推出适用于 Amazon S3 的 Amazon GuardDuty 恶意软件保护

我们宣布 Amazon GuardDuty 恶意软件保护功能现已普遍可用，适用于 Amazon 简单存储服务 (Amazon S3)，这扩展了 GuardDuty 恶意软件保护功能，可以检测上传到选定 S3 存储桶的恶意文件。此前，GuardDuty 恶意软件保护提供了无代理扫描功能，以识别附加到 Amazon 弹性块存储 (Amazon EBS) 卷上的 Amazon 弹性计算云 (Amazon EC2) 和容器工作负载上的恶意文件。

现在，您可以持续评估上传到 S3 存储桶的新对象是否存在恶意软件，并采取行动隔离或消除任何发现的恶意软件。Amazon GuardDuty 恶意软件保护使用多个 Amazon Web Services (AWS) 开发和行业领先的第三方恶意软件扫描引擎来提供恶意软件检测，而不会降低 Amazon S3 的规模、延迟和弹性特性。

通过适用于 Amazon S3 的 GuardDuty 恶意软件保护，您可以在指定的 S3 存储桶上使用内置的恶意软件和防病毒保护，帮助您消除与大规模自动化恶意文件评估相关的操作复杂性和成本开销。与许多现有的恶意软件分析工具不同，GuardDuty 的这一托管解决方案不需要您在每个 AWS 账户和 AWS 区域中管理自己的隔离数据管道或计算基础设施。

您的开发和安全团队可以共同配置和监督整个组织中的恶意软件保护，对指定的存储桶进行扫描，以确保来自不信任实体的新上传数据是否存在恶意软件。您可以在 GuardDuty 中配置扫描后操作，例如对象标记，以通知下游处理，或者通过 Amazon EventBridge 提供的扫描状态信息来实现对恶意上传对象的隔离。

开始使用 GuardDuty 恶意软件保护您的 S3 存储桶
要开始使用，请在 GuardDuty 控制台中选择 Malware Protection for S3 并选择 Enable。

输入 S3 存储桶名称或选择 Browse S3 从当前选择的区域的存储桶列表中选择一个 S3 存储桶名称。当您希望 GuardDuty 扫描选定存储桶中所有新上传的对象时，可以选择 All the objects in the S3 bucket。或者，当您希望扫描属于特定前缀的新上传对象时，也可以选择 Objects beginning with a specific prefix。

扫描新上传的 S3 对象后，GuardDuty 可以添加一个预定义标签，键为 GuardDutyMalwareScanStatus，值为扫描状态：

• NO_THREATS_FOUND – 扫描对象中未发现威胁。
• THREATS_FOUND – 扫描过程中检测到潜在威胁。
• UNSUPPORTED – 由于大小原因，GuardDuty 无法扫描此对象。
• ACCESS_DENIED – GuardDuty 无法访问对象。检查权限。
• FAILED – GuardDuty 无法扫描该对象。

当您希望 GuardDuty 为已扫描的 S3 对象添加标签时，选择 Tag objects。使用标签，您可以创建策略，防止在恶意软件扫描完成之前访问对象，并防止您的应用程序访问恶意对象。

现在，您必须首先创建并附加一个包含所需权限的 AWS 身份和访问管理 (IAM) 角色：

• EventBridge 操作以创建和管理 EventBridge 托管规则，以便 S3 的恶意软件保护可以监听您的 S3 事件通知。
• Amazon S3 和 EventBridge 操作，以将 S3 事件通知发送到 EventBridge，适用于此存储桶中的所有事件。
• Amazon S3 操作以访问上传的 S3 对象并向已扫描的 S3 对象添加预定义标签。
• AWS 密钥管理服务 (AWS KMS) 密钥操作，以在扫描之前访问对象，并在支持 DSSE-KMS 和 SSE-KMS 的存储桶上放置测试对象。

要添加这些权限，请选择 View permissions 并复制策略模板和信任关系模板。这些模板包含占位符值，您应将其替换为与您的存储桶和 AWS 账户关联的适当值。您还应替换 AWS KMS 密钥 ID 的占位符值。

现在，选择 Attach permissions，这会在新标签中打开 IAM 控制台。您可以选择创建一个新的 IAM 角色或使用复制的模板中的权限更新现有的 IAM 角色。如果您希望提前创建或更新 IAM 角色，请访问 AWS 文档中的 前提条件 – 创建或更新 IAM PassRole 策略。

最后，返回打开 IAM 控制台的 GuardDuty 浏览器标签，选择您创建或更新的 IAM 角色，并选择 Enable。

现在，您将在受保护存储桶的保护 Status 列中看到 Active。

选择 View all S3 malware findings 以查看与扫描的 S3 存储桶关联的 GuardDuty 发现结果。如果您看到发现类型 Object:S3/MaliciousFile，GuardDuty 已将列出的 S3 对象检测为恶意。在 Findings 详情面板中选择 Threats detected 部分并按照推荐的补救步骤操作。要了解更多信息，请访问 AWS 文档中的 补救潜在恶意 S3 对象。

需要了解的事项
即使您的 AWS 账户未启用 GuardDuty，您也可以为 S3 存储桶设置 GuardDuty 恶意软件保护。但是，如果在您的账户中启用 GuardDuty，您可以全面监控基础数据源，如 AWS CloudTrail 管理事件、Amazon 虚拟私有云 (Amazon VPC) 流日志和 DNS 查询日志，以及恶意软件保护功能。您还可以将安全发现发送到 AWS Security Hub 和 Amazon Detective 进行进一步调查。

GuardDuty 可以扫描以下同步 Amazon S3 存储类 的文件：S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA 和 Amazon S3 Glacier Instant Retrieval。它将扫描已知用于传播或包含恶意软件的文件格式。该功能在推出时支持的文件大小上限为 5 GB，包括解压后最多五级和每级最多 1000 个文件的归档文件。

正如所说，GuardDuty 将为每个受保护的 S3 存储桶向您的 EventBridge 发送扫描指标。您可以设置警报并定义扫描后的操作，例如标记对象或将恶意对象移动到隔离存储桶。要了解更多其他监控选项，例如 Amazon CloudWatch 指标和 S3 对象标记，请访问 AWS 文档中的 监控 S3 对象扫描状态。

现已可用

定价基于每月扫描的对象 GB 容量和评估的对象数量。此功能附带有限的 AWS 免费套餐，包括每月 1000 次请求和 1 GB，适用于新 AWS 账户创建后前 12 个月或现有 AWS 账户至 2025 年 6 月 11 日。要了解更多信息，请访问 Amazon GuardDuty 定价 页面。

在 GuardDuty 控制台 试用适用于 Amazon S3 的 GuardDuty 恶意软件保护。更多信息，请访问 Amazon GuardDuty 用户指南 并通过 AWS re:Post for Amazon GuardDuty 或您通常的 AWS 支持联系人发送反馈。

*本文翻译自AWS News Blog：Introducing Amazon GuardDuty Malware Protection for Amazon S3