この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、コンサル部@大阪オフィスのTodaです。
CloudOne File Storage Security(C1FSS)はAmazon S3, Azure Blob, Google Cloud Storageに保管されているファイルをスキャンして不正なプログラム等が埋め込まれていないかチェックをする事が可能です。
今回、1つのCloudOneアカウントで複数バケット、別アカウントのバケット、別のクラウドサービスを同時にチェック出来るのかをご質問いただきましたのでご案内させていただきます。
質問の回答
C1FSSでは下記パターンを組み合わせて複数のバケット・ストレージをチェックすることが可能です。
下記図のように複数のクラウドサービスを横断してのチェックをする事も可能です。
このときC1FSSの利用料金はライセンスをサブスクライブをしているアカウントにまとまりますのでご注意ください。
- AWSアカウント内の複数S3バケット
- 別のAWSアカウント内の複数S3バケット
- 別のクラウドサービスのストレージ
File Storage Securityとは?
File Storage Securityはクラウドストレージにアップロードされたファイルをスキャンして不正なプログラム等が埋め込まれていないかチェックをする事が可能です。
ファイルはBIN,EXE,JPEG,MP4,PDF,TXT,ZIPなど幅広いファイルに対応しておりTrend Micro社のウィルス検知の技術により保護することが可能です。
導入は簡単で、C1FSSから生成されるスクリプトをマニュアル通りに導入する事でスキャンをすることが可能になります。
■ Trend Micro Cloud One File Storage Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-file-storage-security.html
フローとアーキテクチャーなど詳細は下記ページを参照ください。
複数のS3バケットをスキャンする場合
既に1点のS3バケットを保護している状態から、別のS3バケットを保護する場合の手順を試してみます。
Stack Managementに移動
CloudOneにログインをおこない、C1FSSのコンソールに移動します。
左メニューから[Stack Management]を選択して一覧を表示します。
Storage Stackのデプロイ
Scanner Stack一覧からスキャン対象のS3が保管されているAWSアカウントを選択します。
選択後、上部に表示される[Add Storage]をクリックします。
CloudFormationを利用してリソースを配置するリージョンを選択します。
選択後は[Launch Stack]をクリックしてAWSマネージメントコンソールに移動します。
CloudFormationの設定にてパラメータを設定します。
最低限、[S3BucketToScan]の項目にスキャン対象のS3バケットの名称を入力します。
その他設定項目につきましてはS3バケット設定やファイル保管のルールに合わせて調整をします。
■ Add a storage stack - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-aws/#AddStorage
設定後は画面を下までスクロールをおこない、IAM リソース作成の承諾をチェックして[スタックの作成]をクリックします。
スタックの状態がCREATE_COMPLETEになると出力タブに設定情報が表示されますので「StorageStackManagementRoleARN」の値をコピーします。
値を取得したらC1FSSの画面に戻り、取得したARNの情報をペーストして[Submit]をクリックします。
正常に追加を完了すると、Bucketリストに先ほど追加したS3が表示されます。
別アカウントのS3バケットをスキャンする場合
既に1点のS3バケットを保護している状態から、別AWSアカウントに存在するS3バケットを保護する場合の手順を試してみます。
Stack Managementに移動
CloudOneにログインをおこない、C1FSSのコンソールに移動します。
左メニューから[Stack Management]を選択して一覧を表示します。
Scanner Stack と Storage Stackのデプロイ
一覧上部の[+Deploy]をクリックしてメニューから[Scanner Stack and Storage Stack]をクリックします。
CloudFormationを利用してリソースを配置するリージョンを選択します。
選択後は[Launch Stack]をクリックしてAWSマネージメントコンソールに移動します。
CloudFormationの設定にてパラメータを設定します。
最低限、[S3BucketToScan]の項目にスキャン対象のS3バケットの名称を入力します。
その他設定項目につきましてはS3バケット設定やファイル保管のルールに合わせて調整をします。
■ Add an all-in-one stack - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-aws/#AddAIO
設定後は画面を下までスクロールをおこない、IAM リソース作成の承諾をチェックして[スタックの作成]をクリックします。
スタックの状態がCREATE_COMPLETEになると出力タブに設定情報が表示されますので「ScannerStackManagementRoleARN」と「StorageStackManagementRoleARN」の値をコピーします。
※スタックは3つ作成されますので「All-in-one-TM-FileStorageSecurity」を選択いただき出力タブからARNの情報を取得ください。
値を取得したらC1FSSの画面に戻り、取得したARNの情報をペーストして[Submit]をクリックします。
正常に追加を完了すると、Scanner StackリストにAWSアカウントとBucketリストに追加をしたS3バケットが表示されます。
別のクラウドサービスのストレージをスキャンする場合
別のクラウドサービスのストレージを登録する場合はStack Managementに表示される「Azure」または「GCP」のタブから上記と同じように設定を行います。
各設定方法はユーザガイドを参照頂き、設定をお試しください。
■ Add Azure stacks - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-azure/
■ Add GCP stacks - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-gcp/
さいごに
今回はCloudOne File Storage Securityで複数S3バケット、別アカウントのS3バケット、別のクラウドサービスのストレージをチェックをする事はできますか?というご質問に対してご案内をさせていただきました。
少しでもお客様の作りたい物の参考になればと考えております。
1
