Como funciona a Proteção contra malware para o S3?

Esta seção descreve os componentes da Proteção contra malware para o S3, como ela funciona depois de habilitada para um bucket do S3 e como é possível revisar o status e o resultado da verificação de malware.

Visão geral

Para habilitar a Proteção contra malware para o S3 em um bucket do Amazon S3 que seja de sua propriedade Conta da AWS. O GuardDuty lhe oferece flexibilidade para habilitar esse recurso para todo o seu bucket ou limitar o escopo da verificação de malware a prefixos de objetos específicos, onde o GuardDuty verifica cada objeto carregado que começa com um dos prefixos selecionados. É possível adicionar até 5 prefixos. Ao ativar o recurso para um bucket S3, esse bucket é chamado de bucket protegido.

Permissões de perfil do IAM

A Proteção contra malware para o S3 usa uma função IAM que permite que o GuardDuty execute as ações de verificação de malware em seu nome. Entre essas ações estão ser notificado sobre os objetos recém-carregados no bucket selecionado, ler esses objetos e, opcionalmente, adicionar tags aos objetos lidos. Trata-se de um pré-requisito para configurar seu bucket S3 com esse recurso.

Existe a opção de atualizar uma função do IAM existente ou criar uma nova função para essa finalidade. Ao habilitar a Proteção contra malware para o S3 para mais de um bucket, é possível atualizar a função do IAM existente para incluir o nome do outro bucket, caso necessário. Para obter mais informações, consulte Criar ou atualizar a política do perfil do IAM.

Criação opcional de tags de objetos com base no resultado da verificação

Ao habilitar a Proteção contra malware para o S3 para o seu bucket, há uma etapa opcional para habilitar a criação de tags para objetos S3 lidos. A função do IAM já inclui a permissão para adicionar tags ao seu objeto após a verificação. No entanto, o GuardDuty adicionará tags somente ao ativar essa opção no momento da configuração.

Deve-se habilitar essa opção antes que um objeto seja carregado. Após o término da verificação, o GuardDuty adiciona uma tag predefinida ao objeto do S3 lido com o seguinte par chave/valor:

GuardDutyMalwareScanStatus:Potential scan result

Os possíveis valores da tag de resultado da verificação incluem NO_THREATS_FOUND, THREATS_FOUND, UNSUPPORTED, ACCESS_DENIED e FAILED. Para obter mais informações sobre esses valores, consulte Status de verificação potencial do objeto S3 e status do resultado.

A habilitação da criação de tags é uma das maneiras de saber sobre o resultado da verificação do objeto S3. Além disso, é possível usar essas tags para adicionar uma política de recursos do S3 de controle de acesso baseado em tags (TBAC), para que seja possível tomar medidas em relação aos objetos possivelmente maliciosos. Para obter mais informações, consulte Adicionando TBAC ao recurso do bucket do S3.

Recomendamos que a habilitação da colocação de tags seja feita no momento da configuração da Proteção contra malware para o S3 para o seu bucket. Caso tenha habilitado a colocação de tags após o upload de um objeto e possivelmente após o início da verificação, o GuardDuty não poderá adicionar tags ao objeto lido. Para obter informações sobre o custo associado com a colocação de tags em objetos S3, consulte Preço e custo de uso da Proteção contra Malware para S3.

Processe depois de habilitar a Proteção contra malware para o S3 para um bucket

Depois de habilitar a Proteção contra malware para o S3, um recurso do plano de Proteção contra Malware é criado exclusivamente para o bucket do S3 selecionado. Esse recurso está associado a um ID do plano de Proteção contra malware, um identificador exclusivo para seu recurso protegido. Ao usar uma das permissões do IAM, o GuardDuty cria e gerencia uma regra gerenciada do EventBridge com o nome de DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*

Como o GuardDuty trata os seus dados: barreiras para a proteção de dados

A Proteção contra malware para o S3 recebe as notificações do Amazon EventBridge. Quando um objeto é carregado para o bucket selecionado ou para um dos prefixos, o GuardDuty faz o download desse objeto do bucket S3 usando um AWS PrivateLink e, em seguida, lê, descriptografa e faz a verificação em um ambiente isolado na mesma região. O ambiente de verificação é executado em uma nuvem privada virtual (VPC) bloqueada, sem acesso à Internet. A VPC é anexada a um grupo de regras de firewall do DNS que permite a comunicação apenas com os domínios da lista de permissões que possui. AWS Durante a duração da verificação, o GuardDuty armazena temporariamente o objeto S3 baixado no ambiente de verificação, que é criptografado com chaves AWS Key Management Service (AWS KMS).

Para obter informações sobre a metodologia de detecção de malware do GuardDuty e os mecanismos de verificação que ela usa, consulte Mecanismo de verificação de detecção de malware GuardDuty.

Após a conclusão da verificação de malware, o GuardDuty processa os metadados da verificação com o status da verificação e, em seguida, exclui a cópia baixada do objeto.

O GuardDuty sempre limpa o ambiente de varredura antes do início de uma nova verificação. O GuardDuty usa autorização contingente para o acesso do operador ao ambiente de verificação, e cada solicitação de acesso é analisada, aprovada e auditada.

Analisando o status e o resultado da verificação de objetos do S3

O GuardDuty publica o evento do resultado da verificação de objetos do S3 no barramento de eventos padrão do Amazon EventBridge. O GuardDuty também envia as métricas de verificação, como número de objetos e bytes verificados, para o Amazon CloudWatch. Caso tenha habilitado a colocação de tags, o GuardDuty adicionará a tag predefinida GuardDutyMalwareScanStatus e um resultado potencial de verificação como valor da tag.

Para obter mais informações, consulte Monitorando verificações de objetos do S3 na Proteção contra Malware para S3.

Revisar descobertas geradas

A análise das descobertas depende de se estar usando ou não a Proteção contra malware para o S3 com o GuardDuty. Considere os seguintes cenários: