go top
  1. 首頁
  2. 技術文章

GuardDuty 惡意軟體防護強化 S3 儲存安全

技術文章 | 2025/10/20

簡介

雲端儲存安全已成為企業資料保護的關鍵挑戰之一。如何運用 AWS GuardDuty 惡意軟體防護服務來保護 S3 Bucket,並介紹防護設置流程、威脅檢測機制。企業可借助 GuardDuty 全託管威脅檢測服務實現自動化掃描,即時識別潛在惡意檔案,提升資料安全性降低資安風險,實現更高效率與主動式的安全防護方式。


資料安全是企業因應資安威脅和法規遵循,從傳統被動式防護轉向主動式威脅檢測模式。特別是在提升檔案掃描、加速威脅回應和風險管理方面。GuardDuty 惡意軟體防護 (Malware Protection for S3) 能夠自動掃描上傳至 S3 的物件,檢測潛在威脅並即時標記,而不需要人工介入或複雜配置,能在檔案上傳至 S3 Bucket 時自動掃描並檢測潛在惡意檔案,協助企業快速發現並回應威脅,提升雲端資料保護強度。這項服務與 IAM 角色管理,幫助企業建立完整的安全防護體系,實現從檔案上傳到威脅檢測全程監控,此外,GuardDuty 提供了集中式安全調查結果即時圖,整合威脅嚴重程度評估和補救建議,提供了完整安全管理能力。


客戶需求與挑戰

客戶需求

  1. 即時威脅檢測: 能夠在檔案上傳至 S3 Bucket 即時檢測潛在惡意檔案,避免延遲造成資料風險。
  2. 自動化安全監控: 降低人工檢測成本,提升資安事件處理效率。
  3. 改進安全回應:提升威脅識別速度及安全事件處理效率。
  4. 保護關鍵資料 : 確保 S3 儲存中的企業敏感資料不受惡意軟體感染或竄改
  5. 合規性要求:滿足企業內部政策及外部法規的資安檢測需求。

挑戰

  1. 權限配置複雜性: GuardDuty 需要特定IAM 權限與角色設置需正確,否則會影響檢測運作。
  2. 資料隱私與合規性: 掃描過程中需確保資料隱私和符合法規要求。
  3. 上傳檔案來源多樣,難以人工逐一檢查即時惡意檔案偵測能力。
  4. 缺乏即時檢測能力:傳統安全防護難以及時發現 S3 上傳過程中惡意檔案。
  5. 資安專業人力有限:企業往往缺乏具備雲端威脅檢測與回應經驗資安人員。


解決方案設計

某傳統產業商務公司 DGC Power 擁有大量使用者上傳檔案需求,其中包含:

S3 Bucket:用於儲存用戶上傳的文件、圖片和其他數位資產。

敏感資料:包含客戶資訊和商業文件,需要高度安全防護。


由於資安威脅日益嚴重,公司決定實施 GuardDuty 惡意軟體防護,以主動檢測和防範惡意檔案上傳,保護企業資料和客戶隱私。啟用 AWS GuardDuty 惡意軟體防護功能,將指定 S3 Bucket 接入檢測範圍。當使用者上傳檔案至 Bucket 時,GuardDuty 自動觸發掃描,若發現異常則會產生 Findings,提供詳細檔案風險資訊與修補建議。


整體設計包含:

  1. GuardDuty 啟用與設定:將 S3 Bucket 接入保護範圍,開啟標記掃描功能。
  2. IAM 角色配置:建立專屬角色,設定信任政策與必要權限。


綜上所述,架構流程如下圖所示



解決方案步驟

步驟 1:配置 IAM 角色與權限

  1. 建立自訂信任政策:
  2. 在 IAM 控制台建立新角色,選擇自訂信任政策




  1. 複製 GuardDuty 提供的信任關係政策並貼上。



{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Service": "malware-protection-plan.guardduty.amazonaws.com"

},

"Action": "sts:AssumeRole"

}

]

}


  1. 為角色命名(例如:GuardDutyS3Role),建立角色。




  1. 設定服務權限:
  2. 點擊IAM 角色GuardDutyS3nRole。



  1. 在許可標籤,建立內嵌政策,貼上 GuardDuty 提供權限政策範本,點選下一步。


{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",

"Effect": "Allow",

"Action": [

"events:PutRule",

"events:DeleteRule",

"events:PutTargets",

"events:RemoveTargets",

"events:DescribeRule",

"events:ListTargetsByRule"

],

"Resource": [

"arn:aws:events:ap-northeast-1::rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3"

],

"Condition": {

"StringLike": {

"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"

}

}

},

{

"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",

"Effect": "Allow",

"Action": [

"events:DescribeRule",

"events:ListTargetsByRule"

],

"Resource": [

"arn:aws:events:ap-northeast-1::rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3"

]

},

{

"Sid": "AllowPostScanTag",

"Effect": "Allow",

"Action": [

"s3:PutObjectTagging",

"s3:GetObjectTagging",

"s3:PutObjectVersionTagging",

"s3:GetObjectVersionTagging"

],

"Resource": [

"arn:aws:s3:::dgcpower/*"

]

},

{

"Sid": "AllowEnableS3EventBridgeEvents",

"Effect": "Allow",

"Action": [

"s3:PutBucketNotification",

"s3:GetBucketNotification"

],

"Resource": [

"arn:aws:s3:::dgcpower"

]

},

{

"Sid": "AllowPutValidationObject",

"Effect": "Allow",

"Action": [

"s3:PutObject"

],

"Resource": [

"arn:aws:s3:::dgcpower/malware-protection-resource-validation-object"

]

},

{

"Effect": "Allow",

"Action": [

"s3:ListBucket"

],

"Resource": [

"arn:aws:s3:::dgcpower"

]

},

{

"Sid": "AllowMalwareScan",

"Effect": "Allow",

"Action": [

"s3:GetObject",

"s3:GetObjectVersion"

],

"Resource": [

"arn:aws:s3:::dgcpower/*"

]

},

{

"Sid": "AllowEventBridgePermissions",

"Effect": "Allow",

"Action": [

"events:PutRule",

"events:PutTargets",

"events:DeleteRule",

"events:RemoveTargets",

"events:DescribeRule",

"events:ListTargetsByRule"

],

"Resource": "*"

}

]

}


  1. 為政策名稱命名: allow-guardduty



  1. 完成政策建立並附加至角色。



步驟 2:啟用 GuardDuty S3 惡意軟體防護

  1. 進入 GuardDuty 控制台,選擇 S3 惡意軟體防護功能。



  1. 點選啟用,並選擇需要保護的 S3 Bucket(例如:dgcpower)。



  1. 啟用標記掃描的物件選項,允許 GuardDuty 為掃描的物件添加標籤以便追蹤。


  1. 許可選擇我們建立的角色GuardDutyS3Role,點擊 啟用

  1. 啟用成功



步驟 3:啟用防護並驗證設定

  1. 返回 GuardDuty 控制台,確認防護狀態顯示為 Active,表示設定成功。


步驟 4:威脅檢測與監控

  1. S3儲存體詳細資訊,查看防護詳細資訊:
  2. 在 GuardDuty 控制台檢視,查看是否有被感染檔案數量。
  3. 可點擊個別檔案查看問題清單,包括威脅類型、嚴重程度和風險評估。



成效與未來展望

成效

  1. 即時防護:檔案上傳即時檢測,透過自動化掃描即時檢測惡意檔案,顯著降低資安風險。
  2. 成本節省:減少人工檢測需求,提升安全營運效率,採用全託管服務減少建置和維護專屬防毒系統的成本。
  3. 效率提升完整可見性:提供詳細 Findings 報告,支援資安稽核與追蹤,縮短威脅檢測時間,加速安全事件回應流程。


未來展望

  1. 深度整合安全服務:與 AWS Security Hub、Amazon EventBridge 整合,自動化事件回應防護體系。
  2. 持續優化威脅情資:透過 AWS 資安網路,不斷更新偵測規則,實現自動化威脅回應和檔案隔離。
  3. 擴展防護範圍:GuardDuty 防護擴展至更多 S3 Bucket 和其他 AWS 資源,建立全面安全威脅偵測體系。


結論

S3 儲存安全是企業資料保護的重要環節,借助GuardDuty 惡意軟體防護服務,為企業提供自動化且全託管 S3 檔案安全檢測能力。透過即時掃描與 Findings 報告,企業能快速識別並應對潛在威脅,顯著提升雲端資料安全性,企業可以高效率實現自動化威脅檢測和即時安全監控。透過完善防護設定和持續安全監控,能主動識別和防範惡意軟體威脅,實現資料安全持續提升,讓資安風險有效降低。