S3 バケット内の不審なファイルは Barracuda CSG に隔離してもらおう

この記事を書いたメンバー:

那須 隆

S3 バケット内の不審なファイルは Barracuda CSG に隔離してもらおう

目次

もうすぐ花粉症の季節ですね…那須です。
これまで、セキュリティ向上の記事を 2 つ書きました。

https://www.beex-inc.com/blog/security-using-dome9/

https://www.beex-inc.com/blog/security-using-prisma-cloud

Dome9 は主にセキュリティルールの遵守をサポートしたり、SG や IAM ユーザを知らないうちに変更されることを防いだりしてくれるサービスでした。
そして Prisma Cloud は主に様々な環境の脆弱性を定期的にチェックしてくれるサービスでした。
今回は Barracuda Cloud Security Guardian (以降 CSG) を紹介します。

何ができるのか?

実際に触ってみて特筆すべき内容は以下の 2 つかなと思います。
・コンプライアンス遵守支援
・S3 バケット内の不審なファイルのアクセス拒否
上記を中心に、どのように使えばいいのかを簡単にご紹介します。

セキュリティ基準に基づくチェック

ポリシーという形でセキュリティ基準が提供されています。
PCI-DSS, HIPAA, CIS Foundations, NIST等、多くのポリシーが提供されています。
また、ユーザが独自のポリシーを作成することもできるので、各組織のセキュリティ運用の形に沿って日々のチェックを行うことができますね。それぞれのポリシーには、それを修復するための情報や自動修復のための仕組みが含まれています。
一部のポリシーに自動修復機能がついていて、ポリシー違反を検知すると自動的に修復するようにすることができますので、気づかないうちにセキュリティルールを守らない設定がされてもすぐに元に戻すことができます。チェックした結果はアラート画面で管理していくことになります。

S3 バケット内の不審なオブジェクトのアクセス拒否

皆さん、S3 の中に様々なファイルを保存したり公開したりしていると思いますが、そのファイルは間違いなくそこに置いても問題ないファイルなのでしょうか?
知らないうちにウイルス等が含まれたファイルが置かれていたとしたら…
そのファイルがユーザの元に渡ってしまったら…
もう想像するだけで大変なことになりますよね?
CSG は S3 の中の不審なオブジェクトを見つけて、それにアクセスできないようにする機能があります。
実際に見てみましょう。
まずはどの S3 バケットを対象にするのかを設定します。
設定はこれだけです。ものすごく簡単ですね。次に絶対に検知される何やらヤバそうなオブジェクトを対象の S3 バケットにアップロードします。しばらくするとレポート画面で不審なオブジェクトがあったことを知らせてくれました!このオブジェクトをダウンロードしようとすると、Access Denied で拒否されてしまいました。
うっかりこの怪しいファイルをばら撒くことは防げましたね。

まとめ

CSG を使うことでどのようにして S3 バケットから不審なオブジェクトを公開することを防げるかをご紹介しました。
S3 バケットの中にあるオブジェクトって意外と注意深く見ていない方も多いと思いますが、バケットポリシーや IAM ポリシーの不備で悪意ある誰かに悪意あるファイルをアップロードされる危険は 0 ではありません。
そのアップロードされたものがさらに公開されて不特定多数の方にダウンロードされたとしたらもう大変です。
セキュリティ施策と一言で言っても、入り口で侵入を防いだりルールに合わない設定を修復するだけでなく、それらを突破されて何か危険なファイルを仕込まれた場合の対策も必要だと思いますので、様々な側面から考えることが大切ですね。
まだリリースされて間もないそうですが、Barracuda Cloud Security Guardian が気になった方はぜひ使ってみてください。
もし聞きたいことがあればお気軽に弊社にお問い合わせくださいませ。

カテゴリー
タグ

SAPシステムや基幹システムのクラウド移行・構築・保守、
DXに関して
お気軽にご相談ください

03-6260-6240 (受付時間 平日9:30〜18:00)