S3용 맬웨어 보호는 어떻게 작동하나요?

이 섹션에서는 S3용 멀웨어 방지의 구성 요소, S3 버킷에 대해 활성화한 후 작동하는 방법, 맬웨어 검사 상태 및 결과를 검토하는 방법에 대해 설명합니다.

개요

자체 버킷에 속하는 Amazon S3S3 버킷에 대해 S3용 맬웨어 보호를 활성화할 수 있습니다 AWS 계정. GuardDuty는 전체 버킷에 대해이 기능을 활성화하거나, 선택한 접두사 중 하나로 시작하는 업로드된 각 객체를가 스캔하는 특정 객체 접두사로 맬웨어 GuardDuty 스캔 범위를 제한할 수 있는 유연성을 제공합니다. 최대 5개의 접두사를 추가할 수 있습니다. S3 버킷에 이 기능을 활성화하면 해당 버킷을 보호된 버킷이라고 합니다.

IAM 역할 권한

S3용 맬웨어 보호는가 사용자를 대신하여 맬웨어 스캔 작업을 GuardDuty 수행하도록 허용하는 IAM 역할을 사용합니다. 이러한 작업에는 선택한 버킷에 새로 업로드된 객체에 대한 알림 받기, 해당 객체 스캔하기, 스캔한 객체에 선택적으로 태그 추가하기 등이 포함됩니다. 이 기능으로 S3 버킷을 구성하기 위한 전제 조건입니다.

기존 IAM 역할을 업데이트하거나이 용도로 새 역할을 생성할 수 있습니다. 둘 이상의 버킷에 대해 S3용 맬웨어 보호를 활성화하면 필요에 따라 다른 버킷 이름을 포함하도록 기존 IAM 역할을 업데이트할 수 있습니다. 자세한 내용은 IAM 역할 정책 생성 또는 업데이트 단원을 참조하십시오.

스캔 결과를 기반으로 객체의 선택적 태그 지정

버킷에 대해 S3용 맬웨어 보호을 사용 설정할 때, 스캔한 S3 객체에 대해 태그 지정을 사용 설정하는 옵션 단계가 있습니다. IAM 역할에는 스캔 후 객체에 태그를 추가할 수 있는 권한이 이미 포함되어 있습니다. 그러나 GuardDuty 는 설정 시이 옵션을 활성화한 경우에만 태그를 추가합니다.

객체를 업로드하려면 먼저 이 옵션을 활성화해야 합니다. 스캔이 끝나면는 다음 키:값 페어를 사용하여 스캔한 S3 객체에 사전 정의된 태그를 GuardDuty 추가합니다.

GuardDutyMalwareScanStatus:Potential scan result

잠재적 스캔 결과 태그 값에는 NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED 및 FAILED가 포함됩니다. 이러한 값에 대한 자세한 내용은 S3 객체 전위 스캔 상태 및 결과 상태 단원을 참조하세요.

태깅을 활성화하는 것은 S3 객체 스캔 결과를 알 수 있는 방법 중 하나입니다. 또한 이러한 태그를 사용하여 태그 기반 액세스 제어(TBAC) S3 리소스 정책을 추가하여 잠재적으로 악의적인 객체에 대해 조치를 취할 수 있습니다. 자세한 내용은 S3 버킷 리소스TBAC에 추가 단원을 참조하십시오.

버킷에 대해 S3용 맬웨어 방지를 구성할 때 태그 지정을 활성화하는 것이 좋습니다. 객체가 업로드되고 잠재적으로 스캔이 시작된 후 태그 지정을 활성화하면 GuardDuty 는 스캔된 객체에 태그를 추가할 수 없습니다. 연결된 S3 객체 태깅 비용에 대한 자세한 내용은 S3용 맬웨어 보호의 가격 및 사용 비용을 참조하세요.

버킷에 대해 S3용 멀웨어 방지을 사용하도록 설정한 후 프로세스

S3용 맬웨어 방지를 활성화하면 선택한 S3 버킷에 대해서만 맬웨어 방지 계획 리소스가 생성됩니다. 이 리소스는 보호되는 리소스의 고유 식별자인 맬웨어 방지 플랜 ID와 연결되어 있습니다. IAM 권한 중 하나를 사용하여의 이름으로 EventBridge 관리형 규칙을 GuardDuty 생성하고 관리합니다DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

가 데이터를 GuardDuty 처리하는 방법 - 데이터 보호를 위한 가드레일

S3용 맬웨어 보호는 Amazon EventBridge 알림을 수신합니다. 객체가 선택한 버킷 또는 접두사 중 하나에 업로드되면는를 사용하여 S3 버킷에서 해당 객체를 GuardDuty 다운로드AWS PrivateLink한 다음 동일한 리전의 격리된 환경에서 객체를 읽고, 복호화하고, 스캔합니다. 스캔 환경은 인터넷 액세스 없이 잠긴 가상 프라이빗 클라우드(VPC)에서 실행됩니다. VPC는가 AWS 소유한 허용 목록에 있는 도메인에 대해서만 통신을 허용하는 DNS 방화벽 규칙 그룹에 연결됩니다. 스캔 기간 동안는 다운로드한 S3 객체를 AWS Key Management Service (AWS KMS) 키로 암호화된 스캔 환경 내에 GuardDuty 임시로 저장합니다.

참고

기본적으로 Amazon S3 사용 설명서의 객체 생성 이벤트 유형 아래에 APIs 나열된 모든 Amazon S3는 S3용 맬웨어 보호를 시작합니다. Amazon S3

이러한 이벤트 유형에는 PutObject, POST 객체, 및 CopyObject가 포함됩니다CompleteMultipartUpload.

GuardDuty 맬웨어 감지 방법론 및 사용하는 스캔 엔진에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 멀웨어 탐지 스캔 엔진.

맬웨어 스캔이 완료되면는 스캔 메타데이터를 스캔 상태로 GuardDuty 처리한 다음 다운로드한 객체 사본을 삭제합니다.

GuardDuty 는 새 스캔이 시작되기 전에 매번 스캔 환경을 정리합니다.는 운영자가 스캔 환경에 액세스할 수 있도록 조건부 권한 부여를 GuardDuty 사용하며 모든 액세스 요청은 검토, 승인 및 감사됩니다.

S3 객체 스캔 상태 및 결과 검토

GuardDuty 는 S3 객체 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty 또한는 스캔한 객체 수 및 스캔한 바이트와 같은 스캔 지표를 Amazon에 전송합니다 CloudWatch. 태그 지정을 활성화한 경우 GuardDuty 는 사전 정의된 태그GuardDutyMalwareScanStatus와 잠재적 스캔 결과를 태그 값으로 추가합니다.

자세한 내용은 S3용 멀웨어 방지에서 S3 객체 스캔 모니터링하기 단원을 참조하십시오.

생성된 조사 결과 검토

조사 결과 검토는 S3용 맬웨어 보호를와 함께 사용하는지 여부에 따라 달라집니다 GuardDuty. 다음 시나리오를 고려해 보세요.

GuardDuty 서비스가 활성화된 경우 S3용 맬웨어 보호 사용(감지기 ID)

맬웨어 스캔이 S3 객체에서 잠재적으로 악의적인 파일을 감지하면가 관련 결과를 GuardDuty 생성합니다. 조사 결과를 자세히 보고 권장 단계를 사용하여 조사 결과를 잠재적으로 수정할 수 있습니다. 결과 내보내기 빈도에 따라 생성된 결과가 S3 버킷 및 EventBridge 이벤트 버스로 내보내집니다.

생성될 조사 결과 유형에 대한 자세한 내용은 S3용 맬웨어 보호 결과 유형을 참조하세요.

S3용 멀웨어 방지을 독립 기능으로 사용(감지기 ID 없음)

GuardDuty 연결된 감지기 ID가 없기 때문에에서 결과를 생성할 수 없습니다. S3 객체 맬웨어 스캔 상태를 알기 위해가 기본 이벤트 버스에 자동으로 게시하는 GuardDuty 스캔 결과를 볼 수 있습니다. 또한 CloudWatch 지표를 보고 스캔을 GuardDuty 시도한 객체 수와 바이트 수를 평가할 수 있습니다. 경보를 설정 CloudWatch하여 스캔 결과에 대한 알림을 받을 수 있습니다. S3 객체 태깅을 활성화한 경우, S3 객체에서 GuardDutyMalwareScanStatus 태그 키와 검사 결과 태그 값을 확인하여 멀웨어 검사 상태를 볼 수도 있습니다.

S3 객체 스캔 상태 및 결과에 대한 자세한 내용은 S3용 멀웨어 방지에서 S3 객체 스캔 모니터링하기를 참조하세요.