AWS在re:Inforce大会上宣布GuardDuty Malware Protection for Amazon S3

在最近的re:Inforce云安全大会上，AWS宣布了GuardDuty Malware Protection for Amazon S3功能。该功能允许开发者在将新对象上传到Amazon S3存储桶时，扫描潜在的恶意软件、病毒和其他可疑内容，并在进一步处理之前立即隔离这些对象。

功能概述

• 恶意软件检测：使用多个AWS开发和行业领先的第三方恶意软件扫描引擎，确保在不影响S3的规模、延迟和弹性的情况下进行检测。
• 独立启用：即使账户中未启用核心GuardDuty功能，也可以启用GuardDuty Malware Protection for S3。
• 文件支持：支持最大5GB的文件，包括最多五层压缩、每层最多1000个文件的归档文件。
• 标签功能：扫描后可添加标签GuardDutyMalwareScanStatus，其值包括NO_THREATS_FOUND、THREATS_FOUND、UNSUPPORTED、ACCESS_DENIED或FAILED。
• 隔离功能：可以将恶意对象移动到隔离存储桶，所有S3恶意软件检测结果可以在AWS管理控制台中查看。

通知与集成

• 自动通知：扫描结果通过Amazon EventBridge自动通知，允许客户构建下游工作流或定义存储桶策略，以防止进一步访问某些对象。
• 与GuardDuty集成：如果在账户中启用了GuardDuty，还可以使用基础监控功能，如AWS CloudTrail管理事件、Amazon VPC流日志和DNS查询日志，并将安全发现发送到AWS Security Hub和Amazon Detective进行进一步调查。

定价与可用性

• 区域支持：在提供GuardDuty的所有区域中可用。
• 免费层：包括有限的免费层（每月1000次请求和1GB，最多12个月），之后按使用量收费。

行业反应

• Corey Quinn评论：Duckbill Group的首席云经济学家Corey Quinn认为，这一功能在七年前AirBNB的BinaryAlert中已有类似实现，质疑AWS为何现在才推出，并提到恶意软件签名更新后是否会对每个对象重新扫描（每次扫描费用为0.6美元/GB）。
• Reddit用户反馈：用户atccodex表示终于可以退役自定义解决方案，期待该功能的表现。

总结

GuardDuty Malware Protection for Amazon S3为开发者提供了更强的安全控制，帮助他们在对象上传时及时检测和隔离恶意软件。该功能独立于GuardDuty核心功能，支持大文件和归档文件，并通过标签和隔离功能增强了安全性。同时，自动通知和与AWS其他安全服务的集成为用户提供了全面的安全解决方案。