Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240314-AboutStorageAntivirusMeasures
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Takano
March 15, 2024
Technology
350
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20240314-AboutStorageAntivirusMeasures
2024年03月14日開催のstorageJAWSでお悩みを聞いてもらったLT資料です。
Takano
March 15, 2024
More Decks by Takano
See All by Takano
JAWSDAYS 2026一般参加レポート
takano0131
0
270
楽しく学ぼう!EC2・コンテナ
takano0131
1
250
WEBサービスを成り立たせるAWSサービス
takano0131
1
320
同人誌を書こう
takano0131
2
200
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
540
Other Decks in Technology
See All in Technology
ローカルLLMとLINE Botの組み合わせ その3 / LINE DC Generative AI Meetup #8
you
PRO
0
120
最近評価が難しくなった
maroon8021
0
260
AIと共生する開発者プラットフォーム:バクラクのモノレポ×マイクロサービス基盤
sakajunquality
2
2.6k
DMM.com 購入改善推進チーム におけるCodeRabbitを用いた レビューフロー改善の一例
ysknsid25
2
530
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
証券システムを10年Scalaで作り続けるということ - 関数型まつり2026
krrrr38
3
750
キャリアの中で本を作る / Making a Book During Your Career
ak1210
0
120
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
270
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
810
美しいコードを書くためにF#を学んでみた話
yud0uhu
1
350
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
3
170
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
220
Featured
See All Featured
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
67
56k
We Have a Design System, Now What?
morganepeng
55
8.2k
Faster Mobile Websites
deanohume
310
32k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
350
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
6k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Git: the NoSQL Database
bkeepers
PRO
432
67k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
310
Designing for Performance
lara
611
70k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
Transcript
某JTC システム更改 ストレージ要件に対する悩み リホストからリファクタリングへの道に向けて
自己紹介 高野(@takano0131) 某JTC システム子会社所属 雑用系インフラエンジニア 現担当:共通基盤運用保守 CCoE兼務 好きなAWSサービス IAM Access
Analyzer 技術書典で 同人誌 出してます ジャパニーズトラディショナルカンパニー
アジェンダ 1. お願い 2. 背景 ~ある日の出来事~ 3. システム要件 4. システム構成
AsIs & ToBe 5. 新 システム構成 ToBe 6. 問題点 7. お願い(再掲)
お願い これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
背景~ある日の出来事~ ・RHEL7 のEOLに備えたシステム更改を依頼される ー 過去担当が更改後構成図案を作成済 ー 基本設計完了済 ー 弊社方針に基づき脱オンプレ → AWSのクラウド化案件 ー 詳細設計から
システム要件 社外会社システムからのファイル受領(SFTP)後、社内システムに転送 ー IPアドレスホワイトリスト形式 ACL ー ユーザーコントロール ー ファイルの安全性を担保(アンチウィルス対策) ー 24/365運用(冗長性/BCPの担保) 要は社外ファイル転送システムです。
システム構成 AsIs
システム構成 ToBe
JTCあるある?システム更改内容 既存踏襲でVMを とりあえずEC2化
紆余曲折… RHEL7→9のBsh マイグレ 各ソフトウェア・利用料未 見積 NetworkACL/SGのみでのACL 設定の煩雑さ&FW新規導入 1から考えた ほうが良い! Clusterよりマネージドサービスの
方が簡単に冗長性担保できる …
新 システム構成 ToBe
新 システム構成 ToBe Transfer Family SFTPとの組 み合わせACL 設計 APIGW+WAF+Lambda SFTPサーバ
Transfer Family SFTPを採用 内部ディスクは S3 or EFS 転送サーバは 30分に1回起動で良いので Lambdaを採用 アンチウイルス対策 ………
まずい。 AWS サーバレス アンチウィルスソフト事例 弊社まだ持ってない。
お願い(再) これを見ているみんな! S3 or EFS アンチウィルス対策 の知恵を貸してくれ
知恵はこちらまで ハッシュタグ #storagejaws #jawsug X@takano0131 へのリプライ・DM あと質問タイム上で お願いします! 聞きたいこと例)※その他アンチウイルス対策についての知見はどんなのでも! ・実装した/運用中S3・EBS アンチウイルス対策の内容 ・対策済ストレージのIO使用頻度 ・検知されたときどんな挙動になるのか
・実装で大変だったこと ・運用していて大変だったこと ※もしアンチウィルスソフト 営業いただける場合は 別途本名/社用メールアドレスで お問い合わせ折り返します!
Appendex 当日頂いた知見をご紹介します!
①Trend Micro Cloud One File Storage Security TrendMicro製品。 スキャン量に応じた重量課金型
対象サービスはS3 Standardのみ。リージョンに注意 https://cloudone.trendmicro.com/docs/file-storage-security/supported-aws/ コスト削減に役立つブログ https://aws.amazon.com/jp/blogs/psa/how-trend-micro-uses-amazon-s3-object-la mbda-to-help-keep-sensitive-data-secure/ お高そうですが製品サポートが欲しい JTCには一番有力候補!
②GuardDuty Malware Protection Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアク ティビティを検出するための 2 種類のスキャンを提供。 EFSをEC2にマウントして
GuardDutyスキャン対象に設定して、隔離した後は自前で別 途削除や処理する検討の必要あり。 EFSはファイル受け取りのための一時領域として使うだけなら、EFSをEC2でマウントし て、スキャン後ファイル転送するだけならスキャンに時間もかからなさそう https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html 弊社、SFTPサーバーは一時領域として使うだけなので、 すごくありがたいご意見です! ただ、GuardDutyはセキュリティ担当に設定を弄れないようにされて アカウント払いだされる JTCなので、使えないかも …
③ClamAV 正式名称はClam AntiVirus (クラム・アンチウイルス。略称 Clam AV) デーモン実行によるリアルタイムスキャンや局所的なディレクトリ、ファイルに対してのスキャンが可能。あ とはsendmailのメールフィルタリング拡張コンポーネント機能を持っているので、オンデマンドのスキャンも できる。 また、ZIPやtar、gzipといった圧縮ファイルや、
Microsoft Officeで作成されたファイルやPDFファイルもス キャンすることが出来る。 シグネチャ型(特定の文字情報のパターン)をベースにウイルスを発見できる。 Transfer Family 管理のワークフローを使ったブログ https://aws.amazon.com/jp/blogs/storage/detect-malware-threats-using-aws-transfer-family/ OSS採用できるかが鍵。個人的にはすごくやりたい!
④別途スキャン用の領域を作って任意のソフトを動かす EFSはLinuxでマウントしてLinux対応のアンチウィルスソリューション (スキャン用にパーティションを分けるのもよし) S3は、 Untrustバケット→Fargate(Clamav使う)→(ウィルスチェックが通ったら)Trustバケット 構成的にオンプレ脳でもシンプルで判りやすいので、 しっくり来ました!
沢山の知見を頂き、本当にありがとうございます! 来月からの案件なので引き続き頑張ります! 結果はひと段落したら報告させてください!