Come funziona Malware Protection for S3? - Amazon GuardDuty
PanoramicaIAM PassRole autorizzazioniEtichettatura opzionale degli oggetti in base al risultato della scansioneDopo aver abilitato Malware Protection for S3 per un bucketFunzionalità di Malware Protection per S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Malware Protection for S3?

Questa sezione descrive i componenti di Malware Protection for S3 che ti aiuteranno a capire come funziona.

Panoramica

Puoi abilitare Malware Protection for S3 per un bucket Amazon S3 che appartiene al tuo. Account AWS GuardDutyti offre la flessibilità necessaria per abilitare questa funzionalità per l'intero bucket o limitare l'ambito della scansione antimalware a prefissi di oggetti specifici, in cui GuardDuty analizza ogni oggetto caricato che inizia con uno dei prefissi selezionati. È possibile aggiungere fino a 5 prefissi. Quando abiliti la funzionalità per un bucket S3, quel bucket viene chiamato bucket protetto.

IAM PassRole autorizzazioni

Malware Protection for S3 utilizza un codice IAM PassRole che consente di GuardDuty eseguire le azioni di scansione del malware per tuo conto. Queste azioni includono la notifica degli oggetti appena caricati nel bucket selezionato, la scansione di tali oggetti e, facoltativamente, l'aggiunta di tag agli oggetti scansionati. Questo è un prerequisito per configurare il bucket S3 con questa funzionalità.

È possibile aggiornare un IAM ruolo esistente o creare un nuovo ruolo per questo scopo. Quando abiliti Malware Protection for S3 per più di un bucket, puoi aggiornare il IAM ruolo esistente per includere il nome dell'altro bucket, se necessario. Per ulteriori informazioni, consulta Prerequisito: creare o aggiornare la policy IAM PassRole .

Etichettatura opzionale degli oggetti in base al risultato della scansione

Al momento di abilitare Malware Protection for S3 per il tuo bucket, è disponibile un passaggio opzionale per abilitare l'etichettatura per gli oggetti S3 scansionati. Include IAM PassRole già l'autorizzazione per aggiungere tag all'oggetto dopo la scansione. Tuttavia, GuardDuty aggiungerà tag solo quando abiliti questa opzione al momento della configurazione.

È necessario abilitare questa opzione prima che un oggetto venga caricato. Al termine della scansione, GuardDuty aggiunge un tag predefinito all'oggetto S3 scansionato con la seguente coppia chiave:valore:

GuardDutyMalwareScanStatus:Potential scan result

I potenziali valori dei tag dei risultati della scansione includonoNO_THREATS_FOUND,,, eTHREATS_FOUND. UNSUPPORTED ACCESS_DENIED FAILED Per ulteriori informazioni su questi valori, consulta S3 object potential scan result value.

L'abilitazione dei tag è uno dei modi per conoscere i risultati della scansione degli oggetti S3. Puoi utilizzare ulteriormente questi tag per aggiungere una politica di risorse S3 basata su tag access control (TBAC) in modo da poter intraprendere azioni sugli oggetti potenzialmente dannosi. Per ulteriori informazioni, consulta Aggiungere TBAC alla risorsa bucket S3.

Ti consigliamo di abilitare i tag al momento della configurazione di Malware Protection for S3 per il tuo bucket. Se abiliti l'etichettatura dopo il caricamento di un oggetto e potenzialmente l'avvio della scansione, non GuardDuty sarà possibile aggiungere tag all'oggetto scansionato. Per informazioni sui costi associati all'etichettatura degli oggetti S3, consulta. Prezzi di Malware Protection for S3

Dopo aver abilitato Malware Protection for S3 per un bucket

Dopo aver abilitato Malware Protection for S3, viene creata una risorsa del piano Malware Protection esclusivamente per il bucket S3 selezionato. Questa risorsa è associata a un ID del piano Malware Protection, un identificatore univoco per la risorsa protetta. Utilizzando una delle IAM autorizzazioni GuardDuty , crea e gestisce una regola EventBridge gestita denominata. DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*

Guardrails per la protezione dei dati

Malware Protection for S3 ascolta le notifiche di Amazon EventBridge . Quando un oggetto viene caricato nel bucket selezionato o in uno dei prefissi, GuardDuty scarica quell'oggetto dal bucket S3 utilizzando un bucket, quindi lo legge, lo decrittografa AWS PrivateLinke scansiona in un ambiente isolato nella stessa regione. L'ambiente di scansione viene eseguito in un cloud privato virtuale bloccato () senza accesso a Internet. VPC VPCÈ collegato a un gruppo di regole DNS del firewall che consente la comunicazione solo con i domini consentiti elencati di cui è proprietario. AWS Per tutta la durata della scansione, memorizza GuardDuty temporaneamente l'oggetto S3 scaricato all'interno dell'ambiente di scansione crittografato con AWS Key Management Service chiavi ().AWS KMS Una volta completata la scansione antimalware, GuardDuty elabora i metadati di scansione con lo stato della scansione e quindi elimina la copia scaricata dell'oggetto.

GuardDuty pulisce l'ambiente di scansione ogni volta prima che inizi una nuova scansione. GuardDuty utilizza l'autorizzazione contingente per l'accesso dell'operatore all'ambiente di scansione e ogni richiesta di accesso viene esaminata, approvata e verificata.

Visualizza i risultati della scansione degli oggetti S3

GuardDuty pubblica l'evento del risultato della scansione degli oggetti S3 sul bus eventi EventBridge predefinito di Amazon. GuardDuty invia anche i parametri di scansione, come il numero di oggetti scansionati e i byte scansionati, ad Amazon. CloudWatch Se hai abilitato l'etichettatura, GuardDuty aggiungerà il tag predefinito GuardDutyMalwareScanStatus e un potenziale risultato della scansione come valore del tag.

Per ulteriori informazioni, consulta Monitoraggio dello stato di scansione degli oggetti S3.

Utilizzo di Malware Protection for S3 quando il GuardDuty servizio è abilitato (ID del rilevatore)

Se la scansione antimalware rileva un file potenzialmente dannoso in un oggetto S3, GuardDuty genererà un risultato associato. È possibile visualizzare i dettagli del risultato e utilizzare i passaggi consigliati per correggere potenzialmente il risultato. In base alla frequenza di esportazione dei risultati, i risultati generati vengono esportati in un bucket S3 e in un bus di eventi. EventBridge

Utilizzo di Malware Protection for S3 come funzionalità indipendente (nessun ID di rilevamento)

GuardDuty non sarà in grado di generare risultati perché non esiste un ID del rilevatore associato. Per conoscere lo stato della scansione antimalware degli oggetti S3, puoi visualizzare il risultato della scansione che GuardDuty viene pubblicato automaticamente sul tuo bus eventi predefinito. Puoi anche visualizzare le CloudWatch metriche per valutare il numero di oggetti e byte che GuardDuty hanno tentato di scansionare. È possibile impostare CloudWatch allarmi per ricevere notifiche sui risultati della scansione. Se hai abilitato S3 Object Tagging, puoi anche visualizzare lo stato della scansione antimalware controllando l'oggetto S3 per la chiave del tag e il valore del GuardDutyMalwareScanStatus tag dei risultati della scansione.

Funzionalità di Malware Protection per S3

L'elenco seguente fornisce una panoramica di ciò che puoi aspettarti o fare dopo aver abilitato Malware Protection for S3 per il tuo bucket:

  • Scegli cosa scansionare: scansiona i file man mano che vengono caricati su tutti i prefissi o su alcuni prefissi specifici (fino a 5) associati al bucket S3 selezionato.

  • Scansioni automatiche degli oggetti caricati: dopo aver abilitato Malware Protection for S3 per un bucket, GuardDuty avvierà automaticamente una scansione per rilevare potenziali malware in un oggetto appena caricato.

  • Abilita tramite console, utilizzandoAPI/AWS CLI, oppure AWS CloudFormation: scegli un metodo preferito per abilitare Malware Protection for S3.

    Puoi abilitare Malware Protection for S3 utilizzando una piattaforma Infrastructure as code (IaC) come Terraform. Per ulteriori informazioni, consulta Resource:. aws_guardduty_malware_protection_plan

  • Supporta l'etichettatura degli oggetti S3 scansionati (opzionale): dopo ogni scansione antimalware, GuardDuty aggiungerà un tag che indica lo stato di scansione dell'oggetto S3 caricato. Puoi usare questo tag per configurare il controllo degli accessi basato su tag (TBAC) per gli oggetti S3. Ad esempio, puoi limitare l'accesso agli oggetti S3 che risultano dannosi e il cui valore del tag è uguale a. THREATS_FOUND

  • EventBridge Notifiche Amazon: quando configuri una EventBridge regola, riceverai una notifica sullo stato della scansione malware di S3.

    Il tuo account GuardDuty amministratore delegato riceverà una EventBridge notifica quando un account membro abilita questa protezione per un bucket Amazon S3 che appartiene al proprio account.

  • CloudWatch metriche: visualizza le metriche incorporate nella console. GuardDuty Queste metriche includono dettagli sugli oggetti S3.

Se attivi anche questa opzione GuardDuty, riceverai un avviso di sicurezza quando un oggetto S3 viene identificato come contenente un file potenzialmente dannoso. GuardDuty consiglia i passaggi per aiutarti a correggere il risultato generato.