Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Storage Gatewayで始めるセキュアなデータ連携 / Secure data...

Avatar for Yuji Oshima Yuji Oshima
June 05, 2024
Technology
2
580

AWS Storage Gatewayで始めるセキュアなデータ連携 / Secure data linkage with AWS Storage Gateway

「Storage-JAWS #4 Storage LT祭り」で発表した資料
https://storage-jaws.connpass.com/event/319243/
Avatar for Yuji Oshima

Yuji Oshima

June 05, 2024
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
Avatar for Yuji Oshima yuj1osm
2
530
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
Avatar for Yuji Oshima yuj1osm
2
200
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り / Check the Answers to re:Invent 2024 Update Predictions and Review CloudWatch Updates
Avatar for Yuji Oshima yuj1osm
0
99
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
Avatar for Yuji Oshima yuj1osm
0
420
re:Invent をおうちで楽しんでみた ~CloudWatch のオブザーバビリティ機能がスゴい!/ Enjoyed AWS re:Invent from Home and CloudWatch Observability Feature is Amazing!
Avatar for Yuji Oshima yuj1osm
0
200
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
Avatar for Yuji Oshima yuj1osm
2
380
Google Cloud 全冠になってみた ~AI時代を生き残るための自己研鑽 ~/Obtained all Google Cloud Certifications Self-Improvement to Survive in the AI ​​Era
Avatar for Yuji Oshima yuj1osm
1
190
生成AI時代のセキュリティはAWSでどう進化する? ~AWSセキュリティの3つのポイントからアップデートを予測する~ / How will Security Evolve on AWS in the Era of Generative AI and Predicting Updates from 3 Points of AWS Security
Avatar for Yuji Oshima yuj1osm
0
180
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
Avatar for Yuji Oshima yuj1osm
1
1.3k

Other Decks in Technology

See All in Technology
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
130
Tech-Verse 2025 Global CTO Session
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
100
Tech-Verse 2025 Keynote
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
230
“社内”だけで完結していた私が、AWS Community Builder になるまで
Avatar for nagisa_53 nagisa53
1
400
生まれ変わった AWS Security Hub (Preview) を紹介 #reInforce_osaka / reInforce New Security Hub
Avatar for MasahiroKawahara masahirokawahara
0
180
製造業からパッケージ製品まで、あらゆる領域をカバー!生成AIを利用したテストシナリオ生成 / 20250627 Suguru Ishii
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
140
強化されたAmazon Location Serviceによる新機能と開発者体験
Avatar for Yasunori Kirimoto dayjournal
3
220
2025-06-26_Lightning_Talk_for_Lightning_Talks
Avatar for hashimo2 _hashimo2
2
100
本が全く読めなかった過去の自分へ
Avatar for ゲンシュン genshun9
0
570
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
Avatar for Masatoshi Shimada smdmts
5
640
MySQL5.6から8.4へ 戦いの記録
Avatar for Koji Yoshida kyoshidaxx
1
260
作曲家がボカロを使うようにPdMはAIを使え
Avatar for Takuya Ito itotaxi
0
110

Featured

See All Featured
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Designing for Performance
Avatar for Lara Hogan lara
609
69k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.6k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
24
1.7k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
94
6.1k

Transcript

  1. AWS Storage Gatewayで始めるセキュアなデータ連携 大島 悠司 Storage-JAWS #4 Storage LT祭り

  2. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア

    / ニューリジェンセキュリティ • SREグループマネージャー • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022-2023 Japan AWS All Certifications Engineers • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 • JAWU-UG横浜支部 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2

  3. 背景 ◼ 運用中のサービスで利用している膨大なデータを、他サービスで処理するために連携する要件あり 3 うちは OCI (Oracle Cloud Infrastructure) を使ってます

    データを連携できるようにするので要件を教えてください OCI に Windows Server が載ってます SMB (Server Message Block) で連携したいです

  4. 要件整理 ◼ やりたいこと • OCI 上の Windows Server から S3

    に SMB 接続ができること • Windows Server から S3 のオブジェクトを読み書きできること 4 AWS OCI OCI Compute SMB(445)

  5. AWS Storage Gatewayを利用 ◼ AWS Storage Gateway とは • オンプレミス環境のデータとクラウドストレージの橋渡しをするサービス

    • 高い拡張性、データ転送時のSSL/TLS暗号化やロギングなどのセキュリティ機能 • 以下のタイプが利用可 • S3ファイルゲートウェイ :SMB/NFSプロトコルを使ったS3へのアクセスを提供 • テープゲートウェイ :物理テープの代替として仮想テープライブラリを提供 • ボリュームゲートウェイ :iSCSIベースのストレージボリュームを提供 • S3ファイルゲートウェイの料金 ① ゲートウェイのEC2 + EBS 利用料 ② ゲートウェイ利用料 :ゲートウェイからS3への書き込み 0.01 USD/GB(100 GB/アカウントまで無料) ③ S3データ転送量 :inは無料 ④ S3データ保存量 5 Storage Gateway S3 ② EC2 EBS ① ③ ④

  6. 検証してみた ◼ OCI の代わりに AWS を利用 ◼ S3 と EBS

    がファイル共有されており、EBS がアタッチされた EC2 に対して SMB アクセス ◼ アカウントB 側からは S3 に直接マウントしているように見える 6

  7. ◼ ゲートウェイを新規作成する 7 ゲートウェイセットアップ1 S3ファイルゲートウェイを選択 EC2を起動する 以下の文章に細かな要件が 書いてあるのでよく読むこと

  8. ゲートウェイセットアップ2 ◼ EC2インスタンスを起動 • インスタンスタイプ m5.xlarge 以上 • EBS は

    150 GiB 以上 • SMB の場合はセキュリティグループの インバウンドで TCP/445 を許可 8 セットアップ時だけ作業端末からの TCP/HTTP 許可が必要 これが無いとセットアップがエラーになる セットアップ後に TCP/HTTP のみ削除

  9. ゲートウェイセットアップ3 ◼ ゲートウェイに戻って作成を完了させる 9 成功するとこの画面に遷移し、 EBSがキャッシュとして認識される 失敗するとこの画面に遷移する セキュリティグループの設定ミスの可能性が高い 設定内容を確認し「次へ」を押下 OK

    NG

  10. ファイル共有セットアップ1 ◼ ファイル共有を新規作成する 10 エンドポイントのサービスがS3でない場合 エンドポイントのインバウンドで TCP/443を許可してない場合 共有するS3バケットを指定

  11. ファイル共有セットアップ2 ◼ SMBアクセスやキャッシュのTTLを設定 11 S3からはリアルタイム同期されない SMBのパスワードを設定

  12. ファイル共有セットアップ3 ◼ ファイル共有作成後にSMBアクセスのためのコマンドを控えておく 12 net use Z: ¥¥<test-storagegw-eip>¥test-storagegw-bucket /user:sgw-XXXXXXXX¥smbguest SMBアクセスのためのコマンド

  13. ドライブマウント確認 ◼ Windows Server から先ほど控えたコマンドを実行する 13 ファイル共有作成時に設定したパスワード入力 成功すると、「The command completed

    successfully.」 と表示される エクスプローラーを見ると、ZドライブにS3がマウントされている

  14. ファイル共有確認 ◼ Windows Server → S3 14 ◼ S3 →

    Windows Server リアルタイムに反映 ファイル共有作成時のTTLの 設定どおり、遅延して反映

  15. CloudWatch確認 ◼ 先ほどの「Windows Server → S3」のログ • ファイル作成と属性書き込みにより 「New Text

    Document.txt」 が作成される • その後ファイル名変更と属性書き込みで 「windows_to_s3.txt」 に変更される 15

  16. CloudWatchアラーム ◼ 以下のアラームが自動で作成される • CachePercentDirty :Storage Gateway から S3 へのアップロードできていない割合

    • FileSharesUnavailable :Storage Gateway で使用不可状態にあるファイル共有の数 • IoWaitPercent :Storage Gateway の I/O の割合 16

  17. 推奨監視項目 ◼ 以下のようなメトリクスを監視しておくとよい 17 メトリクス 概要 UserCpuPercent ゲートウェイのCPU利用率 MemUsedBytes MemTotalBytes

    ゲートウェイのメモリ利用量と合計量 RootDiskFreeBytes ゲートウェイのルートディスク空き容量数 NfsSessions ゲートウェイのアクティブなNFSセッションの数 SmbV1Sessions SmbV2Sessions SmbV3Sessions ゲートウェイのアクティブなSMBセッションの数 CachePercentUsed ゲートウェイのキャッシュストレージ利用率 FilesFailingUpload AWSへのアップロードに失敗したファイル数

  18. まとめ Storage Gatewayを活用するメリット ◼ オンプレミスとのハイブリッドクラウドや他クラウドとのマルチクラウドなストレージを構築 ◼ データをシームレスに連携 ◼ 暗号化やロギングの機能によりセキュリティとコンプライアンスを確保 ◼

    要件に応じて様々なゲートウェイタイプに対応 18