S3용 맬웨어 보호는 어떻게 작동하나요?

이 섹션에서는 S3용 맬웨어 보호의 구성 요소, S3 버킷에 대해 활성화한 후 작동 방식, 맬웨어 스캔 상태 및 결과를 검토하는 방법을 설명합니다.

개요

자체 에 속하는 Amazon S3S3 버킷에 대해 S3에 대한 맬웨어 방지를 활성화할 수 있습니다 AWS 계정. GuardDuty 는 전체 버킷에 대해 이 기능을 활성화하거나, 선택한 접두사 중 하나로 시작하는 업로드된 각 객체를 스캔하는 특정 객체 접두사로 맬웨어 GuardDuty 스캔 범위를 제한할 수 있는 유연성을 제공합니다. 최대 5개의 접두사를 추가할 수 있습니다. S3 버킷에 대한 기능을 활성화하면 해당 버킷을 보호 버킷 이라고 합니다.

IAM 역할 권한

Malware Protection for S3는 가 사용자를 대신하여 맬웨어 스캔 작업을 GuardDuty 수행하도록 허용하는 IAM 역할을 사용합니다. 이러한 작업에는 선택한 버킷에 새로 업로드된 객체에 대한 알림을 받고, 해당 객체를 스캔하고, 스캔한 객체에 선택적으로 태그를 추가하는 작업이 포함됩니다. 이는 이 기능으로 S3 버킷을 구성하기 위한 사전 조건입니다.

기존 IAM 역할을 업데이트하거나 이 용도로 새 역할을 생성할 수 있습니다. 둘 이상의 버킷에 대해 S3용 맬웨어 방지를 활성화하면 필요에 따라 다른 버킷 이름을 포함하도록 기존 IAM 역할을 업데이트할 수 있습니다. 자세한 내용은 사전 조건 - IAM 역할 정책 생성 또는 업데이트 단원을 참조하십시오.

스캔 결과를 기반으로 객체의 선택적 태그 지정

버킷에 대해 S3에 대한 맬웨어 방지를 활성화할 때 스캔된 S3 객체에 대한 태그 지정을 활성화하는 선택적 단계가 있습니다. IAM 역할에는 스캔 후 객체에 태그를 추가할 수 있는 권한이 이미 포함되어 있습니다. 그러나 GuardDuty 는 설정 시 이 옵션을 활성화한 경우에만 태그를 추가합니다.

객체를 업로드하려면 먼저 이 옵션을 활성화해야 합니다. 스캔이 끝나면 는 다음 키:값 페어를 사용하여 스캔된 S3 객체에 사전 정의된 태그를 GuardDuty 추가합니다.

GuardDutyMalwareScanStatus:Potential scan result

잠재적 스캔 결과 태그 값에는 NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, 및 ACCESS_DENIED가 포함됩니다FAILED. 이러한 값에 대한 자세한 내용은 S3 객체 전위 스캔 상태 및 결과 상태 단원을 참조하세요.

태그 지정을 활성화하는 것은 S3 객체 스캔 결과에 대해 알 수 있는 방법 중 하나입니다. 또한 이러한 태그를 사용하여 태그 기반 액세스 제어(TBAC) S3 리소스 정책을 추가하여 잠재적으로 악의적인 객체에 대한 작업을 수행할 수 있습니다. 자세한 내용은 S3 버킷 리소스TBAC에 추가 단원을 참조하십시오.

버킷에 대해 S3용 맬웨어 방지를 구성할 때 태그 지정을 활성화하는 것이 좋습니다. 객체가 업로드되고 잠재적으로 스캔이 시작된 후 태그 지정을 활성화하면 GuardDuty 는 스캔된 객체에 태그를 추가할 수 없습니다. 연결된 S3 객체 태깅 비용에 대한 자세한 내용은 섹션을 참조하세요S3용 맬웨어 방지에 대한 요금 및 사용 비용.

버킷에 대해 S3에 대한 맬웨어 보호를 활성화한 후의 프로세스

S3용 맬웨어 방지를 활성화하면 선택한 S3 버킷에 대해서만 맬웨어 방지 계획 리소스가 생성됩니다. 이 리소스는 보호된 리소스의 고유 식별자인 맬웨어 보호 계획 ID와 연결됩니다. IAM 권한 중 하나를 사용하면 의 이름으로 EventBridge 관리형 규칙을 GuardDuty 생성하고 관리합니다DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

가 데이터를 GuardDuty 처리하는 방법 - 데이터 보호를 위한 가드레일

S3용 맬웨어 보호는 Amazon EventBridge 알림을 수신합니다. 객체가 선택한 버킷 또는 접두사 중 하나에 업로드되면 는 를 사용하여 S3 버킷에서 해당 객체를 GuardDuty 다운로드AWS PrivateLink한 다음 동일한 리전의 격리된 환경에서 해당 객체를 읽고, 복호화하고, 스캔합니다. 스캔 환경은 인터넷 액세스 없이 잠긴 가상 프라이빗 클라우드(VPC)에서 실행됩니다. VPC 는 AWS 소유한 허용 목록에 있는 도메인에만 통신을 허용하는 DNS 방화벽 규칙 그룹에 연결됩니다. 스캔 기간 동안 는 다운로드한 S3 객체를 AWS Key Management Service (AWS KMS) 키로 암호화된 스캔 환경 내에 GuardDuty 일시적으로 저장합니다.

GuardDuty 맬웨어 감지 방법론 및 맬웨어 감지 방법론이 사용하는 스캔 엔진에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 멀웨어 탐지 스캔 엔진.

맬웨어 스캔이 완료되면 는 스캔 메타데이터를 스캔 상태로 GuardDuty 처리한 다음 객체의 다운로드된 사본을 삭제합니다.

GuardDuty 는 새 스캔이 시작되기 전에 매번 스캔 환경을 정리합니다. 는 운영자가 스캔 환경에 액세스할 수 있도록 조건부 권한을 GuardDuty 사용하며 모든 액세스 요청은 검토, 승인 및 감사됩니다.

S3 객체 스캔 상태 및 결과 검토

GuardDuty 는 S3 객체 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty 또한 는 스캔한 객체 수 및 스캔한 바이트와 같은 스캔 지표를 Amazon 에 전송합니다 CloudWatch. 태그 지정을 활성화한 경우 GuardDuty 는 사전 정의된 태그GuardDutyMalwareScanStatus와 잠재적 스캔 결과를 태그 값으로 추가합니다.

자세한 내용은 S3용 맬웨어 보호에서 S3 객체 스캔 모니터링 단원을 참조하십시오.

생성된 결과 검토

조사 결과 검토는 에서 S3용 맬웨어 방지를 사용하는지 여부에 따라 달라집니다 GuardDuty. 다음 시나리오를 고려해 보세요.

GuardDuty 서비스를 활성화한 경우 S3용 맬웨어 보호 사용(감지기 ID)

맬웨어 스캔이 S3 객체에서 잠재적 악성 파일을 감지하면 가 관련 결과를 GuardDuty 생성합니다. 조사 결과 세부 정보를 보고 권장 단계를 사용하여 조사 결과를 잠재적으로 수정할 수 있습니다. 결과 내보내기 빈도에 따라 생성된 결과가 S3 버킷 및 EventBridge 이벤트 버스로 내보내집니다.

생성될 결과 유형에 대한 자세한 내용은 섹션을 참조하세요S3 결과 유형에 대한 맬웨어 보호.

S3용 Malware Protection을 독립 기능으로 사용(감지기 ID 없음)

GuardDuty 연결된 감지기 ID가 없기 때문에 에서 결과를 생성할 수 없습니다. S3 객체 맬웨어 스캔 상태를 알기 위해 가 기본 이벤트 버스에 자동으로 게시하는 GuardDuty 스캔 결과를 볼 수 있습니다. 또한 CloudWatch 지표를 보고 스캔을 GuardDuty 시도한 객체 및 바이트 수를 평가할 수 있습니다. 스캔 결과에 대한 알림을 받도록 경보를 설정할 CloudWatch 수 있습니다. S3 객체 태깅을 활성화한 경우 S3 객체에서 GuardDutyMalwareScanStatus 태그 키 및 스캔 결과 태그 값을 확인하여 맬웨어 스캔 상태를 볼 수도 있습니다.

S3 객체 스캔 상태 및 결과에 대한 자세한 내용은 섹션을 참조하세요S3용 맬웨어 보호에서 S3 객체 스캔 모니터링.