20240314-AboutStorageAntivirusMeasures

某JTC システム更改ストレージ要件に対する悩みリホストからリファクタリングへの道に向けて

自己紹介高野（＠takano0131）某JTC システム子会社所属雑用系インフラエンジニア現担当：共通基盤運用保守 CCoE兼務好きなAWSサービス IAM Access
Analyzer 技術書典で同人誌出してますジャパニーズトラディショナルカンパニー

アジェンダ１. お願い２. 背景～ある日の出来事～３. システム要件４. システム構成
AsIs ＆ ToBe ５. 新システム構成 ToBe ６. 問題点７. お願い（再掲）

お願いこれを見ているみんな！ S3 or EFS アンチウィルス対策の知恵を貸してくれ

背景～ある日の出来事～・RHEL7 のEOLに備えたシステム更改を依頼されるー　過去担当が更改後構成図案を作成済ー　基本設計完了済ー　弊社方針に基づき脱オンプレ → ＡＷＳのクラウド化案件ー　詳細設計から

システム要件社外会社システムからのファイル受領（ＳＦＴＰ）後、社内システムに転送ー　IPアドレスホワイトリスト形式 ACL ー　ユーザーコントロールー　ファイルの安全性を担保（アンチウィルス対策）ー　24/365運用（冗長性/BCPの担保）要は社外ファイル転送システムです。

システム構成 AsIs

システム構成 ToBe

ＪＴＣあるある？システム更改内容既存踏襲でＶＭをとりあえずＥＣ２化

紆余曲折… RHEL7→9のBsh マイグレ各ソフトウェア・利用料未見積 NetworkACL/SGのみでのACL 設定の煩雑さ＆FW新規導入 1から考えたほうが良い！ Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …

新システム構成 ToBe

新システム構成 ToBe Transfer Family SFTPとの組み合わせACL 設計 APIGW＋WAF＋Lambda SFTPサーバ
Transfer Family SFTPを採用内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用アンチウイルス対策 ………

まずい。 AWS サーバレスアンチウィルスソフト事例弊社まだ持ってない。

お願い（再）これを見ているみんな！ S3 or EFS アンチウィルス対策の知恵を貸してくれ

知恵はこちらまでハッシュタグ　　#storagejaws #jawsug X＠takano0131　へのリプライ・DM あと質問タイム上で　お願いします！聞きたいこと例）※その他アンチウイルス対策についての知見はどんなのでも！・実装した/運用中S3・EBS アンチウイルス対策の内容・対策済ストレージのIO使用頻度・検知されたときどんな挙動になるのか
・実装で大変だったこと・運用していて大変だったこと ※もしアンチウィルスソフト営業いただける場合は別途本名/社用メールアドレスでお問い合わせ折り返します！

Appendex 当日頂いた知見をご紹介します！

①Trend Micro Cloud One File Storage Security    TrendMicro製品。スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補！

②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアクティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントして、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、すごくありがたいご意見です！ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされてアカウント払いだされる JTCなので、使えないかも …

③ClamAV 正式名称はClam AntiVirus （クラム・アンチウイルス。略称 Clam AV）デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あとはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンもできる。また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもスキャンすることが出来る。シグネチャ型（特定の文字情報のパターン）をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい！

④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション   （スキャン用にパーティションを分けるのもよし）   S3は、  Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット構成的にオンプレ脳でもシンプルで判りやすいので、しっくり来ました！

沢山の知見を頂き、本当にありがとうございます！来月からの案件なので引き続き頑張ります！結果はひと段落したら報告させてください！

20240314-AboutStorageAntivirusMeasures

20240314-AboutStorageAntivirusMeasures

Takano

More Decks by Takano

Other Decks in Technology

Featured

Transcript

某JTC システム更改ストレージ要件に対する悩みリホストからリファクタリングへの道に向けて

自己紹介高野（＠takano0131）某JTC システム子会社所属雑用系インフラエンジニア現担当：共通基盤運用保守 CCoE兼務好きなAWSサービス IAM Access

アジェンダ１. お願い２. 背景～ある日の出来事～３. システム要件４. システム構成

お願いこれを見ているみんな！ S3 or EFS アンチウィルス対策の知恵を貸してくれ

背景～ある日の出来事～・RHEL7 のEOLに備えたシステム更改を依頼されるー　過去担当が更改後構成図案を作成済ー　基本設計完了済ー　弊社方針に基づき脱オンプレ → ＡＷＳのクラウド化案件ー　詳細設計から

システム構成 AsIs

システム構成 ToBe

ＪＴＣあるある？システム更改内容既存踏襲でＶＭをとりあえずＥＣ２化

紆余曲折… RHEL7→9のBsh マイグレ各ソフトウェア・利用料未見積 NetworkACL/SGのみでのACL 設定の煩雑さ＆FW新規導入 1から考えたほうが良い！ Clusterよりマネージドサービスの

新システム構成 ToBe

新システム構成 ToBe Transfer Family SFTPとの組み合わせACL 設計 APIGW＋WAF＋Lambda SFTPサーバ

まずい。 AWS サーバレスアンチウィルスソフト事例弊社まだ持ってない。

お願い（再）これを見ているみんな！ S3 or EFS アンチウィルス対策の知恵を貸してくれ

Appendex 当日頂いた知見をご紹介します！

①Trend Micro Cloud One File Storage Security    TrendMicro製品。スキャン量に応じた重量課金型

②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアクティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして

沢山の知見を頂き、本当にありがとうございます！来月からの案件なので引き続き頑張ります！結果はひと段落したら報告させてください！