Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

Hiroyuki Kaji
June 24, 2021
Technology
0
18k

 今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介

トレンドマイクロのCloud One File Storage Securityの紹介

Hiroyuki Kaji

June 24, 2021
Tweet

More Decks by Hiroyuki Kaji

See All by Hiroyuki Kaji
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
1.1k
S3のマルウェア対策について紹介
cocacola917
1
3.7k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
48k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.3k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
490k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.4k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
40k
AWS Systems Managerの使い方
cocacola917
0
1.8k
いまどきのネットワーク機器の設定管理ツールを調べてみた
cocacola917
0
1.7k

Other Decks in Technology

See All in Technology
re:Invent 2024のふりかえり
beli68
0
110
20250116_JAWS_Osaka
takuyay0ne
2
200
2024AWSで個人的にアツかったアップデート
nagisa53
1
110
AWS re:Invent 2024 re:Cap Taipei (for Developer): New Launches that facilitate Developer Workflow and Continuous Innovation
dwchiang
0
170
embedパッケージを深掘りする / Deep Dive into embed Package in Go
task4233
1
220
いま現場PMのあなたが、 経営と向き合うPMになるために 必要なこと、腹をくくること
hiro93n
9
7.7k
Building Scalable Backend Services with Firebase
wisdommatt
0
110
ドメイン駆動設計の実践により事業の成長スピードと保守性を両立するショッピングクーポン
lycorptech_jp
PRO
13
2.2k
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!座学①
siyuanzh09
0
110
Git scrapingで始める継続的なデータ追跡 / Git Scraping
ohbarye
5
500
When Windows Meets Kubernetes…
pichuang
0
310
0→1事業こそPMは営業すべし / pmconf #落選お披露目 / PM should do sales in zero to one
roki_n_
PRO
1
1.5k

Featured

See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
5
210
Docker and Python
trallard
43
3.2k
How STYLIGHT went responsive
nonsquared
96
5.3k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Become a Pro
speakerdeck
PRO
26
5.1k
4 Signs Your Business is Dying
shpigford
182
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.5k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Building an army of robots
kneath
302
45k

Transcript

  1. 今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji

  2. 2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴

    ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社

  3. 3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン

    導⼊⼿順 まとめ

  4. 4 クラウドオブジェクトストレージ︖

  5. 5 Amazon S3 (Amazon Simple Storage Service)

  6. 6 Amazon S3 (Amazon Simple Storage Service) とは︖

  7. 7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤

  8. 8 Amazon S3 の特徴

  9. 9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の

    リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計

  10. 10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで

  11. 11 そもそもS3って どのような場合に利⽤するの︖

  12. 12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能

  13. 13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先

  14. 14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能

  15. 15 S3で持っているセキュリティ機能は︖

  16. 16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト

    (ACL) バケット公開を防⽌ パブリックブロックアクセス

  17. 17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応

  18. 18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖

  19. 19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い

  20. 20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要

  21. 21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/

  22. 22 Cloud One File Storage Security

  23. 23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)

  24. 24 利⽤シーン

  25. 25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage

    Security費も必要)

  26. 26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)

  27. 27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)

  28. 28 導⼊⼿順

  29. 29 導⼊⼿順

  30. 30 導⼊⼿順

  31. 31 導⼊⼿順

  32. 32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了

  33. 33 導⼊⼿順 コピー&ペーストしてSubmit

  34. 34 導⼊⼿順 以下の表⽰になりましたら導⼊完了

  35. 35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた

  36. 36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル

  37. 37 結果確認(File Storage Security コンソール) 統計情報を表⽰

  38. 38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/

  39. 39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/

  40. 40 まとめ

  41. 41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤