Como funciona a proteção contra malware para S3?

Esta seção descreve os componentes do Malware Protection for S3 que ajudarão você a entender como ele funciona.

Visão geral

Você pode ativar o Malware Protection for S3 para um bucket Amazon S3 que pertença ao seu. Conta da AWS GuardDutyoferece flexibilidade para ativar esse recurso para todo o bucket ou limitar o escopo da verificação de malware a prefixos de objetos específicos, onde GuardDuty verifica cada objeto carregado que começa com um dos prefixos selecionados. Você pode adicionar até 5 prefixos. Quando você ativa o recurso para um bucket do S3, esse bucket é chamado de bucket protegido.

PassRole Permissões do IAM

O Malware Protection for S3 usa um IAM PassRole que permite GuardDuty realizar as ações de verificação de malware em seu nome. Essas ações incluem ser notificado sobre os objetos recém-carregados no bucket selecionado, escanear esses objetos e, opcionalmente, adicionar tags aos objetos escaneados. Esse é um pré-requisito para configurar seu bucket do S3 com esse recurso.

Você tem a opção de atualizar uma função existente do IAM ou criar uma nova função para essa finalidade. Ao habilitar o Malware Protection for S3 para mais de um bucket, você pode atualizar a função existente do IAM para incluir o nome do outro bucket, conforme necessário. Para ter mais informações, consulte Pré-requisito: criar ou atualizar a política do IAM PassRole .

Marcação opcional de objetos com base no resultado da digitalização

No momento de ativar o Malware Protection for S3 em seu bucket, há uma etapa opcional para habilitar a marcação de objetos escaneados do S3. O IAM PassRole já inclui a permissão para adicionar tags ao seu objeto após o escaneamento. No entanto, GuardDuty adicionará tags somente quando você ativar essa opção no momento da configuração.

Você deve habilitar essa opção antes que um objeto seja carregado. Depois que a varredura terminar, GuardDuty adiciona uma tag predefinida ao objeto S3 digitalizado com o seguinte par chave/valor:

GuardDutyMalwareScanStatus:Potential scan result

Os valores potenciais da etiqueta do resultado da digitalização incluem NO_THREATS_FOUND THREATS_FOUNDUNSUPPORTED,ACCESS_DENIED,, FAILED e. Para obter mais informações sobre esses valores, consulteS3 object potential scan result value.

Ativar a marcação é uma das maneiras de saber sobre o resultado da digitalização de objetos do S3. Você também pode usar essas tags para adicionar uma política de recursos S3 de controle de acesso baseado em tags (TBAC) para que você possa realizar ações nos objetos potencialmente maliciosos. Para ter mais informações, consulte Adicionando TBAC ao recurso de bucket do S3.

Recomendamos que você ative a marcação no momento da configuração do Malware Protection for S3 em seu bucket. Se você ativar a marcação após o upload de um objeto e, potencialmente, o escaneamento iniciar, não GuardDuty será possível adicionar tags ao objeto digitalizado. Para obter informações sobre o custo associado à marcação de objetos do S3, consulte. Preços da proteção contra malware para S3

Depois de ativar o Malware Protection for S3 para um bucket

Depois de habilitar a Proteção contra Malware para o S3, um recurso do plano de Proteção contra Malware é criado exclusivamente para o bucket do S3 selecionado. Esse recurso está associado a um ID do plano de proteção contra malware, um identificador exclusivo para seu recurso protegido. Ao usar uma das permissões do IAM GuardDuty , cria e gerencia uma regra EventBridge gerenciada com o nome deDO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.

Guardrails para proteção de dados

O Malware Protection for S3 escuta EventBridge as notificações da Amazon. Quando um objeto é carregado no bucket selecionado ou em um dos prefixos, GuardDuty baixa esse objeto usando um AWS PrivateLinke depois o lê, descriptografa e escaneia em um ambiente isolado na mesma região. Durante o escaneamento, armazena GuardDuty temporariamente o objeto S3 baixado no ambiente de escaneamento. Depois que a verificação do malware for concluída, GuardDuty excluirá a cópia baixada do objeto.

Exibir o resultado da digitalização de objetos do S3

GuardDuty publica o evento de resultado da digitalização de objetos do S3 no barramento de eventos EventBridge padrão da Amazon. GuardDuty também envia as métricas de escaneamento, como número de objetos escaneados e bytes escaneados, para a Amazon. CloudWatch Se você ativou a marcação, GuardDuty adicionará a tag predefinida GuardDutyMalwareScanStatus e um possível resultado de escaneamento como o valor da tag.

Usando a Proteção contra Malware para S3 quando o GuardDuty serviço está ativado (ID do detector)

Se a verificação de malware detectar um arquivo potencialmente malicioso em um objeto do S3, GuardDuty gerará uma descoberta associada. Você pode visualizar os detalhes da descoberta e usar as etapas recomendadas para potencialmente remediar a descoberta. Com base na frequência de suas descobertas de exportação, a descoberta gerada é exportada para um bucket do S3 e um barramento de EventBridge eventos.

Usando a proteção contra malware para S3 como um recurso independente (sem ID de detector)

GuardDuty não será capaz de gerar descobertas porque não há uma ID de detector associada. Para saber o status da verificação de malware do objeto S3, você pode visualizar o resultado da verificação que é publicado GuardDuty automaticamente no seu barramento de eventos padrão. Você também pode visualizar as CloudWatch métricas para avaliar o número de objetos e bytes que GuardDuty tentaram escanear. Você pode configurar CloudWatch alarmes para ser notificado sobre os resultados da verificação. Se você ativou a marcação de objetos do S3, também poderá visualizar o status da verificação de malware verificando o objeto do S3 em busca da chave da tag e do GuardDutyMalwareScanStatus valor da tag do resultado da verificação.

Capacidades da proteção contra malware para S3

A lista a seguir fornece uma visão geral do que você pode esperar ou fazer depois de ativar o Malware Protection for S3 em seu bucket:

• Escolha o que verificar — Examine os arquivos à medida que eles são carregados em todos os prefixos ou em prefixos específicos (até 5) associados ao bucket do S3 selecionado.

• Escaneamentos automáticos em objetos enviados — Depois de ativar o Malware Protection for S3 para um bucket, GuardDuty iniciará automaticamente um escaneamento para detectar possíveis malwares em um objeto recém-carregado.

• Ative por meio do console, usando API/AWS CLI, ou AWS CloudFormation — Escolha um método preferido para ativar a Proteção contra Malware para S3.

  Você pode ativar a Proteção contra Malware para S3 usando a plataforma de infraestrutura como código (IaC), como o Terraform. Para obter mais informações, consulte Recurso: aws_guardduty_malware_protection_plan.

• Suporta a marcação de objetos S3 escaneados (opcional) — Após cada verificação de malware, GuardDuty adicionará uma tag que indica o status da verificação do objeto S3 carregado. Você pode usar essa tag para configurar o controle de acesso baseado em tags (TBAC) para os objetos do S3. Por exemplo, você pode restringir o acesso aos objetos do S3 que são considerados maliciosos e têm o valor da tag comoTHREATS_FOUND.

• EventBridge Notificações da Amazon — Ao configurar uma EventBridge regra, você receberá uma notificação sobre o status da verificação de malware do S3.

  Sua conta de GuardDuty administrador delegado receberá uma EventBridge notificação quando uma conta membro habilitar essa proteção para um bucket do Amazon S3 que pertence à sua própria conta.

• CloudWatch métricas — Visualize métricas incorporadas no GuardDuty console. Essas métricas incluem detalhes sobre seus objetos do S3.

Ao ativar também GuardDuty, você receberá uma constatação de segurança quando um objeto do S3 for identificado como contendo um arquivo potencialmente malicioso. GuardDuty recomenda etapas para ajudá-lo a corrigir a descoberta gerada.