ここでは、 File Storage Securityのさまざまなアーキテクチャと設定オプションについて説明します。これらは、独自のカスタム配置を開発するための踏み台として使用できるオプションを提供するためのものです。
アーキテクチャのオプション
オールインワン配置(推奨)
この迅速な導入モデルにより、クラウドストレージコンテナを5分以内で保護できます。
All-in-one Stack は、Scanner Stack と Storage Stack の両方を同じクラウドアカウントとリージョンの各クラウドストレージに配信します。Storage
Stack はクラウドストレージコンテナを監視し、新しいファイルがアップロードされると Scanner Stack に通知します。これにより、不正プログラムの新しい検索が実行されます。
保護を開始するには、以下を参照してください:
Scannerの一元化
セキュリティチームが Scanner Stackを一元化して、クラウドアカウントの Scanner 機能の状態を監視する必要がある場合は、スタンドアロンの Scanner
を展開し、後でStorage Stackを追加することを選択できます。詳細については、参照してください。
検索システムを構築するには、パフォーマンスを向上させ、クロスリージョン課金を回避するために、各リージョンに少なくとも1つの Scanner Stack が必要です。
設定オプション
不正ファイルの隔離
対象:
- ダウンストリームのワークフローをアップストリームのリスクから保護する
隔離後の検索処理を各クラウドストレージに追加することで、ダウンストリームのワークフローをアップストリームのリスクから保護できます。
隔離機能を設定するには、アカウント間のデータ転送に追加の権限設定が必要なため、隔離ストレージを同じクラウドアカウントに配置する必要があります。必要に応じて、複数の隔離ストレージを共有することもできます。
多数のファイルを検索する
対象:
- ピーク時の処理
File Storage Security への多数のスキャンリクエストを一度に行う必要がある場合は、AWS用の Lambda同時実行数 とAzure用のスケールアウトインスタンスを設定して、パフォーマンスを向上させることができます。
パフォーマンステストの結果については、AWSのパフォーマンスとスケーリングおよびAzureのパフォーマンスとスケーリングを参照してください。
Scannerの送信トラフィックの制御(AWSのみ)
対象:
- 送信トラフィックに関する会社のポリシー
Lambda 送信トラフィックに関する制限がある場合は、CloudFormationテンプレートで VPCパラメータ を設定することで、インターネットトラフィックに対するセキュリティ制御を設定できます。
ファイルにアクセスする前に最新のパターンファイルで検索する(AWSのみ)
対象:
- アクセスされているすべてのファイルが最新のパターンファイルで検索されるようにする
ファイルがストレージを離れる前に最新のパターンで検索されるようにするには、getObject要求時のFile Storage Securityの検索を有効にして、不正なファイルのダウンロードをブロックします。
アクセス許可の境界(AWSのみ)
対象:
- IDベースのポリシーがIAMエンティティに付与できる最大権限を設定する会社のポリシー
会社に権限の境界を設定するポリシーがある場合、CloudFormationテンプレートを配信する際に、管理ポリシーARNを指定して、 File Storage Security
で作成できるIAMロールに許可する最大数を制限できます。詳細については、AWS権限コントロールを参照してください。