20240314-AboutStorageAntivirusMeasures

Transcript

1. 某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて

2. 自己紹介 高野（＠takano0131） 某JTC システム子会社所属 雑用系インフラエンジニア 現担当：共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access

   Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー

3. アジェンダ １. お願い ２. 背景 ～ある日の出来事～ ３. システム要件 ４. システム構成

   AsIs ＆ ToBe ５. 新 システム構成 ToBe ６. 問題点 ７. お願い（再掲）

4. お願い これを見ているみんな！ S3 or EFS アンチウィルス対策 の知恵を貸してくれ

5. 背景～ある日の出来事～ ・RHEL7 のEOLに備えたシステム更改を依頼される ー　過去担当が更改後構成図案を作成済 ー　基本設計完了済 ー　弊社方針に基づき脱オンプレ → ＡＷＳのクラウド化案件 ー　詳細設計から

6. システム要件 社外会社システムからのファイル受領（ＳＦＴＰ）後、社内システムに転送 ー　IPアドレスホワイトリスト形式 ACL ー　ユーザーコントロール ー　ファイルの安全性を担保（アンチウィルス対策） ー　24/365運用（冗長性/BCPの担保） 要は社外ファイル転送システムです。

7. システム構成 AsIs

8. システム構成 ToBe

9. ＪＴＣあるある？システム更改内容 既存踏襲でＶＭを とりあえずＥＣ２化

10. 紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ＆FW新規導入 1から考えた ほうが良い！ Clusterよりマネージドサービスの

    方が簡単に冗長性担保できる …

11. 新 システム構成 ToBe

12. 新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW＋WAF＋Lambda SFTPサーバ

    Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………

13. まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。

14. お願い（再） これを見ているみんな！ S3 or EFS アンチウィルス対策 の知恵を貸してくれ

15. 知恵はこちらまで ハッシュタグ　　#storagejaws #jawsug X＠takano0131　へのリプライ・DM あと質問タイム上で　お願いします！ 聞きたいこと例）※その他アンチウイルス対策についての知見はどんなのでも！ ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか

    ・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します！

16. Appendex 当日頂いた知見をご紹介します！

17. ①Trend Micro Cloud One File Storage Security
 
 TrendMicro製品。 スキャン量に応じた重量課金型

    対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補！

18. ②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして

    GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です！ ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …

19. ③ClamAV 正式名称はClam AntiVirus （クラム・アンチウイルス。略称 Clam AV） デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、

    Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型（特定の文字情報のパターン）をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい！

20. ④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション 
 （スキャン用にパーティションを分けるのもよし） 
 S3は、
 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました！

21. 沢山の知見を頂き、本当にありがとうございます！ 来月からの案件なので引き続き頑張ります！ 結果はひと段落したら報告させてください！