AWS JAPAN APN ブログ

オンプレミスデータの AWS 移行と Trend Micro Cloud One – File Storage Security を使用したマルウェアからの保護

本記事は、アマゾン ウェブ サービス (AWS) でパートナーソリューションアーキテクトを務める Harshil Shah とトレンドマイクロで AWS アライアンス / ソリューションアーキテクトを務める Justin Perkins による共著です。

Trend-Micro-AWS-Partners
Trend Micro
Connect with Trend Micro-1

多くの企業がオンプレミスのデータをクラウドに移行する必要があり、データの移行とセキュリティの確保のために、シンプルで、導入が簡単で、かつコスト効率の高いソリューションとして AWS を選択しています。

AWS を利用するお客様のユースケースには、以下が挙げられます。

  • 移行: あるお客様は、常に変動する大規模データセットを持っています。1 回限りの転送に使用できる自然な中断点や停止点はありません。
  • アップロードと処理: 他のお客様は、定期的に大規模なデータセットをオンプレミスで生成し、クラウドで処理をしています。メディアやエンターテインメント、石油、ガス、ライフサイエンスなどの業界のお客様が該当します。
  • セキュリティ: データはクラウド上で処理されますが、お客様はさらに、アップロードするデータにマルウェアやランサムウェアがないこと、ダウンストリームのワークフローで安全に使用できることを確認する必要があります。
  • バックアップと災害対策: 重要なオンプレミスのデータをクラウドにコピーして安全に保管し、事業継続性を確保するお客様もいらっしゃいます。

数十テラバイトから数百テラバイトのデータを 1 回だけ、あるいは定期的に転送することは日常的にあります。このような規模では、ネットワーク帯域を有効活用して高いスループットを実現することが不可欠であり、信頼性、セキュリティ、使いやすさも同様に重要です。

また、これらのデータを Amazon Simple Storage Service (Amazon S3) に移行することで、S3 の高耐久性ストレージを基盤にした様々なワークフローを構築し、データを活用できます。

企業は、Amazon S3 を利用して、データレイクの構築、クラウドネイティブアプリケーションの実行、重要なデータのバックアップと復元、データのアーカイブを低コストで実現しています。この機能により、S3 は多くのクラウドコンピューティングワークロードの基盤となっています。しかし、お客様にとっては、組織のフットプリントに対する潜在的なリスクを回避するために、ワークロードがいかなる形でも感染データを保有しておらず、マルウェアやランサムウェアがないことを検証することも同様に重要です。

本記事では、AWS DataSync を使用して、オンプレミスのネットワークファイルシステム (NFS) から Amazon S3 へ安全にデータを移行する方法を説明します。また、Trend Micro Cloud One – File Storage Security を導入することで、マルウェアスキャンを実行したり、PCI-DSS や HIPAA などのコンプライアンスニーズに対応したりする方法も紹介します。

トレンドマイクロは、AWS セキュリティコンピテンシーパートナー、およびサイバーセキュリティのグローバルリーダーとして、デジタル情報を安全にやり取りできる世界の実現に貢献しています。Trend Micro Cloud One は、AWS Marketplace から利用できます。

マルウェア、ランサムウェアとは?

マルウェアとは、悪意のあるソフトウェアやファイルのことで、実行されると、以下のような様々な害を及ぼします:

  • システムをロックする、使用不能にする。
  • データを盗む、削除する、暗号化する。
  • お客様のデバイスを制御し、他の組織を攻撃する。
  • お客様が使用する企業内システムやサービスへのアクセスを許可する認証情報を取得する。
  • 暗号通貨をマイニングする。
  • 同じ大きなファイルを複数のリージョンに複製する、新しい AWS リソースをスピンアップするなど、コストがかかる可能性のあるサービスを使用する。

ランサムウェアは、ストレージ (またはストレージに保存されているデータ) にアクセスできなくするマルウェアの一種です。ストレージ自体がロックされたり、ストレージ上のデータが盗まれたり、削除されたり、暗号化されたりする可能性があります。ランサムウェアの中には、インフラストラクチャ内の他のサービスに拡散しようとするものもあります。

このようなランサムウェアの感染から企業を守るためには、移行計画を設計する際に、最初からワークフローをモダナイズできるようなソリューションを構築することが必要です。クラウドにアップロードされたファイルが AWS 内の他のサービスで利用される前に感染することがないようにするには、Trend Micro Cloud One – File Storage Security のような既存の独立系ソフトウェアベンダー (ISV) 製品を利用できます。

AWS MAP プログラムの活用

AWS は、AWS のプロフェッショナルサービスやグローバルパートナーエコシステムからのナレッジを活用して、お客様のコスト削減、ワークロードの自動化、実行の高速化を支援するツールと AWS 移行経験を集約したものとして、Migration Acceleration Program (MAP) を提供しています。

MAP は、組織がデータ、アプリケーション、その他のプロセスを AWS クラウドに移行するための最適なアプローチ方法を支援できるように設計された 3 段階の移行プロセスを使用します:

  • 評価 (Assess): クラウドで運用するための組織の現在の準備状況を評価します。組織は、ビジネス上の成果と移行のユースケースを特定する必要があります。
  • 移行準備 (Mobilize): 移行計画を定義し、最初の評価フェーズで発見された準備のギャップを特定します。
  • 移行とモダナイゼーション (Migrate and modernize): 移行を設計、実行、検証します。
Trend-Micro-NFS-DataSync-1

図 1 – AWS MAP プログラムのフェーズ

ビジネス課題の評価

データセンターを所有し運用している企業が、ストレージのフットプリントを縮小し、リソースを解放することを決定したとします。データセンター内には NFS サーバーがあり、そのデータを AWS に移行することが決まっています。

また、NFS サーバー上のデータの中には、長い間利用されていないけれども、保持する必要があり、ダウンストリームのワークフローに影響を与えるマルウェアに感染していないことを確認する検証が必要なものもあります。同社は PCI-DSS コンプライアンスを遵守する必要があるため、クラウドストレージ内のデータの検証は必須です。

ソリューションの概要

Trend Micro Cloud One – File Storage Security (FSS) を使用すると、ウイルス、トロイの木馬、スパイウェア、ランサムウェアなど、様々な種類のマルウェアを検出できます。ユーザー、リソース、またはプログラムが指定されたクラウドストレージコンテナーにファイルをアップロードすると、FSS はファイルが自身の環境から出ることなくスキャンを実行します。これは、特定のデータレジデンシー要件を満たすのにも役立ちます。

Trend-Micro-NFS-DataSync-2

図 2 – AWS でファイルを移行して保護するために提案されたアーキテクチャのコンポーネント

イベントベースのスキャンアプローチを使用することで、オブジェクトが Amazon S3 バケットに送信されると、関数はスキャンを実行し、スキャン結果に応じて悪意のあるファイルまたはクリーンなファイルとしてタグを付けます。プラグインを接続して追加のアクションを実行することもできます。例えば、ファイルが悪意のあるものとしてタグ付けされるとすぐに、プラグインはタグ付けされたファイルを指定された隔離用バケットに移動します。

詳細は、Trend Micro Cloud One – File Storage Security Data Collection Notice を参照してください。

Trend-Micro-NFS-DataSync-3

図 3 – File Storage Security のワークフローダイアグラム

開始前に

本記事では、以下があることを前提としています:

  • ファイルの転送元となるソース NFS ファイルシステム
  • この移行ワークフローに必要となる 2 つの S3 バケット:
    • 最初のバケットは、転送またはアップロードされるファイル用です。これは、FSS が監視およびスキャンするバケットです。
    • 2 つ目は、File Storage Security プラグインを使用して、悪意があると判断されたオブジェクトを移動するための隔離用バケットです。
Trend-Micro-NFS-DataSync-4

図 4 – ソリューションの概要に従って作成した 2 つのバケットを示す Amazon S3 コンソールビュー

移行とモダナイゼーション

ステップ 1: File Storage Security のデプロイ

File Storage Security のデプロイは、AWS CloudFormation テンプレートを使用し、以下をデプロイすることで簡素化できます:

  • Storage スタック: これは、S3 バケットの通知を受け入れ、セキュリティスキャンのために新しくアップロードされたファイルを Scanner スタックに送信する役割を果たします。 スキャンが完了すると、Amazon Simple Notification Service (SNS) メッセージが発行され、ファイルは「malicious (悪意あり)」または「clean (クリーン)」としてタグ付けされます。
  • Scanner スタック: これは、スキャンを実行し、結果を SNS の「Scan Result」トピックに送信する役割を果たします。Scanner スタックが Storage スタックからリクエストを受け取ると、それを処理し、AWS Lambda 関数を使用してスキャンを実行します。多くのトレンドマイクロテクノロジーと同様に、FSS は Trend Micro Smart Protection Network を利用して最新の脅威情報を取得できます。
Trend-Micro-NFS-DataSync-5

図 5 – File Storage Security 内で使用される AWS サービスの内部アーキテクチャ

スタックには、監視およびスキャンする予定の S3 バケットの名前などの情報が少なくとも一つは必要です。ソリューションが正常にデプロイされると、FSS コンソールで保護されたバケットを表示できます。

Trend-Micro-NFS-DataSync-6.1

図 6 – Trend Micro Cloud One の File Storage Security コンソールビュー

File Storage Security の機能を拡張するために、post-scan action quarantine プラグインをデプロイできます。CloudFormation テンプレートは、AWS Serverless Application Repository からデプロイできます。この追加機能には、以下のパラメーターが必要です:

  • ScanningBucketName
  • ScanResultTopicARN
  • オプション: PromoteBucketName
  • オプション: QuarantineBucketName
Trend-Micro-NFS-DataSync-7

図 7 – スキャン後のアクションの値を定義する AWS Lambda コンソールビュー

ステップ 2: AWS DataSync の構成

AWS DataSync は、オンプレミスストレージシステムとクラウド間のデータ移動の自動化を簡素化するデータ転送サービスです。DataSync は、独自のインスタンスの実行、暗号化の処理、スクリプトの管理、ネットワークの最適化、データの整合性検証といった、移行を遅らせて IT 運用に負担をかけるデータ転送に関する多くのタスクを自動的に処理します。

DataSync エージェントのデプロイ

DataSync がマネージドストレージにアクセスするためには、エージェントが AWS アカウントに関連付けられている必要があります。エージェントイメージは、オンプレミスの VMware ESXi、Linux Kernel-based Virtual Machine (KVM)、または Microsoft Hyper-V ハイパーバイザーにダウンロードし、展開することが可能です。

Trend-Micro-NFS-DataSync-8

図 8 – 実行中のエージェントのステータスを監視する AWS DataSync コンソールビュー

ソース (NFS) と宛先 (S3) のロケーションの作成

DataSync タスクを実行するには、2 つのロケーションを構成する必要があります。ソースのロケーションは、データを読み込むストレージシステムまたはサービスを定義します。今回の場合、NFS サーバーがソースになります。宛先のロケーションは、データを書き込むストレージシステムまたはサービスを定義します。今回の場合、S3 が宛先のロケーションとなります。

Trend-Micro-NFS-DataSync-9

図 9 – ソースと宛先のロケーションを一覧表示する AWS DataSync コンソールビュー

転送タスクの作成と実行

エージェントを作成して設定し、ソースと宛先の両方のロケーションを定義したら、新しいタスクの設定ができます。タスクは、2 つのロケーション (ソースと宛先) と、タスクの動作を制御するために使用するオプションのセットです。

作成後にタスクを実行すると、転送が開始されます。注意点としては、AWS Lambda サービスには同時実行可能な総数が 1,000 というデフォルト設定があり、File Storage Security の ScannerLambda 関数もこの設定に従います。同時スキャン可能なファイル数の詳細は、FSS のドキュメントを参照してください。

Trend-Micro-NFS-DataSync-10

図 10 – 転送タスクの詳細を管理および確認するための AWS DataSync コンソールビュー

ステップ 3: 移行の検証

File Storage Security コンソールから、FSS でスキャンされたすべてのファイルを簡単に監視し、検証することができます。このコンソールビューでは、分単位、時間単位、あるいは日付範囲を指定した特定の期間に基づいてフィルタリングし、悪意のあるファイルとしてタグ付けされたファイルと、エラーが発生したファイルのスキャンを色分けしたグラフ表示で識別することもできます。

Trend-Micro-NFS-DataSync-11

図 11 – スキャン結果からキャプチャされたイベントを表示する File Storage Security コンソールビュー

結論

最小限の作業で明晰かつ安全にデータを AWS に移行する方法を理解することは、最初は難しそうに見えるかもしれません。しかし、AWS Migration Acceleration Program (MAP) を活用して、上記セクションで説明したソリューションの概念実証 (PoC) のコストをカバーすることで簡単に実現できます。このプログラムは、組織がビジネス目標を達成するのに役立ち、アプリケーションデータの移行、データのアーカイブ、あるいは AWS 上でのデータレイクの構築にも利用できます。

AWS クラウドへの移行時のコンプライアンスニーズとデータセキュリティは、マルウェアスキャン用の Trend Micro Cloud One – File Storage Security を使用することで簡単に実現できます。

File Storage Security に関する詳細な情報は、こちらのサイトでご確認ください。詳細な手順については、こちらのワークショップ (英語) を参照してください。このワークショップは、独自の AWS 環境でこのソリューションをテストするのに役立ちます。

.
Trend-Micro-APN-Blog-Connect-2
.

トレンドマイクロ – AWS パートナースポットライト

トレンドマイクロは、AWS セキュリティコンピテンシーパートナー、およびサイバーセキュリティのグローバルリーダーとして、デジタル情報を安全にやり取りできる世界の実現に貢献しています。

トレンドマイクロの問い合わせ先 | パートナーの概要 | AWS Marketplace

翻訳は、トレンドマイクロ株式会社で Trend Micro Cloud One プロダクトマネージャーを務める小島 華佳氏、シニアエンジニア File Storage Security 担当を務める根本 恵理子氏と、アマゾン ウェブ サービス ジャパン合同会社で Partner SA を務める河原が協力して行いました。原文はこちらです。