¿Cómo funciona la protección contra malware para S3?
En esta sección se describen los componentes de la protección contra malware para S3, cómo funciona después de habilitarla para un bucket de S3 y cómo puede revisar el estado y el producto del análisis de malware.
Descripción general
Puede habilitar la protección contra malware para S3 para un bucket de Amazon S3 que pertenezca a una Cuenta de AWS propia. GuardDuty ofrece la flexibilidad de habilitar esta característica para todo el bucket, o limitar el alcance del análisis de malware a prefijos de objetos específicos donde GuardDuty analiza cada objeto cargado que comienza con uno de los prefijos seleccionados. Puede agregar hasta 5 prefijos. Cuando se habilita la característica para un bucket de S3, ese bucket se denomina bucket protegido.
Permisos de roles de IAM
La protección contra malware para S3 utiliza un rol de IAM que permite a GuardDuty realizar las acciones de análisis de malware en su nombre. Estas acciones incluyen recibir una notificación de los objetos recién cargados en el bucket seleccionado, analizar dichos objetos y, opcionalmente, agregar etiquetas a los objetos analizados. Este es un requisito previo para configurar el bucket de S3 con esta característica.
Tiene la opción de actualizar un rol de IAM existente o crear un nuevo rol para este propósito. Al habilitar la protección contra malware para S3 para más de un bucket, podrá actualizar el rol de IAM existente de modo que incluya el nombre del otro bucket, según sea necesario. Para obtener más información, consulte Crear o actualizar la política del rol de IAM .
Etiquetado opcional de objetos en función del resultado del análisis
Al habilitar la protección contra malware para S3 para el bucket, es posible seguir un paso opcional para habilitar el etiquetado de los objetos de S3 analizados. El rol de IAM ya incluye el permiso para agregar etiquetas al objeto después del análisis. Sin embargo, GuardDuty agregará etiquetas solamente cuando habilite esta opción al momento de la configuración.
Debe habilitar esta opción antes de que se cargue un objeto. Una vez finalizado el análisis, GuardDuty agregará una etiqueta predefinida al objeto de S3 analizado con el siguiente par de clave y valor:
GuardDutyMalwareScanStatus:Potential scan
result
Los posibles valores de la etiqueta del producto del análisis son NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED y FAILED. Para obtener más información acerca de estos valores, consulte Estado potencial de análisis de objeto de S3 y estado del producto.
Habilitar el etiquetado es una de las formas de conocer el producto del análisis del objeto de S3. Además, puede utilizar estas etiquetas para agregar una política de recursos de S3 de control de acceso basado en etiquetas (TBAC), de modo que pueda tomar medidas respecto a los objetos potencialmente maliciosos. Para obtener más información, consulte Agregar TBAC en el recurso del bucket de S3.
Recomendamos que habilite el etiquetado en el momento de configurar la protección contra malware para S3 para el bucket. Si habilita el etiquetado después de que un objeto es cargado y potencialmente se inicia el análisis, GuardDuty no podrá agregar etiquetas al objeto analizado. Para obtener información sobre el costo asociado al etiquetado de objetos de S3, consulte Precios y costo de uso de la protección contra malware para S3.
Proceso posterior a la habilitación de la protección contra malware para S3 para un bucket
Tras habilitar la protección contra malware para S3, se creará un recurso del plan de protección contra malware exclusivo para el bucket de S3 seleccionado. Este recurso está asociado a un ID de plan de protección contra malware, que es un identificador único para el recurso protegido. Al utilizar uno de los permisos de IAM, GuardDuty creará y administrará una regla administrada de EventBridge con el nombre de DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*.
Cómo GuardDuty gestiona los datos: barreras de protección de datos
La protección contra malware para S3 escucha las notificaciones de Amazon EventBridge. Cuando un objeto se carga en el bucket seleccionado o en uno de los prefijos, GuardDuty descarga ese objeto del bucket de S3 por medio de un AWS PrivateLink y luego lo lee, descifra y analiza en un entorno aislado en la misma región. El entorno de análisis se ejecuta en una nube privada virtual (VPC) bloqueada sin acceso a Internet. La VPC se asocia a un grupo de reglas de firewall de DNS que solo permite la comunicación con los dominios de la lista de permitidos que AWS posee. Durante el análisis, GuardDuty almacena temporalmente el objeto de S3 descargado dentro del entorno de análisis que está cifrado con claves de AWS Key Management Service(AWS KMS).
nota
De forma predeterminada, todas las API de Amazon S3 enumeradas en el tipo de evento de objeto creado en la Guía del usuario de Amazon S3, iniciarán el análisis de protección contra malware para S3.
Estos tipos de eventos incluyen PutObject, POST Object, CopyObject y CompleteMultipartUpload.
Para obtener información sobre la metodología de detección de malware de GuardDuty y los motores de análisis que utiliza, consulte Motor de análisis de detección de malware de GuardDuty.
Después de que se complete el análisis de malware, GuardDuty procesará los metadatos del análisis con el estado del análisis y luego eliminará la copia descargada del objeto.
GuardDuty siempre limpia el entorno de análisis antes de que comience un nuevo análisis. GuardDuty utiliza la autorización contingente para el acceso del operador al entorno de análisis, y cada solicitud de acceso es revisada, aprobada y auditada.
Revisar el estado y el producto del análisis de objetos del S3
GuardDuty publica el evento del producto del análisis del objeto S3 en el bus de eventos predeterminado de Amazon EventBridge. GuardDuty también envía las métricas de análisis, como la cantidad de objetos analizados y los bytes analizados, a Amazon CloudWatch. Si habilitó el etiquetado, GuardDuty agregará la etiqueta predefinida GuardDutyMalwareScanStatus y un producto del análisis potencial como valor de la etiqueta.
importante
GuardDuty utiliza una entrega de al menos una vez, lo que significa que puede recibir varios resultados de análisis del mismo objeto. Le recomendamos que diseñe sus aplicaciones para gestionar los resultados duplicados. Solo se le facturará una vez por cada objeto analizado.
Para obtener más información, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
Revisar los resultados generados
La revisión de los resultados depende de si se utiliza o no la protección contra malware para S3 con GuardDuty. Considere los siguientes escenarios:
- Utilizar la protección contra malware para S3 cuando el servicio GuardDuty (ID de detector) esté habilitado
-
Si el análisis de malware detecta un archivo potencialmente malicioso en un objeto S3, GuardDuty generará un resultado asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. Según la Frecuencia de exportación de resultados, los resultados generados se exportan a un bucket de S3 y a un bus de eventos EventBridge.
Para obtener información sobre el tipo de resultado que se generará, consulte Tipo de resultado de la protección contra malware para S3.
- Utilizar la protección contra malware para S3 como una característica independiente (sin ID de detector)
-
GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del análisis de malware del objeto de S3, puede ver el producto del análisis que GuardDuty publica automáticamente en el bus de eventos predeterminado. Además, puede ver las métricas de CloudWatch para evaluar la cantidad de objetos y bytes que GuardDuty intentó analizar. Puede configurar alarmas de CloudWatch para recibir notificaciones sobre el producto del análisis. Si ha habilitado el etiquetado de objetos de S3, también podrá ver el estado del análisis de malware si comprueba en el objeto de S3 la clave de la etiqueta
GuardDutyMalwareScanStatusy el valor de la etiqueta del producto del análisis.Para obtener información sobre el estado y el producto del análisis de objetos de S3, consulte Supervisión de los análisis de objetos de S3 en la protección contra malware para S3.
