Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240314-AboutStorageAntivirusMeasures
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Takano
March 15, 2024
Technology
340
1
Share
20240314-AboutStorageAntivirusMeasures
2024年03月14日開催のstorageJAWSでお悩みを聞いてもらったLT資料です。
Takano
March 15, 2024
More Decks by Takano
See All by Takano
JAWSDAYS 2026一般参加レポート
takano0131
0
250
楽しく学ぼう!EC2・コンテナ
takano0131
1
200
WEBサービスを成り立たせるAWSサービス
takano0131
1
310
同人誌を書こう
takano0131
2
180
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
520
Other Decks in Technology
See All in Technology
MySQL 9.7がやってきた ~これまでのあらすじと基本情報~ @ 日本MySQLユーザ会会2026年04月 / mysql97-yattekita
sakaik
0
170
[Scram Fest Niigata2026]Quality as Code〜AIにQAの思考を再現させる試み〜
masamiyajiri
1
230
[Oracle TechNight#99] 生成AI時代のAI/ML入門 ~ AIとオラクルデータベースの関係 (前半)
oracle4engineer
PRO
2
220
データ定義の混乱と戦う 〜 管理会計と財務会計 〜
wonohe
0
250
Anthropic「Long-running a gents」をGeminiで再現してみた
tkikuchi
0
780
独断と偏見で試してみる、 シングル or マルチエージェント どっちがいいの?
shichijoyuhi
1
240
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.4k
AIの揺らぎに“コシ”を与える階層化品質設計
ickx
0
220
変化の激しい時代をゴキゲンに生き抜くために 〜ストレスマネジメントのススメ〜
kakehashi
PRO
4
1k
GitHub Copilot CLI と VS Code Agent Mode の使い分け
tomokusaba
0
140
巨大プラットフォームを進化させる「第3のROI」
recruitengineers
PRO
2
2.4k
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
kaz1437
0
240
Featured
See All Featured
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
160
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
230
Building Adaptive Systems
keathley
44
3k
How STYLIGHT went responsive
nonsquared
100
6.1k
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
250
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
Technical Leadership for Architectural Decision Making
baasie
3
350
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
The untapped power of vector embeddings
frankvandijk
2
1.7k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.5k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.5k
Transcript
某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて
自己紹介 高野(@takano0131) 某JTC システム子会社所属 雑用系インフラエンジニア 現担当:共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access
Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー
アジェンダ 1. お願い 2. 背景 ~ある日の出来事~ 3. システム要件 4. システム構成
AsIs & ToBe 5. 新 システム構成 ToBe 6. 問題点 7. お願い(再掲)
お願い これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
背景~ある日の出来事~ ・RHEL7 のEOLに備えたシステム更改を依頼される ー 過去担当が更改後構成図案を作成済 ー 基本設計完了済 ー 弊社方針に基づき脱オンプレ → AWSのクラウド化案件 ー 詳細設計から
システム要件 社外会社システムからのファイル受領(SFTP)後、社内システムに転送 ー IPアドレスホワイトリスト形式 ACL ー ユーザーコントロール ー ファイルの安全性を担保(アンチウィルス対策) ー 24/365運用(冗長性/BCPの担保) 要は社外ファイル転送システムです。
システム構成 AsIs
システム構成 ToBe
JTCあるある?システム更改内容 既存踏襲でVMを とりあえずEC2化
紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ&FW新規導入 1から考えた ほうが良い! Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …
新 システム構成 ToBe
新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW+WAF+Lambda SFTPサーバ
Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………
まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。
お願い(再) これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
知恵はこちらまで ハッシュタグ #storagejaws #jawsug X@takano0131 へのリプライ・DM あと質問タイム上で お願いします! 聞きたいこと例)※その他アンチウイルス対策についての知見はどんなのでも! ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか
・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します!
Appendex 当日頂いた知見をご紹介します!
①Trend Micro Cloud One File Storage Security TrendMicro製品。 スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補!
②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です! ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …
③ClamAV 正式名称はClam AntiVirus (クラム・アンチウイルス。略称 Clam AV) デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型(特定の文字情報のパターン)をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい!
④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション (スキャン用にパーティションを分けるのもよし) S3は、 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました!
沢山の知見を頂き、本当にありがとうございます! 来月からの案件なので引き続き頑張ります! 結果はひと段落したら報告させてください!
takano0131
sakaik
masamiyajiri
oracle4engineer
wonohe
tkikuchi
shichijoyuhi
ewa
ickx
kakehashi
tomokusaba
recruitengineers
kaz1437
greggifford
cassininazir
keathley
nonsquared
techseoconnect
kastner
productmarketing
baasie
sonatard
frankvandijk
signer
palkan
