AWS Storage Gateway が、File Gateway 監査ログを追加



顧客がクラウドサービスの使用を拡大するにつれて、多くの場合、セキュリティとコンプライアンスのプロセスを既存のエンタープライズ要件に合わせる必要があります。オンプレミスストレージとクラウドストレージの両方を含むハイブリッドクラウドストレージ環境では、顧客がデータに関連するユーザーアクティビティをモニタリングするのが困難な場合があります。これは、特にデータがオンプレミスのデータセンターからクラウドに移動する場合に当てはまります。多くのお客様の場合、必ずオンプレミスのままでアプリケーションをサポートするためのハイブリッドストレージ要件があるので、File Gateway は無制限のクラウドストレージへのオンプレミスアクセスを提供します。

File Gateway は、オンプレミスアプリケーションに、標準の SMB および NFS ストレージプロトコルを使用して、クラウドストレージへのファイルベースのキャッシュアクセスを事実上無制限で提供します。File Gateway は、Amazon Simple Storage Service (Amazon S3) オブジェクトストレージへのファイルプロトコルアクセスを必要とするオンプレミスおよび Amazon EC2 ベースのアプリケーションで使用できます。本日、AWS Storage Gateway が File Gateway を使用するときに SMB ファイル共有のファイルとフォルダに関するエンドユーザーの操作ログを記録できるようになったと発表しました。このブログ投稿では、File Gateway 監査ログがモニタリングとコンプライアンスにどのように役立つか、および監査ログがユーザーアクセスの洞察を得るためにどのように役立つかについて説明します。さらに、File Gateway 監査ログがトラブルシューティングにどのように役立つかを、ログが提供する追加情報とともに説明し、監査ログの設定方法についても説明します。

概要

ファイル共有内のファイルやフォルダへのユーザーアクセスログは、組織の内部セキュリティポリシーにおいて重要な部分です。さらに、金融サービス、ヘルスケアおよびライフサイエンス、政府、その他多くの業界に存在するコンプライアンス基準を満たす必要があります。クラウドへのデータ移行を開始するとき、データの移動と、クラウドストレージからのファイルとフォルダへのアクセスに関連するユーザーアクティビティをモニタリングしなければならない場合があります。データを保護するだけでなく、所有権を証明し、特定のデータにアクセスしたユーザーを追跡し、監査人にレポートを提供する必要があります。

File Gateway を使用すると、SMB ファイル共有内のファイルおよびフォルダへのユーザーアクセスに関する詳細をログに記録できます。これにより、ユーザーアクティビティをモニタリングし、不適切なアクティビティが特定された場合に対処できます。File Gateway の監査ログは、次の 3 つの領域で利点があります。

• コンプライアンスとモニタリング
• ユーザーアクセスパターンの洞察
• SMB クライアントと File Gateway 間の問題のトラブルシューティング

コンプライアンスとモニタリング

多くの組織は、セキュリティを改善し、統制の一貫性を確保し、リスクを軽減するために順守するべき政府規制や業界要件の影響を受けています。したがって、組織はデータをログに記録して定期的に分析する必要があります。そうすることで、脅威を防御し、PCI、ISO27001、サーベンスオクスリー法、一般データ保護規則 (GDPR)、および医療保険の携行と責任に関する法律 (HIPAA) への準拠を可能にします。

File Gateway 監査ログを使用すると、ファイルおよびフォルダの SMB ユーザー操作がログに記録され、Amazon CloudWatch Logs に公開されます。ファイルおよびフォルダに関してログに記録される操作には、オープン、削除、読み取り、書き込み、名前変更、およびアクセス許可の変更があります。タイムスタンプ、Active Directory ドメイン、ユーザー名、クライアント IP アドレスなど、各操作のユーザー情報もログに記録されます。さらに、監査ログは、Amazon CloudWatch または Amazon S3 からサードパーティーのセキュリティ情報およびイベント管理 (SIEM) アプリケーションにエクスポートできます。

次は、「ファイルを作成」ログエントリの例です。

{
    "sourceAddress": "XXX.XXX.XXX.XXX",
    "accountDomain": "EC2",
    "accountName": "Admin",
    "groupId": "XXXXX",
    "source": "share-XXXXXXXX",
    "type": "FileSystemAudit",
    "ownerId": "XXXXX",
    "accessMode": "0777",
    "mtime": "1584903101747582202",
    "version": "1.0",
    "objectType": "File",
    "bucket": "s3-bucket-1",
    "objectName": "/topfolder/tests/iteration-1/integtest.01",
    "ctime": "1584903101747582202",
    "fileSizeInBytes": "0",
    "shareName": "my-fileshare-name",
    "operation": "Create",
    "gateway": "sgw-XXXXXXXX",
    "timestamp": "1584903101751",
    "status": "Success"
}

ユーザーアクセスに関する洞察を得る

File Gateway 監査ログの詳細を把握するには、CloudWatch Logs Insights、Amazon Athena、Amazon Elasticsearch Service、または任意の SIEM アプリケーションを使用して、ログ情報を確認および分析できます。CloudWatch Logs Insights を使用すると、ログデータをインタラクティブに検索および分析できます。さらに、クエリを実行し、クエリ結果を視覚化して、パターンと使用傾向を特定できます。これらのクエリは、CloudWatch ダッシュボードにオプションで追加できます。CloudWatch ダッシュボードには、開始するためのサンプルクエリのセットが豊富に含まれています。

たとえば、監査ログを使用して、ユーザーおよびユーザーグループの使用パターンを識別できます。特定のユーザーまたはユーザーグループの使用状況を特定することによってバッチジョブのスケジュールを最適化しようとしている場合は、非ピーク期間と一致するようにバッチジョブを計画およびスケジュールできます。これにより、バッチジョブは、ユーザーへの影響が最も少ない時間枠でのみ実行されるようにスケジュールされます。

IT 管理者は、バッチジョブの計画と最適化に加えて、CloudWatch クエリと視覚化を使用して、次に関する洞察を得ることができます。

• SMB ファイル共有で最もアクティブなユーザーを特定する
• アプリケーションユーザーグループのワークロード使用パターンを特定する
• SMB ファイル共有で最もアクティブになる時期やアクセス時期を特定する
• オブジェクト名に基づいて保存されているデータファイルのタイプを見つける
• ファイル操作ログのエントリに基づいてエラーの傾向を理解する
• SMB ファイル共有にアクセスする IP アドレスやサブネットを特定して、ネットワークの計画とレイアウトを最適化する

トラブルシューティング

ファイルアクセスの問題を追跡するのは、手間と時間がかかる場合があります。File Gateway 監査ログは、環境問題をトラブルシューティングするときに使用できる別のツールを提供します。例として、ファイル共有にアクセスしている IP アドレスとアプリケーションを特定できないシナリオをご想像ください。この問題を解決するために、特定のログエントリで IP アドレスとユーザー名を確認できるようになりました。 失敗したファイルシステムのリクエストは、次の条件に当てはまる場合にログに記録されます。

• キャッシュディスクがいっぱいの場合、データをゲートウェイに書き込めない
• アクセスされているファイルまたはフォルダがゲートウェイに存在しない

この情報は、これらのシナリオでのトラブルシューティングに使用できます。

IT 管理者は、CloudWatch アラームを予防的に設定して、フィルタリングされた特定のログイベントの通知を生成できます。管理者はこれらのイベントを定義して、指定された期間内のファイルまたはフォルダを削除しすぎた場合のしきい値など、過度のタイプのファイルアクセス操作を可視化できます。1 つ以上のメトリックフィルターを作成することにより、監査ログデータを検索およびフィルタリングできます。メトリックフィルターは、CloudWatch Logs に送信されるときに監査ログデータで検索する用語とパターンを定義します。CloudWatch Logs はこれらのメトリックフィルターを使用して、ログデータを数値化した CloudWatch メトリックに変換し、グラフ化したり、アラームを設定したりできます。これらのメトリックを表示したり、アラームを設定したりするときは、パーセンタイル統計を含む、あらゆるタイプの CloudWatch 統計を使用できます。

File Gateway 監査ログの設定

開始するには、AWS マネジメントコンソールに移動し、Storage Gateway を選択します。既存のファイル共有で、または新しいファイル共有を作成するときに、File Gateway 監査ログを有効にできます。

次は、既存のファイル共有の File Gateway 監査ログを有効にする手順のスクリーンショットです。

監査ログを有効にすると、ファイル共有の詳細タブに次の内容が表示されます。

段階ごとの説明については、AWS Storage Gateway ユーザーガイドをご覧ください。File Gateway 監査ログは、AWS Storage Gateway が利用可能なすべてのリージョンで有効にできます。CloudWatch 管理コンソールから File Gateway 監査ログを表示できます。

監査ログデータは、不正なアクセスや改ざんから保護しなければならないことにご注意ください。システムアカウントとネットワークアカウントを管理するユーザーと、監査ログにアクセスできるユーザーの間で、職務を適切に分離する必要があります。これにより、ログの変更、アカウントの作成または削除、その他の悪意のある活動が発生しないように防ぐことができます。

File Gateway 監査ログを設定すると、Amazon CloudWatch Logs、Amazon CloudWatch Events、Amazon CloudWatch Metrics の標準料金も請求されます。詳細については、Amazon CloudWatch 料金表ページをご覧ください。

まとめ

このブログ投稿では、監査ログを使用して内部セキュリティポリシーを満たし、法令遵守の要件を満たす方法について説明しました。また、利用可能なすべての追加情報を考慮して、環境内の問題をトラブルシューティングするときに監査ログがどのように役立つかについても説明しました。さらに、File Gateway 監査ログをすばやく設定して、SMB ファイル共有のファイルとフォルダのアクティビティに関する監査証跡と洞察を提供する方法についても説明しました。

File Gateway 監査ログは、企業のセキュリティとコンプライアンス機能を追加することにより、AWS Storage Gateway がお客様の AWS ストレージサービスへの移行をサポートする方法に関するもう 1 つの例です。監査ログは、お客様がコンプライアンスとセキュリティのインフラストラクチャを強化し、安心感を高め、データ (特に転送中のデータ) のモニタリングに伴う課題を軽減するのに役立ちます。モニタリングとコンプライアンスの簡素化により、顧客はビジネスの他のコア領域に専念できるため、顧客の時間を節約し、ストレスを軽減できます。File Gateway 監査ログの詳細と使用方法については、次のリンクをご確認ください。

• AWS Storage Gateway を開始する
• File Gateway のモニタリング
• CloudWatch Logs Insights を使用したログデータの分析

File Gateway 監査ログについてお読みいただき、ありがとうございます。ご質問がある場合は、以下のコメント欄にご記入ください。