Storage Gateway で監査ログが出力できるようになりました (File Gateway)

Storage Gateway (File Gateway) で監査ログを出力可能になりましたので紹介します。

吉井亮

2020.04.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。

File Gateway 使ってますか(あいさつ。
File Gateway は Storage Gateway の種類の1つで、サーバーに対して NFS/SMB マウントポイントを提供するサービスです。
バックエンドは S3 になっており、安価にファイル共有やファイルバックアップが実現できる素敵なサービスとなっています。

サービスアップデート

アメリカ時間の2020年3月31日に Storage Gateway のアップデートが発表されました。

File Gatewayを使用するときに、SMB ファイル共有のファイルとフォルダーに対するエンドユーザー操作のロギングが可能になりました。
この監査ログは外部コンプライアンス要件 (PCI や HIPPA など) を満たすためのアクセス分析に使えます。

Storage Gateway が利用可能な全てリージョンで監査ログが利用可能です。(東京リージョンも対象です)

新規でゲートウェイ作成するとすぐに監査ログが使えるようになります。
既存ゲートウェイはソフトウェアアップデートで使えるよになるとのことなので、ゲートウェイのメンテナンス時間を確認・調整してみてください。

監査ログ有効

既存ファイル共有

ファイル共有 を開きます。

任意のファイル共有にチェックを入れ アクション共有の設定の編集 をクリックします。

「共有の設定の編集」窓が開きます。
下部に 監査ログ という項目が表示されています。
新しいロググループの作成 を選択すると CloudWatch Logs に新しいロググループが作成されます。
既存のロググループお使用 を選択すると既存の CloudWatch Logs ロググループに監査ロが出力されます。

新規ファイル共有

ファイル共有の作成画面中に 監査ログ という項目が表示されています。
新しいロググループの作成 を選択すると CloudWatch Logs に新しいロググループが作成されます。
既存のロググループお使用 を選択すると既存の CloudWatch Logs ロググループに監査ロが出力されます。

出力されるログ

CloudWatch Logs を見てみます。
ローカルからファイル共有に向けて copyfile.txt をコピーした際のログです。

{
    "sourceAddress": "10.0.2.80",
    "accountDomain": "YOSHIIRYO",
    "accountName": "Administrator",
    "source": "share-10E8A272",
    "type": "FileSystemAudit",
    "accessMode": "0777",
    "version": "1.0",
    "objectType": "File",
    "bucket": "storage-gateway-ap-northeast-1-880749116261",
    "objectName": "/copyfile.txt",
    "shareName": "storage-gateway-ap-northeast-1-880749116261",
    "operation": "WriteAttributes",
    "gateway": "sgw-15CD207C",
    "timestamp": "1585705298278",
    "status": "Success"
}

対象オペレーションと記録される項目

以下のオペレーションが CloudWatch Logs に記録されます。

オペレーション種別 説明
データ読み込み ファイルの読み込み
データ書き込み ファイル内容の変更
作成 ファイルまたはフォルダの作成
リネーム ファイルまたはフォルダのリネーム
削除 ファイルまたはフォルダの削除
属性の編集 ファイルまたはフォルダのメタデータ編集 (ACLs, オーナー, グループ, パーミッション)

何れのオペレーションも、ソース IP アドレス・ドメイン名・ドメインユーザー・オブジェクト名(ファイル、フォルダ)、タイムスタンプは確認できるので監査として使えるかと存じます。

詳細は公式ドキュメントに記載があります。
Understanding File Gateway Audit Logs

まとめ

ファイルサーバーは社内システムのなかでも運用の手間がかかる部類だと思います。
それを比較的安価でメンテナンスの手間がかからない Storage Gateway に置き換えることは有用です。

今までは監査の面から Storage Gateway の導入を遠慮していた企業さんでも、この機能追加で Storage Gateway の採用に前向きになってくれることを祈っています。

参考

AWS Storage Gateway adds audit logs for File Gateway to address enterprise compliance requirements
Understanding File Gateway Audit Logs

以上、吉井 亮 がお届けしました。

AWS

関連記事

Storage Gateway で自動作成された EC2 にアタッチしている EBS を暗号化できるか教えてください

片方 裕人

2024.03.06

Storage Gateway(S3 File Gateway) はどの S3 ストレージクラスをサポートしているか教えてください

片方 裕人

2024.03.01

Storage Gateway(S3 File Gateway) 利用時、キャッシュが更新されない原因と対処法

片方 裕人

2024.02.09

オフライン状態の Storage Gateway にアタッチしているボリューム削除方法を教えてください

片方 裕人

2024.01.04