
nealle
sh_fk2
kyohmizu
geekplus_tech
rlifchitz
n11sh1
lhazy
masayamoriofficial
minorun365
holman
pwiseman
samtorres
madoxten
watany
addyosmani
caitiem20
techseoconnect
reverentgeek
dougneiner
mayunak
