Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240314-AboutStorageAntivirusMeasures
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Takano
March 15, 2024
Technology
340
1
Share
20240314-AboutStorageAntivirusMeasures
2024年03月14日開催のstorageJAWSでお悩みを聞いてもらったLT資料です。
Takano
March 15, 2024
More Decks by Takano
See All by Takano
JAWSDAYS 2026一般参加レポート
takano0131
0
250
楽しく学ぼう!EC2・コンテナ
takano0131
1
200
WEBサービスを成り立たせるAWSサービス
takano0131
1
310
同人誌を書こう
takano0131
2
180
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
520
Other Decks in Technology
See All in Technology
Databricks Academic Series 〜 大規模言語モデル / エージェント編 〜 / academic-series-llm
databricksjapan
0
110
フロントエンドの相手が変わった - AIが加わったWebの新しいインターフェース設計
azukiazusa1
33
11k
Building Production-Ready Agents Microsoft Agent Framework
_mertmetin
0
160
「QA=テスト」「シフトレフト=スクラムイベントの参加者の一員」の呪縛を解く。アジャイルな開発を止めないために、10Xで挑んだ「右側のしわ寄せ」解消記 #scrumniigata
nihonbuson
PRO
3
910
色を視る
yuzneri
0
320
クラウドネイティブ DB はいかにして制約を 克服したか? 〜進化歴史から紐解く、スケーラブルアーキテクチャ設計指針〜
hacomono
PRO
2
240
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
kaz1437
0
250
20260513_生成AIを専属DSに_AI分析結果の検品テクニック_ハンズオン_交通事故データ
doradora09
PRO
0
210
OWASP APTSを眺めてみた
su3158
0
130
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
mhrtech
0
110
大学職員のための生成AI最前線 :最前線を、AIガバナンスとして読み直すためのTips
gmoriki
2
3.8k
FessのAI検索モード:検索システムとLLMへの取り組み
marevol
0
290
Featured
See All Featured
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
170
Music & Morning Musume
bryan
47
7.2k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
350
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
140
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
530
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.5k
Marketing to machines
jonoalderson
1
5.2k
ラッコキーワード サービス紹介資料
rakko
1
3.2M
Deep Space Network (abreviated)
tonyrice
0
130
30 Presentation Tips
portentint
PRO
1
290
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
220
How to Ace a Technical Interview
jacobian
281
24k
Transcript
某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて
自己紹介 高野(@takano0131) 某JTC システム子会社所属 雑用系インフラエンジニア 現担当:共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access
Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー
アジェンダ 1. お願い 2. 背景 ~ある日の出来事~ 3. システム要件 4. システム構成
AsIs & ToBe 5. 新 システム構成 ToBe 6. 問題点 7. お願い(再掲)
お願い これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
背景~ある日の出来事~ ・RHEL7 のEOLに備えたシステム更改を依頼される ー 過去担当が更改後構成図案を作成済 ー 基本設計完了済 ー 弊社方針に基づき脱オンプレ → AWSのクラウド化案件 ー 詳細設計から
システム要件 社外会社システムからのファイル受領(SFTP)後、社内システムに転送 ー IPアドレスホワイトリスト形式 ACL ー ユーザーコントロール ー ファイルの安全性を担保(アンチウィルス対策) ー 24/365運用(冗長性/BCPの担保) 要は社外ファイル転送システムです。
システム構成 AsIs
システム構成 ToBe
JTCあるある?システム更改内容 既存踏襲でVMを とりあえずEC2化
紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ&FW新規導入 1から考えた ほうが良い! Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …
新 システム構成 ToBe
新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW+WAF+Lambda SFTPサーバ
Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………
まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。
お願い(再) これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
知恵はこちらまで ハッシュタグ #storagejaws #jawsug X@takano0131 へのリプライ・DM あと質問タイム上で お願いします! 聞きたいこと例)※その他アンチウイルス対策についての知見はどんなのでも! ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか
・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します!
Appendex 当日頂いた知見をご紹介します!
①Trend Micro Cloud One File Storage Security TrendMicro製品。 スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補!
②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です! ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …
③ClamAV 正式名称はClam AntiVirus (クラム・アンチウイルス。略称 Clam AV) デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型(特定の文字情報のパターン)をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい!
④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション (スキャン用にパーティションを分けるのもよし) S3は、 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました!
沢山の知見を頂き、本当にありがとうございます! 来月からの案件なので引き続き頑張ります! 結果はひと段落したら報告させてください!
SiteGround - Reliable hosting with speed, security, and support you can count on.
takano0131
databricksjapan
azukiazusa1
_mertmetin
nihonbuson
yuzneri
hacomono
kaz1437
doradora09
su3158
mhrtech
gmoriki
marevol
codingconduct
bryan
skipperchong
kimpetersen
katarinadahlin
signer
jonoalderson
rakko
tonyrice
portentint
samtorres
jacobian
