最新のre:Inforceクラウドセキュリティカンファレンスで、AWSはGuardDuty Malware Protection for Amazon S3を発表した。このAmazon S3向けの新しいマルウェアスキャン機能により、チームはAmazon GuardDutyを使用して新しいオブジェクトのアップロードからマルウェアを検出できる。
この新機能により、開発者はAmazon S3バケットに新たにアップロードされたオブジェクトをスキャンし、潜在的なマルウェア、ウイルス、その他の疑わしいコンテンツを検出し、それらがさらに処理され取り込まれる前に、隔離措置を即座に取ることが出来るようになる。AWSのプリンシパル・デベロッパー・アドボケイトであるChanny Yun氏は、次のように書いている。
Amazon GuardDuty マルウェア保護は、AWSが開発した複数のマルウェアスキャンエンジンと業界をリードするサードパーティのマルウェアスキャンエンジンを使用し、Amazon S3のスケール、レイテンシー、回復力プロファイルを低下させることなくマルウェア検知を提供します。
また、S3上でのマルウェア検知は、アプリケーションの所有者が組織のバケットのセキュリティをよりコントロール可能にする。ドキュメントによると、アカウントでコアのGuardDutyが有効になっていなくても、S3のGuardDutyマルウェア保護を有効にできるという。Duckbill Groupのチーフ・クラウド・エコノミストであるCorey Quinn氏は、次のようにコメントしている。
AirBNBが7年以上前にBinaryAlertを構築したとき、これは素晴らしいアイデアでした。AWSはなぜこんなに時間がかかったのでしょうか?さらに、マルウェアのシグネチャが変更されたらどうなるのでしょうか--すべてのオブジェクトが再スキャンされるのでしょうか(1GBあたり60セントで)。
BinaryAlertは、サーバーレス、オープンソース、リアルタイムフレームワークで、悪意のあるファイルを検出するためにTerraformによって管理されている。Redditの人気スレッドで、ユーザーatccodexがコメントしている。
ようやくです!!!もしこれがうまく機能するなら、私のカスタムソリューションを引退させましょう!
新機能は、最大5GBまでのファイルサイズをサポートし、解凍後に最大5階層、1階層あたり1,000ファイルまでのアーカイブファイルを含み、タグ付けをサポートする。新しくアップロードされたオブジェクトをスキャンした後、GuardDuty は、スキャン ステータス値を持つGuardDutyMalwareScanStatus というタグを追加できる。NO_THREATS_FOUND、THREATS_FOUND、UNSUPPORTED、ACCESS_DENIED、またはFAILED。さらに、悪意のあるオブジェクトは隔離バケットに移動でき、S3マルウェアの調査結果はすべてAWS管理コンソールで見られる。
出典:AWSブログ
スキャン結果の自動通知はAmazon EventBridgeを使って行われ、顧客はダウンストリームワークフローを構築したり、特定のオブジェクトへのさらなるアクセスを防止するバケットポリシーを定義したりできる。この新機能では、AWSアカウントでGuardDutyが有効になっている必要はないが、Yun氏はこう付け加える。
ただし、アカウントでGuardDutyを有効にすれば、AWS CloudTrail管理イベント、Amazon Virtual Private Cloud(Amazon VPC)フロー・ログ、DNSクエリ・ログなどの基盤となるソースの完全な監視や、マルウェア保護機能を利用できる。また、AWS Security HubやAmazon Detectiveにセキュリティの調査結果を送信し、さらなる調査をできる。
Amazon S3 向け GuardDuty マルウェア保護は、GuardDutyが提供されているすべてのリージョンで利用できる。この新機能には、限定的な無量利用枠(毎月1,000リクエストと1GB、最大12ヶ月間)が含まれ、その後は使用量に応じて課金される。