Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Storage Gatewayで始めるセキュアなデータ連携 / Secure data...

Avatar for Yuji Oshima Yuji Oshima
June 05, 2024
Technology
2
560

AWS Storage Gatewayで始めるセキュアなデータ連携 / Secure data linkage with AWS Storage Gateway

「Storage-JAWS #4 Storage LT祭り」で発表した資料
https://storage-jaws.connpass.com/event/319243/
Avatar for Yuji Oshima

Yuji Oshima

June 05, 2024
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
Avatar for Yuji Oshima yuj1osm
2
500
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
Avatar for Yuji Oshima yuj1osm
2
190
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り / Check the Answers to re:Invent 2024 Update Predictions and Review CloudWatch Updates
Avatar for Yuji Oshima yuj1osm
0
91
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
Avatar for Yuji Oshima yuj1osm
0
410
re:Invent をおうちで楽しんでみた ~CloudWatch のオブザーバビリティ機能がスゴい!/ Enjoyed AWS re:Invent from Home and CloudWatch Observability Feature is Amazing!
Avatar for Yuji Oshima yuj1osm
0
190
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
Avatar for Yuji Oshima yuj1osm
2
350
Google Cloud 全冠になってみた ~AI時代を生き残るための自己研鑽 ~/Obtained all Google Cloud Certifications Self-Improvement to Survive in the AI ​​Era
Avatar for Yuji Oshima yuj1osm
1
180
生成AI時代のセキュリティはAWSでどう進化する? ~AWSセキュリティの3つのポイントからアップデートを予測する~ / How will Security Evolve on AWS in the Era of Generative AI and Predicting Updates from 3 Points of AWS Security
Avatar for Yuji Oshima yuj1osm
0
170
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
Avatar for Yuji Oshima yuj1osm
1
1.3k

Other Decks in Technology

See All in Technology
GitHub Coding Agent 概要
Avatar for KAMEGAWA Kazushi kkamegawa
1
1.5k
ソフトウェアは捨てやすく作ろう/Let's make software easy to discard
Avatar for Genki Sano sanogemaru
10
5.7k
ソフトウェアテストのAI活用_ver1.10
Avatar for fumisuke fumisuke
0
220
Zero Data Loss Autonomous Recovery Service サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
2
7.2k
What's Next in OpenShift Q2 CY2025
Avatar for Red Hat Livestreaming redhatlivestreaming
1
720
RDRA3.0を知ろう
Avatar for 神崎 kanzaki
2
430
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
2.6k
Devin&Cursor、それぞれの「本質」から導く最適ユースケース戦略
Avatar for empitsu empitsu
8
2.3k
Streamline Cloud-Native App Development Using CDEs
Avatar for Saeed Zarinfam saeedzf
0
760
toittaにOpenTelemetryを導入した話 / Mackerel APM リリースパーティ
Avatar for cohalz cohalz
1
490
Contract One Dev Group 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
6k
AIに実況させる / AI Streamer
Avatar for motemen motemen
3
1.4k

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
32
5.8k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
94
13k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.8k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
23
1.6k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
30
2.1k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k

Transcript

  1. AWS Storage Gatewayで始めるセキュアなデータ連携 大島 悠司 Storage-JAWS #4 Storage LT祭り

  2. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア

    / ニューリジェンセキュリティ • SREグループマネージャー • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022-2023 Japan AWS All Certifications Engineers • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 • JAWU-UG横浜支部 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2

  3. 背景 ◼ 運用中のサービスで利用している膨大なデータを、他サービスで処理するために連携する要件あり 3 うちは OCI (Oracle Cloud Infrastructure) を使ってます

    データを連携できるようにするので要件を教えてください OCI に Windows Server が載ってます SMB (Server Message Block) で連携したいです

  4. 要件整理 ◼ やりたいこと • OCI 上の Windows Server から S3

    に SMB 接続ができること • Windows Server から S3 のオブジェクトを読み書きできること 4 AWS OCI OCI Compute SMB(445)

  5. AWS Storage Gatewayを利用 ◼ AWS Storage Gateway とは • オンプレミス環境のデータとクラウドストレージの橋渡しをするサービス

    • 高い拡張性、データ転送時のSSL/TLS暗号化やロギングなどのセキュリティ機能 • 以下のタイプが利用可 • S3ファイルゲートウェイ :SMB/NFSプロトコルを使ったS3へのアクセスを提供 • テープゲートウェイ :物理テープの代替として仮想テープライブラリを提供 • ボリュームゲートウェイ :iSCSIベースのストレージボリュームを提供 • S3ファイルゲートウェイの料金 ① ゲートウェイのEC2 + EBS 利用料 ② ゲートウェイ利用料 :ゲートウェイからS3への書き込み 0.01 USD/GB(100 GB/アカウントまで無料) ③ S3データ転送量 :inは無料 ④ S3データ保存量 5 Storage Gateway S3 ② EC2 EBS ① ③ ④

  6. 検証してみた ◼ OCI の代わりに AWS を利用 ◼ S3 と EBS

    がファイル共有されており、EBS がアタッチされた EC2 に対して SMB アクセス ◼ アカウントB 側からは S3 に直接マウントしているように見える 6

  7. ◼ ゲートウェイを新規作成する 7 ゲートウェイセットアップ1 S3ファイルゲートウェイを選択 EC2を起動する 以下の文章に細かな要件が 書いてあるのでよく読むこと

  8. ゲートウェイセットアップ2 ◼ EC2インスタンスを起動 • インスタンスタイプ m5.xlarge 以上 • EBS は

    150 GiB 以上 • SMB の場合はセキュリティグループの インバウンドで TCP/445 を許可 8 セットアップ時だけ作業端末からの TCP/HTTP 許可が必要 これが無いとセットアップがエラーになる セットアップ後に TCP/HTTP のみ削除

  9. ゲートウェイセットアップ3 ◼ ゲートウェイに戻って作成を完了させる 9 成功するとこの画面に遷移し、 EBSがキャッシュとして認識される 失敗するとこの画面に遷移する セキュリティグループの設定ミスの可能性が高い 設定内容を確認し「次へ」を押下 OK

    NG

  10. ファイル共有セットアップ1 ◼ ファイル共有を新規作成する 10 エンドポイントのサービスがS3でない場合 エンドポイントのインバウンドで TCP/443を許可してない場合 共有するS3バケットを指定

  11. ファイル共有セットアップ2 ◼ SMBアクセスやキャッシュのTTLを設定 11 S3からはリアルタイム同期されない SMBのパスワードを設定

  12. ファイル共有セットアップ3 ◼ ファイル共有作成後にSMBアクセスのためのコマンドを控えておく 12 net use Z: ¥¥<test-storagegw-eip>¥test-storagegw-bucket /user:sgw-XXXXXXXX¥smbguest SMBアクセスのためのコマンド

  13. ドライブマウント確認 ◼ Windows Server から先ほど控えたコマンドを実行する 13 ファイル共有作成時に設定したパスワード入力 成功すると、「The command completed

    successfully.」 と表示される エクスプローラーを見ると、ZドライブにS3がマウントされている

  14. ファイル共有確認 ◼ Windows Server → S3 14 ◼ S3 →

    Windows Server リアルタイムに反映 ファイル共有作成時のTTLの 設定どおり、遅延して反映

  15. CloudWatch確認 ◼ 先ほどの「Windows Server → S3」のログ • ファイル作成と属性書き込みにより 「New Text

    Document.txt」 が作成される • その後ファイル名変更と属性書き込みで 「windows_to_s3.txt」 に変更される 15

  16. CloudWatchアラーム ◼ 以下のアラームが自動で作成される • CachePercentDirty :Storage Gateway から S3 へのアップロードできていない割合

    • FileSharesUnavailable :Storage Gateway で使用不可状態にあるファイル共有の数 • IoWaitPercent :Storage Gateway の I/O の割合 16

  17. 推奨監視項目 ◼ 以下のようなメトリクスを監視しておくとよい 17 メトリクス 概要 UserCpuPercent ゲートウェイのCPU利用率 MemUsedBytes MemTotalBytes

    ゲートウェイのメモリ利用量と合計量 RootDiskFreeBytes ゲートウェイのルートディスク空き容量数 NfsSessions ゲートウェイのアクティブなNFSセッションの数 SmbV1Sessions SmbV2Sessions SmbV3Sessions ゲートウェイのアクティブなSMBセッションの数 CachePercentUsed ゲートウェイのキャッシュストレージ利用率 FilesFailingUpload AWSへのアップロードに失敗したファイル数

  18. まとめ Storage Gatewayを活用するメリット ◼ オンプレミスとのハイブリッドクラウドや他クラウドとのマルチクラウドなストレージを構築 ◼ データをシームレスに連携 ◼ 暗号化やロギングの機能によりセキュリティとコンプライアンスを確保 ◼

    要件に応じて様々なゲートウェイタイプに対応 18