안녕하세요! 클래스메소드 금상원 입니다. 이번 블로그에서는 Amazon GuardDuty에서 Amazon S3를 위한 맬웨어 방지 기능을 출시 하였기에 확인해보았습니다.
개요
AWS 에서 Amazon S3 버킷에 악성 파일 업로드를 탐지하는 GuardDuty 맬웨어 방지 기능을 정식 출시하였습니다.
이전의 Amazon GuardDuty 맬웨어 방지 기능에 대해
Amazon EC2 에서 실행되는 인스턴스 또는 컨테이너 워크로드나 Amazon EBS 볼륨을 활용하는 워크로드에 대한 파일 스캔을 하여 악성파일을 감지합니다.
새롭게 업데이트된 Amazon GuardDuty 맬웨어 방지 기능에 대해
이제는 위의 Amazon EC2 나 Amazon EBS 뿐만아니라 Amazon S3용 GuardDuty 맬웨어 방지를 사용하여 특정 버킷에 내장된 맬웨어 및 바이러스 방지 기능을 통해 대규모 악성 파일 평가를 자동화하는 데 따른 운영 복잡성과 비용 오버헤드를 제거할 수 있습니다.
설정 해보기
GuardDuty 에서 설정 1
GuardDuty 화면의 왼쪽 메뉴에서「S3의 밀웨어 보호」를 클릭 합니다.
아래의 보호된 버킷에서「활성화」버튼을 클릭합니다.
S3 버킷 세부 정보 입력에서 보호할 S3 를 설정한 후 S3에 저장된 모든 객체를 보호할 것 인지 특정 접두사로 시작하는 객체만 보호할 것 인지 선택합니다.
새로 업로드된 S3 객체를 스캔한 후 GuardDuty는 키를 GuardDutyMalwareScanStatus로, 값을 스캔 상태로 사용하여 아래의 사전 정의된 태그를 추가할 수 있습니다.
- NO_THREATS_FOUND – 스캔된 객체에서 위협이 발견되지 않았습니다.
- THREATS_FOUND – 스캔 중 잠재적인 위협이 탐지되었습니다.
- UNSUPPORTED – GuardDuty에서 크기 때문에 이 객체를 스캔할 수 없습니다.
- ACCESS_DENIED – GuardDuty에서 객체에 액세스할 수 없습니다. 권한을 확인하세요.
- FAILED – GuardDuty에서 객체를 스캔할 수 없습니다.
IAM 정책 작성
S3의 밀웨어 보호를 위해 IAM 역활을 생성해야합니다.
IAM 역활에 설정할 정책은 S3의 밀웨어 보호 활성화 설정에서 확인할 수 있습니다.
위의 검사한 객체 태깅 설정 아래의 권한 부분에서「권한 보기」를 클릭 하면 필요한 정책과 신뢰관계를 복사할 수 있습니다.
옆의「IAM에서 권한 연결」을 클릭하면 바로 IAM역활 화면으로 넘어갈 수 있습니다.
「권한 보기」를 클릭하면 위의 화면이 표시됩니다. 복사하여 IAM 역활을 작성합니다.
먼저 IAM 역활에 설정할 정책을 작성합니다. IAM 화면의 정책에서「정책 생성」버튼을 클릭합니다.
권한 지정의 정책 편집기에서 JSON을 클릭한 후 위의 권한 보기에서 복사한 내용을 붙여 넣습니다.
정책 이름을 입력한 후 정책을 작성합니다.
IAM 역활 생성
IAM 화면의 역활에서「역활 생성」버튼을 클릭합니다.
신뢰할 수 있는 엔티티 유형에서「사용자 지정 신뢰 정책」을 선택합니다.
사용자 지정 신뢰 정책 내용에서는 위의 권한 보기에서 신뢰관계의 내용을 복사하여 붙여넣습니다.
IAM 역활에 설정할 정책은 위에서 작성한 정책을 선택합니다.
역활 이름을 입력한 후 역활을 작성합니다.
GuardDuty 에서 설정 2
다시 GuardDuty의 S3 밀웨어 보호 활성화 설정 화면으로 돌아와서 IAM 역활을 위에서 작성한 IAM 역활로 설정하고 아래의「활성화」버튼을 클릭하여 완료합니다.
확인해 보기
활성화가 완료되면 밀웨어 보호가 활성화된 S3의 상태가 Active 로 표시되는 것을 확인할 수 있습니다.
마무리
이번 블로그에서는 GuardDuty의 S3 밀웨어 보호 기능에 대해 알아보았습니다.
S3 파일에 악성 파일이 있는지 신경쓰이던 분들께 조금이나마 도움이 되었으면 좋겠습니다.
31
