「Amazon FSx for NetApp ONTAP」は、AWS上でエンタープライズグレードのSMBストレージを必要とする組織の間で、広く採用されるようになりました。クラウド移行、コラボレーションプラットフォーム、パートナーポータル、M&Aの取り組み、エンジニアリングリポジトリ、あるいはビジネスに不可欠なアプリケーションのサポートなど、どのような用途であっても、「FSx for NetApp ONTAP」を利用することで、チームは大規模なファイルの保存と共有が可能になります。
共有ストレージ環境は、マルウェア、ランサムウェア、悪用された文書、および機密データの拡散拠点となりかねません。悪意のあるファイルやコンプライアンスに違反するファイルが共有リポジトリに一度入り込むと、従来のエンドポイント制御が介入する機会を得る前に、ユーザー、アプリケーション、自動化されたワークフロー、およびバックアップシステムによってアクセスされてしまう可能性があります。
組織がより多くのワークロードをAWSに移行するにつれ、それらのリポジトリ内に保存されたファイルを保護することは、インフラストラクチャ自体のセキュリティ確保と同様に重要になってきています。
MetaDefender Security™ は、NetApp Vscanを通じて Amazon FSx for NetApp ONTAP と連携し、マルウェア、アクティブコンテンツ、機密情報、および高度な脅威についてファイルを検査することで、これらが下流のユーザーやシステムに影響を与える前に防止します。
ONTAPに組み込まれた制御機能だけでは、完全なセキュリティ層とはならない理由
Vscanは、ファイルのスキャン処理を外部サーバーにオフロードします。ONTAPが提供するのは接続機能のみであり、セキュリティ上の価値は、各ファイルに対して外部サーバーがどのような処理を行うかによって完全に決まります。背後に適切なスキャナーが存在しない場合、Vscanフレームワークはファイルイベントを、登録されている任意のサーバーに渡します。
ONTAPの組み込み機能で特に優れている点:
- 特定のファイル拡張子(.exe、.bat、既知のランサムウェアの拡張子)をブロックする
- 共有レベルでクォータおよびアクセスポリシーを適用する
- ファイル操作の監査ログを提供する
ONTAPの組み込み機能だけでは実行できない操作:
- ファイルの内容を検査し、埋め込まれたマルウェア、マクロ、または難読化されたスクリプトがないか確認する
- ボリュームに書き込まれたPII(個人識別情報)、PHI(保護対象医療情報)、またはPCI(ペイメント・カード・インダストリー)データを検出する
- 動作を評価するために、未知のファイルを隔離された環境で実行する
- 悪意のあるファイルを、安全で正常に動作するバージョンに再構築する
このギャップが最も重要になるのは、パートナーによるアップロード、ベンダーポータル、クラウド同期ジョブ、買収した企業のデータなど、自社の管理外からファイルが流入する場合です。共有FSxボリューム上に悪意を持って作成された文書が1つでも存在すれば、エンドポイントエージェントがそれを検知する前に、その共有フォルダを利用するすべてのユーザーが即座にアクセスできてしまいます。
MetaDefender Storage Security と Amazon FSx for NetApp ONTAPStorage Security
MetaDefender Storage Security 、 NetApp Vscanを通じてAmazon FSx for NetApp ONTAPとStorage Security 。保護されたSMB共有に新規作成または変更されたファイルが書き込まれると、Vscanはスキャン要求をMetaDefender Storage Security に転送し、ユーザーがそのコンテンツを操作できるようになる前に検査Storage Security 。
MetaDefender Storage Security 、以下のセキュリティ技術を含む複数の技術を用いてファイルをStorage Security 。
- Metascan™Multiscanning:30種類以上のマルウェア対策エンジン、ヒューリスティック分析、および機械学習。
- Deep CDR™ テクノロジー:200種類以上のファイル形式に含まれるアクティブなコンテンツを、業務に支障をきたすことなく、検査・無害化・再生成を行うことで、未然に無力化します。
- Proactive DLP™テクノロジー:125種類以上のファイル形式にわたる機密データを検知、マスキング、保護します。
- Adaptive Sandbox:99.9%のゼロデイ検知率を誇る動的挙動分析により、不審なファイルや未知の脅威に対して迅速かつ詳細な検査を行います。
ポリシーとスキャン結果に基づき、組織は、ユーザーがストレージにアクセスする方法を変更することなく、脅威の特定、ファイルのクリーンアップ、機密データの検出、およびセキュリティ対策の実施を行うことができます。
統合コンポーネント
一般的な導入内容には、以下のものが含まれます:
- Amazon FSx for NetApp ONTAP
- Amazon EC2 Windows インスタンス(FSx と同じ VPC/サブネット)
- OPSWAT コネクタ
- MetaDefender Storage Security
- MetaDefender コア
Vscanの通信および認証をサポートするには、コネクタをServer WindowsServer を、ストレージ仮想マシン(SVM)と同じActive Directoryドメインに参加させる必要があります。
今すぐ導入できる4つの実運用ユースケース
1. Amazon FSx 向けのリアルタイムマルウェアスキャン
これはデフォルトの展開設定であり、セキュリティ上の価値が最も高いパターンです。組織は、SMB 共有に書き込まれる際に、新しく作成されたファイルや変更されたファイルを自動的に検査することができます。
これにより、以下の予防に役立ちます:
- 共有フォルダを介したマルウェアの拡散
- ランサムウェアのペイロードの拡散
- 感染したパートナーによるアップロード
- ファイル共有に保存された悪意のあるメールの添付ファイル
ユーザーがファイルにアクセスする前にその内容を検査することで、組織はストレージ環境全体への脅威の拡散リスクを低減できます。
2.Cloud およびM&Aプロジェクトに向けた一括スキャン
買収した環境を統合したり、データをAWSに移行したりする際、企業はセキュリティ状態が不明な数百万ものファイルを継承することになることがよくあります。
MetaDefender Storage Security 、SMB 経由で NetApp ONTAP ストレージソースとして FSx SVM にStorage Security 、既存のファイルを 1 回限りまたは定期的なスケジュールに従って読み取り、脅威を別のパスに隔離します。これにより、感染したファイルが今後アプリケーションやユーザーによってアクセスされるのを防ぎます。
このオンデマンドタスク機能は、MDSSインターフェースから直接設定され、Vscanのオンアクセス設定とは独立して動作します。
MetaDefender Storage Security 、既存のファイルリポジトリに対して定期的または単発のスキャンを実行し、以下の項目を特定Storage Security :
- マルウェア
- 休眠状態のランサムウェア
- 危険なファイル形式
- 機密情報
これにより、過去のコンテンツが本番環境のワークロードに組み込まれる前に、確実に検査されるようになります。
3. Deep CDR™ テクノロジーによるSecure 共有
多くの組織では、サプライヤー、顧客、法律事務所、医療提供者、ビジネスパートナーなど、外部から文書を受け取っています。
Deep CDR™ テクノロジーは、マクロ、埋め込みオブジェクト、スクリプト、その他の潜在的に危険な要素といったアクティブなコンテンツを削除しつつ、ファイルをクリーンで実用的な状態に復元します。
このアプローチにより、従来のシグネチャベースのセキュリティツールでは検知し損ねる可能性のある、ドキュメントを悪用したゼロデイ攻撃からの防御に役立ちます。
一般的な使用例としては、次のようなものがあります:
- 法的文書のレビュー
- 保険金請求の処理
- ベンダーのオンボーディング
- 財務書類の交換
- 外部連携ポータル
4.Proactive DLPDLP™によるコンプライアンスとデータ保護
GDPR、HIPAA、PCI DSS、その他のプライバシー要件などの規制の対象となる組織において、Proactive DLP™ テクノロジーは、ファイルリポジトリ内に保存されている機密データの特定と管理を支援します。
管理者は、以下の項目を検出するようにポリシーを設定できます:
- 個人を特定できる情報(PII)
- 保護対象の健康情報(PHI)
- 財務記録
- 認証情報とシークレット
- ビジネス上機密性の高いデータのカスタムパターン
組織は、ビジネス要件に基づいて、通知、隔離、情報マスキングのワークフロー、またはポリシーの適用といった措置を講じることができます。
MetaDefender Storage Security FSx for NetAppStorage Security メリット
MetaDefender Storage Security 、ストレージインフラのセキュリティ確保を目的に特別にStorage Security 。Vscanを介してAmazon FSx for NetApp ONTAPと統合することで、ONTAPに標準搭載されている制御機能では提供されない以下の4つの機能が追加されます:
1. メタスキャンMultiscanning
複数のマルウェア対策エンジンを同時に使用してファイルを検査することで、検出範囲を拡大し、単一のセキュリティベンダーへの依存度を低減します。
2. Deep CDR™ テクノロジー
サポートされているファイル形式から、潜在的に危険なアクティブコンテンツを削除しつつ、ファイルの利便性を維持します。
3.Proactive DLP
機密情報は、コンプライアンス上のリスクを引き起こす前に検出・分類することができます。
4.Adaptive Sandbox
不明または不審なファイルに対して高度な行動分析を行い、検知を回避する脅威やこれまでに確認されていないマルウェアを特定することができます。
導入要件
Amazon FSx for NetApp ONTAPStorage Security MetaDefender Storage Security を導入するには、組織は以下の点を確認する必要があります。
- 「Amazon FSx for NetApp ONTAP」が稼働を開始しました
- SMB アクセスが有効になっています
- WindowsServer 以降が利用可能です
- WindowsServer は、SVM と同じ Active Directory ドメインに参加Server 。
- NetApp ONTAP Antivirus Connector がインストールされています
- OPSWAT コネクタがインストールされました
- MetaDefender Storage Security MetaDefender Core 導入Core 、ライセンスが供与されています
組織がAmazon FSxおよびAWSストレージStorage Security MetaDefender Storage Security を選ぶ理由
セキュリティチームは、ストレージリポジトリが重要な攻撃対象となっていることをますます認識するようになっている。
マルウェア、ランサムウェア、機密データの漏洩、および文書を悪用した脅威は、エンドポイントの侵害ではなく、ファイル転送を通じて発生することが多い。
Vscan Mandatoryモードで設定された場合、MetaDefender Storage Security 、最も重要なポイントである書き込み時に、下流の利用者へ到達する前に、新規および変更されたすべてのファイルを検査することで、そのセキュリティの隙間をStorage Security 。 Metascan™Multiscanning、Deep CDR™ テクノロジー、Proactive DLP™、およびAdaptive Sandbox 、シグネチャベースの検出だけでは対応できない脅威に対処します。これには、ゼロデイ攻撃、機密データの流出、および既知の悪意あるシグネチャを持たない武器化されたドキュメントなどが含まれます。
ファイルがすでに配布された後のエンドポイント制御のみに依存するのではなく、組織はストレージ層そのもので、ファイルの検査、クリーンアップ、分類、およびポリシーの適用を行うことができます。
Amazon FSx for NetApp ONTAP ボリュームに保存されるすべてのファイルを保護します
よくある質問
MetaDefender Storage SecuritySecurity™ は、Amazon FSx for NetApp ONTAP をネイティブでサポートしていますか?
はい。MetaDefender Storage Security 、NetAppのVscanフレームワークを活用した統合により、AWS FSx for NetApp ONTAPと完全に互換性Storage Security 。本ソリューションはAWSによる検証を受けており、Amazon FSx for NetApp ONTAP上で稼働するファイルストレージ環境を保護するためのサポート対象ソリューションとして掲載されています。
MetaDefender Storage Security は、ONTAP のどのメカニズム(Vscan または FPolicy)Storage Security ?
MetaDefender Storage Security は、NetApp のウイルス対策スキャンフレームワークである VscanStorage Security 。
Vscanの統合機能はNFS共有に対応していますか?
Vscan によるオンアクセススキャンは、SMB/CIFS 共有でのみサポートされています。FSx for ONTAP 上で NFS ワークロードを実行している組織でも、MetaDefender Storage Securityオンデマンド一括スキャン機能を通じて、ファイルリポジトリを保護することができます。OPSWAT では、NFS 環境でサポートされているスキャン手法について詳しく説明されています。
ファイルの書き込み中にMetaDefender Storage Security が利用できなくなった場合はどうなりますか?
動作は、Vscanのオンアクセスポリシーモードによって異なります。強制モードでは、ONTAPはスキャナが応答するまでクライアントのアクセスをブロックし、検査されていないファイルがユーザーに届くことはありません。非強制モードでは、スキャナが利用できない場合でも、ONTAPはアクセスを許可します。セキュリティ要件に基づいてモードを選択し、その決定内容を文書化してください。
Deep CDR™ テクノロジーとは何ですか?また、ウイルス対策スキャンとはどのように異なるのですか?
Deep CDR™ テクノロジーは、マクロ、埋め込みオブジェクト、スクリプト、ハイパーリンクなど、すべてのアクティブなコンテンツを削除することで、ファイルを構造的にクリーンな状態に再構築します。この際、そのコンテンツが悪意のあるものとしてフラグが立てられているかどうかは問いません。ウイルス対策スキャンはシグネチャに基づいて既知の脅威を特定しますが、Deep CDR™ テクノロジーは、既知のシグネチャがないゼロデイ攻撃を含め、潜在的な脅威が実行される前にこれを排除します。これら 2 つのアプローチは互いに補完し合っています。
MetaDefender Storage Security を導入する際、アプリケーションやユーザーが FSx ボリュームにアクセスする方法に変更Storage Security ?
いいえ。MetaDefender Storage Security 、Vscan を通じて透過的にStorage Security 。アプリケーションやユーザーは、通常どおり SMB 共有にアクセスし続けることができます。ユーザーに目に見える唯一の変化は、脅威の検出や Proactive DLP™ テクノロジーのポリシー違反によりファイルがブロックされた際に、アクセス拒否の応答が表示されることだけです。
