自分の担当の一つにDeep Instinct製品があって。NASストレージを対象としたファイル操作に対してセキュリティ用のスキャン処理が搭載されている。
この機能の仕様について調べていくうちに、ファイルスキャンについて投稿してみようと意欲がわいてきたので今回はその題材にしたい。
ファイルスキャンに対応したプロトコル
ファイルスキャンと一概に言ってしまったが、ここではアクセス元となるクライアントデバイスからのファイル操作(新規作成や上書き更新)の保存領域となるストレージをアクセス先とした構図で話を進めていきたい。
この構図で使われるファイル転送の規格はいくつかある。
・HTTPベース
これは主にオブジェクトストレージ向けの通信規格である。
Amazon S3を利用している方ならご存じだと思うが、S3への非構造化データの保存はHTTP通信を介して行われる。
・ファイル共有ベース
Deep Instinctが提供しているファイルスキャンのソリューションはこの通信規格を対象としている。
種類としてはWindos系のファイル共有であるSMB、CIFS。Linux系のファイル共有であるNFSがある。NFSはDeep Instinctのファイルスキャンの対象外プロトコルとなっているが、その概要についてはまた別の機会に取り上げたいと思う。
共有ファイルサーバへのファイル操作で使われるもので、クラウドでのサービスも存在するが、外部筐体でNASストレージを用意したオンプレ環境で構成されているケースが多い。
ファイルサーバ利用時に使われるプロトコルにiSCSIもあるが、iSCSIはブロックアクセスタイプのプロトコルとなっている。
アクセス先の機器にファイルシステムがあればブロックデータからそのファイルシステムを使ってファイルサーバとして使うことはできるが、iSCSIはファイルアクセスのプロトコルではないのでここでは対象外。
どのタイミングでファイルスキャン処理が走るのか
どういったプロトコル(通信規格)があるのかを紹介できたので、ここでは各通信規格でいつどのようなスキャン処理が行われるのかと見たい。
・HTTPベース
基本的にはファイルのアップロード/ダウンロード時にスキャン処理が走る。
クライアントデバイスからオブジェクトストレージへファイルのアップロードをするケースでの説明となると、セキュリティ仕様としては、通信自体はTLSによる暗号化が行なわれる。
そしてファイルスキャンが発動するタイミングとしてエンドポイント到達後の復号→スキャン、もしくは通信途中のTLSインスペクションで通信途中でスキャンさせる方法とがある。
ファイルにマルウェアが仕込まれたケースだと、単純にストレージ領域に到達した後にスキャンするよりは、到達前の通信途中でスキャンする方が安全性は高い(処理の負荷も高くなる)。
・ファイル共有ベース
ここではクライアントデバイスから共有フォルダへの保存をいう手法で考えてみる。その共有フォルダは外部機器として用意したNASストレージの保存領域がマウントされている、という想定である。
まずスキャン処理が走るタイミングはどういう環境を用意するかで変わってくる。
NASストレージの製品の中では内蔵でスキャン処理をする機能が搭載されているものがあるが、そのケースでは共有フォルダにファイルデータが保存された後にスキャン処理が走る。環境面で準備することはあまり多くないがセキュリティ面では強固と言えない仕組みになる。
次にSMB通信を中継するためのプロキシを設置する手法だ。クライアントデバイス→プロキシ→NASストレージという順序で転送になり、NAS到達前にスキャン処理をしてくれるので安全性は高いが設定が難しく、パフォーマンスが落ちる可能性も高い。
その他の手法となると、NASストレージと同じネットワークセグメントにファイルスキャンサーバを設置して、NASへの到達前のファイルデータをこのファイルスキャンサーバによってスキャン処理を行なわせるものだ。
これはまさにDeep Instinctのソリューションで活用されている手法である。
Deep Instinctでのファイルスキャン処理
Deep InstinctのDSX for NASというソリューションでは、NASストレージに例を挙げればNetAppやDell EMCのようにファイルデータ保存前にスキャン要求となるリクエストを飛ばせる製品との連携でファイルスキャン処理機能を提供している。
NetAppではVscan、Dell EMCではCAVAと呼ばれるスキャン要求がファイル操作と同時に飛ばされて、そのリクエストをファイルスキャンサーバが受け取って、NASに到達前のファイルデータをスキャンする。
処理自体のパフォーマンスが良く、検知率も高いためユーザ体験も損なわせない形でファイルスキャンによるセキュリティ機能が使える。
WAF機能が最優先でファイルスキャンはあくまでおまけ的な立ち位置であるHTTPベースのスキャン処理と違って、ファイルスキャンを最優先にしたファイル共有ベースで設計されたソリューションなので、ファイル対象のセキュリティとして確実な使い方ができる。
ストレージをたくさん売っている自分の所属先のような会社にとって、抱き合わせのセキュリティ製品として非常に提案しやすいソリューションとなるので
何とかして頑張って販売していきたいと思っている。
ひとりごと
大相撲九州場所は安青錦が初優勝。同じ勝敗で並んだ豊昇龍に優勝決定戦で勝利。お見事。
大の里が千秋楽で負傷休場。不戦勝で12勝目を積み重ねた豊昇龍が圧倒的有利な流れの中でひっくり返したのだから価値も大きい。
これで大関昇格は間違いない。大の里に続いて、目玉となる力士が出てきてくれて盛り上がりがすごくなってきた。
年齢を重ねているとはいえ霧島、一山本あたりもかなり力をつけてきていて、大相撲にハマって15年以上、今が一番面白い時期に差し掛かってきている。
朝青龍、白鵬といった最強力士がずっと時代を築いてきて、数年前は目玉となる力士がいなくなって慌てて豊昇龍を横綱昇格させた暗黒時代が嘘のようである。
大相撲のチケット入手の困難さはこれまでもずっと悩みの種だったが、今後はもっと競争率が上がるだろう。またいつか大相撲観戦ができる幸運に恵まれたい。