CloudOne File Storage Securityで複数S3バケット、別アカウントのS3バケット、別のクラウドサービスのストレージをチェックをする事はできますか?について

2023.03.28

こんにちは、コンサル部@大阪オフィスのTodaです。

CloudOne File Storage Security(C1FSS)はAmazon S3, Azure Blob, Google Cloud Storageに保管されているファイルをスキャンして不正なプログラム等が埋め込まれていないかチェックをする事が可能です。
今回、1つのCloudOneアカウントで複数バケット、別アカウントのバケット、別のクラウドサービスを同時にチェック出来るのかをご質問いただきましたのでご案内させていただきます。

質問の回答

C1FSSでは下記パターンを組み合わせて複数のバケット・ストレージをチェックすることが可能です。
下記図のように複数のクラウドサービスを横断してのチェックをする事も可能です。
このときC1FSSの利用料金はライセンスをサブスクライブをしているアカウントにまとまりますのでご注意ください。

  • AWSアカウント内の複数S3バケット
  • 別のAWSアカウント内の複数S3バケット
  • 別のクラウドサービスのストレージ

C1FSSをご利用いただけるパターン

File Storage Securityとは?

File Storage Securityはクラウドストレージにアップロードされたファイルをスキャンして不正なプログラム等が埋め込まれていないかチェックをする事が可能です。
ファイルはBIN,EXE,JPEG,MP4,PDF,TXT,ZIPなど幅広いファイルに対応しておりTrend Micro社のウィルス検知の技術により保護することが可能です。
導入は簡単で、C1FSSから生成されるスクリプトをマニュアル通りに導入する事でスキャンをすることが可能になります。

■ Trend Micro Cloud One File Storage Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-file-storage-security.html

フローとアーキテクチャーなど詳細は下記ページを参照ください。

複数のS3バケットをスキャンする場合

既に1点のS3バケットを保護している状態から、別のS3バケットを保護する場合の手順を試してみます。

Stack Managementに移動

CloudOneにログインをおこない、C1FSSのコンソールに移動します。
左メニューから[Stack Management]を選択して一覧を表示します。

Storage Stackのデプロイ

Scanner Stack一覧からスキャン対象のS3が保管されているAWSアカウントを選択します。
選択後、上部に表示される[Add Storage]をクリックします。

Storage Stackのデプロイ1

CloudFormationを利用してリソースを配置するリージョンを選択します。
選択後は[Launch Stack]をクリックしてAWSマネージメントコンソールに移動します。

Storage Stackのデプロイ2

CloudFormationの設定にてパラメータを設定します。
最低限、[S3BucketToScan]の項目にスキャン対象のS3バケットの名称を入力します。
その他設定項目につきましてはS3バケット設定やファイル保管のルールに合わせて調整をします。

■ Add a storage stack - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-aws/#AddStorage

Storage Stackのデプロイ3

設定後は画面を下までスクロールをおこない、IAM リソース作成の承諾をチェックして[スタックの作成]をクリックします。
スタックの状態がCREATE_COMPLETEになると出力タブに設定情報が表示されますので「StorageStackManagementRoleARN」の値をコピーします。

Storage Stackのデプロイ4

値を取得したらC1FSSの画面に戻り、取得したARNの情報をペーストして[Submit]をクリックします。

Storage Stackのデプロイ5

正常に追加を完了すると、Bucketリストに先ほど追加したS3が表示されます。

Storage Stackのデプロイ6

別アカウントのS3バケットをスキャンする場合

既に1点のS3バケットを保護している状態から、別AWSアカウントに存在するS3バケットを保護する場合の手順を試してみます。

Stack Managementに移動

CloudOneにログインをおこない、C1FSSのコンソールに移動します。
左メニューから[Stack Management]を選択して一覧を表示します。

Scanner Stack と Storage Stackのデプロイ

一覧上部の[+Deploy]をクリックしてメニューから[Scanner Stack and Storage Stack]をクリックします。

Scanner Stack と Storage Stackのデプロイ1

Scanner Stack と Storage Stackのデプロイ2

CloudFormationを利用してリソースを配置するリージョンを選択します。
選択後は[Launch Stack]をクリックしてAWSマネージメントコンソールに移動します。

Scanner Stack と Storage Stackのデプロイ3

CloudFormationの設定にてパラメータを設定します。
最低限、[S3BucketToScan]の項目にスキャン対象のS3バケットの名称を入力します。
その他設定項目につきましてはS3バケット設定やファイル保管のルールに合わせて調整をします。

■ Add an all-in-one stack - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-aws/#AddAIO

設定後は画面を下までスクロールをおこない、IAM リソース作成の承諾をチェックして[スタックの作成]をクリックします。
スタックの状態がCREATE_COMPLETEになると出力タブに設定情報が表示されますので「ScannerStackManagementRoleARN」と「StorageStackManagementRoleARN」の値をコピーします。
※スタックは3つ作成されますので「All-in-one-TM-FileStorageSecurity」を選択いただき出力タブからARNの情報を取得ください。

Scanner Stack と Storage Stackのデプロイ4

値を取得したらC1FSSの画面に戻り、取得したARNの情報をペーストして[Submit]をクリックします。

Scanner Stack と Storage Stackのデプロイ5

正常に追加を完了すると、Scanner StackリストにAWSアカウントとBucketリストに追加をしたS3バケットが表示されます。

Scanner Stack と Storage Stackのデプロイ6

別のクラウドサービスのストレージをスキャンする場合

別のクラウドサービスのストレージを登録する場合はStack Managementに表示される「Azure」または「GCP」のタブから上記と同じように設定を行います。
各設定方法はユーザガイドを参照頂き、設定をお試しください。

■ Add Azure stacks - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-azure/

■ Add GCP stacks - User guides
https://cloudone.trendmicro.com/docs/file-storage-security/stack-add-gcp/

さいごに

今回はCloudOne File Storage Securityで複数S3バケット、別アカウントのS3バケット、別のクラウドサービスのストレージをチェックをする事はできますか?というご質問に対してご案内をさせていただきました。
少しでもお客様の作りたい物の参考になればと考えております。