👌

GuardDuty Malware Protection for Amazon S3 を試してみた

2024/06/12に公開

3件

S3のマルウェア検索がしたい

S3 上のマルウェア検査をしたいと常日頃思っていた皆さん待望の GuardDuty のアップデートがついに来ました！！
(AWS re:Inforce 2024 の Keynote にて発表があり、夜中でしたがかなり盛り上がってました←)

今まで S3 上のマルウェア検査を行う場合 3rd Party のソリューションを選択する必要があったので、GuardDuty で対応してくれるのは嬉しい人はとても多いのではないかと思います。
私はとっても嬉しいです。

というわけで早速やってみました～

いきなりまとめ

オブジェクトを S3 バケットにアップロードした際、EventBridge が動作し、GuardDuty がオブジェクトをダウンロードしスキャンを行いマルウェアなど悪意のあるファイルを検出する
アカウント内で GuardDuty のメイン機能が有効になっていない場合でも、Malware Protection for Amazon S3 のみを単体で有効化できる ( 保護プラン内の機能として追加されている )
スキャン結果は EventBridge に送信されるため、ユーザ側で処理のカスタマイズが可能
*GuardDuty のメイン機能を有効にしていない場合ちょっと動作が異なるため注意
スキャンしたオブジェクトに対し、GuardDutyMalwareScanStatus というタグの自動付与が可能
これによってタグベースポリシーによるアクセス制御が可能
スキャンできるオブジェクトの最大サイズは 5GB
*アーカイブファイルもスキャン可能、対象外のオブジェクトの場合はスキャンがスキップされる
12か月の無料プラン中は利用料無料、その後は検査されたオブジェクトサイズとオブジェクト数に対しての課金
リージョナルサービスのため、スキャン対象の S3 バケットは有効化する GuardDuty と同一のリージョンのもののみ選択可能
　→複数リージョンの S3 バケットをスキャンする場合各リージョンでの設定が必要
現状マルチアカウント管理（委任されたアカウントでの各アカウント設定の統合管理はできない）
　→アカウントごとに個別で設定を有効化する必要がある

やってみた

有効化手順

GuardDuty のコンソールに行くと保護プランの中に追加されています
「S3 の Malware Protection を有効化」をクリックしていきます
スキャン対象の S3 バケットを選択します

*スキャン対象の S3 バケットは本機能を有効化する GuardDuty と同一のリージョン限定となっています
それ以外のリージョンのバケットは S3 バケットを選択する画面で表示されません

また、検査対象をバケット内のプレフィックスで指定したい場合、最大5つまで選択が可能です

スキャン後のタグ付けの選択
GuardDuty がスキャンを行うための IAM ロールを選択

必要な権限

ポリシー

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
      "Effect": "Allow",
      "Action": [
        "events:PutRule",
        "events:DeleteRule",
        "events:PutTargets",
        "events:RemoveTargets"
      ],
      "Resource": [
        "arn:aws:events:us-east-1:************:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
      ],
      "Condition": {
        "StringLike": {
          "events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
      "Effect": "Allow",
      "Action": [
        "events:DescribeRule",
        "events:ListTargetsByRule"
      ],
      "Resource": [
        "arn:aws:events:us-east-1:************:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
      ]
    },
    {
      "Sid": "AllowPostScanTag",
      "Effect": "Allow",
      "Action": [
        "s3:PutObjectTagging",
        "s3:GetObjectTagging",
        "s3:PutObjectVersionTagging",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::ano-bucket-us-east-1/*"
      ]
    },
    {
      "Sid": "AllowEnableS3EventBridgeEvents",
      "Effect": "Allow",
      "Action": [
        "s3:PutBucketNotification",
        "s3:GetBucketNotification"
      ],
      "Resource": [
        "arn:aws:s3:::ano-bucket-us-east-1"
      ]
    },
    {
      "Sid": "AllowPutValidationObject",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::ano-bucket-us-east-1/malware-protection-resource-validation-object"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::ano-bucket-us-east-1"
      ]
    },
    {
      "Sid": "AllowMalwareScan",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::ano-bucket-us-east-1/*"
      ]
    },
    {
      "Sid": "AllowDecryptForMalwareScan",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:************:key/<key_id>",
      "Condition": {
        "StringLike": {
          "kms:ViaService": "s3.*.amazonaws.com"
        }
      }
    }
  ]
}

信頼関係

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection-plan.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}