Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240314-AboutStorageAntivirusMeasures
Search
Takano
March 15, 2024
Technology
1
300
20240314-AboutStorageAntivirusMeasures
2024年03月14日開催のstorageJAWSでお悩みを聞いてもらったLT資料です。
Takano
March 15, 2024
Tweet
Share
More Decks by Takano
See All by Takano
WEBサービスを成り立たせるAWSサービス
takano0131
1
200
同人誌を書こう
takano0131
2
150
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
410
Other Decks in Technology
See All in Technology
Kubernetes self-healing of your workload
hwchiu
0
360
JSConf JPのwebsiteをGatsbyからNext.jsに移行した話 - Next.jsの多言語静的サイトと課題
leko
2
180
初めてのDatabricks Apps開発
taka_aki
1
240
コンパウンド組織のCRE #cre_meetup
layerx
PRO
0
230
生成AI時代のセキュアコーディングとDevSecOps
yuriemori
0
150
SCONE - 動画配信の帯域を最適化する新プロトコル
kazuho
1
320
組織改革から開発効率向上まで! - 成功事例から見えたAI活用のポイント - / 20251016 Tetsuharu Kokaki
shift_evolve
PRO
2
230
Data Hubグループ 紹介資料
sansan33
PRO
0
2.2k
Dify on AWS 環境構築手順
yosse95ai
0
100
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
43k
だいたい分かった気になる 『SREの知識地図』 / introduction-to-sre-knowledge-map-book
katsuhisa91
PRO
3
1.2k
「魔法少女まどか☆マギカ Magia Exedra」のIPのキャラクターを描くための3Dルック開発
gree_tech
PRO
0
150
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
44
7.8k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
A better future with KSS
kneath
239
18k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Automating Front-end Workflow
addyosmani
1371
200k
Java REST API Framework Comparison - PWX 2021
mraible
34
8.9k
The Cost Of JavaScript in 2023
addyosmani
55
9.1k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.7k
Designing Experiences People Love
moore
142
24k
Transcript
某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて
自己紹介 高野(@takano0131) 某JTC システム子会社所属 雑用系インフラエンジニア 現担当:共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access
Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー
アジェンダ 1. お願い 2. 背景 ~ある日の出来事~ 3. システム要件 4. システム構成
AsIs & ToBe 5. 新 システム構成 ToBe 6. 問題点 7. お願い(再掲)
お願い これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
背景~ある日の出来事~ ・RHEL7 のEOLに備えたシステム更改を依頼される ー 過去担当が更改後構成図案を作成済 ー 基本設計完了済 ー 弊社方針に基づき脱オンプレ → AWSのクラウド化案件 ー 詳細設計から
システム要件 社外会社システムからのファイル受領(SFTP)後、社内システムに転送 ー IPアドレスホワイトリスト形式 ACL ー ユーザーコントロール ー ファイルの安全性を担保(アンチウィルス対策) ー 24/365運用(冗長性/BCPの担保) 要は社外ファイル転送システムです。
システム構成 AsIs
システム構成 ToBe
JTCあるある?システム更改内容 既存踏襲でVMを とりあえずEC2化
紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ&FW新規導入 1から考えた ほうが良い! Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …
新 システム構成 ToBe
新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW+WAF+Lambda SFTPサーバ
Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………
まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。
お願い(再) これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
知恵はこちらまで ハッシュタグ #storagejaws #jawsug X@takano0131 へのリプライ・DM あと質問タイム上で お願いします! 聞きたいこと例)※その他アンチウイルス対策についての知見はどんなのでも! ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか
・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します!
Appendex 当日頂いた知見をご紹介します!
①Trend Micro Cloud One File Storage Security TrendMicro製品。 スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補!
②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です! ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …
③ClamAV 正式名称はClam AntiVirus (クラム・アンチウイルス。略称 Clam AV) デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型(特定の文字情報のパターン)をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい!
④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション (スキャン用にパーティションを分けるのもよし) S3は、 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました!
沢山の知見を頂き、本当にありがとうございます! 来月からの案件なので引き続き頑張ります! 結果はひと段落したら報告させてください!