S3용 멀웨어 보호는 어떻게 작동합니까?

이 섹션에서는 S3용 멀웨어 보호의 구성 요소, S3 버킷에 대해 멀웨어 보호를 활성화한 후의 작동 방식, 멀웨어 스캔 상태 및 결과를 검토하는 방법을 설명합니다.

개요

자체 소유의 Amazon S3 버킷에 대해 S3용 멀웨어 보호를 활성화할 수 있습니다. AWS 계정. GuardDuty전체 버킷에 대해 이 기능을 활성화하거나 멀웨어 검사 범위를 특정 객체 접두사로 제한하여 선택한 접두사 중 하나로 시작하는 업로드된 각 객체를 GuardDuty 검사할 수 있는 유연성을 제공합니다. 최대 5개의 접두사를 추가할 수 있습니다. S3 버킷에 이 기능을 활성화하면 해당 버킷을 보호 버킷이라고 합니다.

IAM역할 권한

S3용 멀웨어 보호는 사용자 대신 멀웨어 스캔 작업을 수행할 수 있는 IAM 역할을 사용합니다. GuardDuty 이러한 작업에는 선택한 버킷에 새로 업로드된 객체에 대한 알림 받기, 해당 객체 스캔, 스캔한 객체에 태그 추가 (선택 사항) 가 포함됩니다. 이는 이 기능을 사용하여 S3 버킷을 구성하기 위한 전제 조건입니다.

기존 IAM 역할을 업데이트하거나 이를 위해 새 역할을 생성할 수 있습니다. 둘 이상의 버킷에 대해 S3용 멀웨어 보호를 활성화한 경우 필요에 따라 다른 버킷 이름을 포함하도록 기존 IAM 역할을 업데이트할 수 있습니다. 자세한 내용은 전제 조건 - 역할 정책 생성 또는 업데이트 IAM 단원을 참조하십시오.

스캔 결과에 따른 객체 태그 지정 (선택 사항)

버킷의 S3 멀웨어 보호를 활성화할 때 스캔한 S3 객체에 대한 태그 지정을 활성화하는 선택적 단계가 있습니다. 이 IAM 역할에는 스캔 후 객체에 태그를 추가할 수 있는 권한이 이미 포함되어 있습니다. 하지만 GuardDuty 설정 시 이 옵션을 활성화한 경우에만 태그가 추가됩니다.

객체를 업로드하기 전에 이 옵션을 활성화해야 합니다. 스캔이 끝나면 다음 키:값 쌍을 사용하여 스캔한 S3 객체에 사전 정의된 태그를 GuardDuty 추가합니다.

GuardDutyMalwareScanStatus:Potential scan result

잠재적 스캔 결과 태그 값에는NO_THREATS_FOUND,THREATS_FOUND, UNSUPPORTED 및 등이 포함됩니다. ACCESS_DENIED FAILED 이러한 값에 대한 자세한 내용은 S3 객체 잠재적 스캔 상태 및 결과 상태 단원을 참조하세요.

태깅을 활성화하는 것은 S3 객체 스캔 결과를 알 수 있는 방법 중 하나입니다. 또한 이러한 태그를 사용하여 태그 기반 액세스 제어 (TBAC) S3 리소스 정책을 추가하여 잠재적으로 악의적인 객체에 조치를 취할 수 있습니다. 자세한 내용은 S3 버킷 TBAC 리소스에 추가 단원을 참조하십시오.

버킷에 대해 S3용 멀웨어 보호를 구성할 때 태깅을 활성화하는 것이 좋습니다. 객체가 업로드되고 잠재적으로 스캔이 시작된 후 태그 지정을 GuardDuty 활성화하면 스캔한 객체에 태그를 추가할 수 없습니다. 관련 S3 객체 태깅 비용에 대한 자세한 내용은 을 참조하십시오. S3용 멀웨어 보호 요금 및 사용 비용

버킷에 대해 S3용 멀웨어 보호를 활성화한 후의 프로세스

S3용 멀웨어 보호를 활성화하면 선택한 S3 버킷에 대한 멀웨어 보호 계획 리소스가 독점적으로 생성됩니다. 이 리소스는 보호된 리소스의 고유 식별자인 멀웨어 보호 계획 ID와 연결되어 있습니다. GuardDuty 그런 다음 IAM 권한 중 하나를 사용하여 의 이름으로 EventBridge 관리형 규칙을 만들고 관리합니다DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

데이터 GuardDuty 처리 방법 - 데이터 보호를 위한 가드레일

S3용 멀웨어 보호는 Amazon EventBridge 알림을 수신합니다. 선택한 버킷 또는 접두사 중 하나에 객체가 업로드되면 다음을 사용하여 S3 버킷에서 해당 객체를 GuardDuty 다운로드합니다. AWS PrivateLink그런 다음 동일한 지역의 격리된 환경에서 읽고, 해독하고, 스캔합니다. 스캔 환경은 인터넷에 접속할 수 없는 잠긴 가상 사설 클라우드 (VPC) 에서 실행됩니다. VPC는 허용 목록에 있는 도메인과의 통신만 허용하는 DNS 방화벽 규칙 그룹에 연결되어 있습니다. AWS 소유합니다. 스캔하는 동안 다운로드한 S3 객체를 암호화된 스캔 환경 내에 GuardDuty 임시로 저장합니다. AWS Key Management Service (AWS KMS) 키.

멀웨어 탐지 방법 및 GuardDuty 멀웨어 탐지 방법론에서 사용하는 검사 엔진에 대한 자세한 내용은 을 참조하십시오GuardDuty 멀웨어 탐지 검사 엔진.

맬웨어 검사가 완료되면 검사 상태가 포함된 검사 메타데이터를 GuardDuty 처리한 다음 다운로드한 개체 사본을 삭제합니다.

GuardDuty 새 검사가 시작되기 전에 매번 검색 환경을 정리합니다. GuardDuty 스캔 환경에 대한 운영자 액세스에 대해 조건부 승인을 사용하며 모든 액세스 요청을 검토, 승인 및 감사합니다.

S3 객체 스캔 상태 및 결과 검토

GuardDuty S3 객체 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty 또한 스캔한 객체 수, 스캔한 바이트 수와 같은 스캔 지표를 Amazon에 보냅니다. CloudWatch 태깅을 활성화한 GuardDuty 경우 사전 정의된 GuardDutyMalwareScanStatus 태그와 잠재적 스캔 결과를 태그 값으로 추가합니다.

자세한 내용은 S3용 멀웨어 보호에서 S3 객체 스캔 모니터링 단원을 참조하십시오.

생성된 결과 검토

결과 검토는 S3용 멀웨어 보호를 에서 사용하고 있는지 여부에 따라 달라집니다. GuardDuty 다음 시나리오를 고려해 보세요.

GuardDuty 서비스를 활성화한 경우 S3용 멀웨어 보호 사용 (탐지기 ID)

멀웨어 스캔이 S3 객체에서 잠재적으로 악의적인 파일을 GuardDuty 탐지하면 관련 검색 결과가 생성됩니다. 검색 결과 세부 정보를 보고 권장 단계를 사용하여 검색 결과를 잠재적으로 수정할 수 있습니다. 검색 결과 내보내기 빈도에 따라 생성된 검색 결과는 S3 버킷 및 EventBridge 이벤트 버스로 내보내집니다.

생성되는 검색 결과 유형에 대한 자세한 내용은 을 참조하십시오S3에 대한 멀웨어 보호 검색 유형.

S3용 멀웨어 방지를 독립 기능으로 사용 (탐지기 ID 없음)

GuardDuty 연결된 탐지기 ID가 없기 때문에 검색 결과를 생성할 수 없습니다. 기본 이벤트 버스에 GuardDuty 자동으로 게시되는 스캔 결과를 보면 S3 객체 멀웨어 스캔 상태를 알 수 있습니다. 또한 CloudWatch 지표를 보고 스캔을 GuardDuty 시도한 객체 및 바이트 수를 평가할 수 있습니다. 검색 결과에 대한 알림을 받도록 CloudWatch 경보를 설정할 수 있습니다. S3 객체 태깅을 활성화한 경우, S3 객체의 GuardDutyMalwareScanStatus 태그 키와 스캔 결과 태그 값을 확인하여 멀웨어 스캔 상태를 볼 수도 있습니다.

S3 객체 스캔 상태 및 결과에 대한 자세한 내용은 을 참조하십시오S3용 멀웨어 보호에서 S3 객체 스캔 모니터링.