对上传到 Cloud Storage 的文件进行自动恶意软件扫描

设置环境

在本部分中，您需要为整个教程通篇使用的值（例如区域和地区）分配设置。在本教程中，您将使用 us-central1 作为 Cloud Run 服务的区域，使用 us 作为 Eventarc 触发器和 Cloud Storage 存储桶的位置。

1. 在 Cloud Shell 中，设置常见的 shell 变量，包括区域和位置：

   REGION=us-central1
   LOCATION=us
   PROJECT_ID=PROJECT_ID
   SERVICE_NAME="malware-scanner"
   SERVICE_ACCOUNT="${SERVICE_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"
   

   将 PROJECT_ID 设置为您的项目 ID。

2. 使用您的项目 ID 初始化 gcloud 环境：

   gcloud config set project "${PROJECT_ID}"
   

3. 创建三个具有唯一名称的 Cloud Storage 存储分区：

   gsutil mb -l "${LOCATION}" "gs://unscanned-${PROJECT_ID}"
   gsutil mb -l "${LOCATION}" "gs://quarantined-${PROJECT_ID}"
   gsutil mb -l "${LOCATION}" "gs://clean-${PROJECT_ID}"
   

   ${PROJECT_ID} 用于确保存储桶名称是唯一的。

   这三个存储桶用于在文件扫描流水线的各个阶段存放上传的文件：

   • unscanned-PROJECT_ID：存放尚未经过扫描的文件。您的用户会将其文件上传到此存储桶。

   • quarantined-PROJECT_ID：存放恶意软件扫描工具服务已扫描并认为其包含恶意软件的文件。

   • clean-PROJECT_ID：存放恶意软件扫描工具服务已扫描并发现其未受感染的文件。

4. 创建第四个 Cloud Storage 存储桶：

   gsutil mb -l "${LOCATION}" "gs://cvd-mirror-${PROJECT_ID}"
   

   ${PROJECT_ID} 用于确保存储桶名称是唯一的。

   此存储桶 cvd-mirror-PROJECT_ID 用于维护恶意软件定义数据库的本地镜像，以防止 ClamAV CDN 触发速率限制。

为恶意软件扫描工具服务创建服务帐号并授予权限

在本部分中，您将创建一个服务帐号，供恶意软件扫描工具服务使用，并向该服务帐号授予适当的角色，使其拥有读取和写入 Cloud Storage 存储桶的权限。这是为了确保该帐号具有最小权限，并且仅访问其所需资源。

1. 创建 malware-scanner 服务帐号：

   gcloud iam service-accounts create ${SERVICE_NAME}
   

2. 授予存储桶的 Object Admin 角色，以允许服务从未扫描的存储桶中读取和删除文件，以及将文件写入隔离的存储桶和干净的存储桶。

   gsutil iam ch \
       "serviceAccount:${SERVICE_ACCOUNT}:objectAdmin" \
       "gs://unscanned-${PROJECT_ID}"
   gsutil iam ch \
       "serviceAccount:${SERVICE_ACCOUNT}:objectAdmin" \
       "gs://clean-${PROJECT_ID}"
   gsutil iam ch \
       "serviceAccount:${SERVICE_ACCOUNT}:objectAdmin" \
       "gs://quarantined-${PROJECT_ID}"
   gsutil iam ch \
       "serviceAccount:${SERVICE_ACCOUNT}:objectAdmin" \
       "gs://cvd-mirror-${PROJECT_ID}"
   

3. 授予 Metric Writer 角色，以允许服务将指标写入 Monitoring：

   gcloud projects add-iam-policy-binding \
         "${PROJECT_ID}" \
         --member="serviceAccount:${SERVICE_ACCOUNT}" \
         --role=roles/monitoring.metricWriter
   

在 Cloud Run 中创建恶意软件扫描工具服务

在本部分中，您需要将恶意软件扫描工具服务部署到 Cloud Run。该服务在 Docker 容器中运行，并包含以下内容：

• Dockerfile，用于通过服务、Node.js 运行时、GCloud SDK 和 ClamAV 二进制文件构建容器映像。
• 恶意软件扫描工具 Cloud Run 服务的 Node.js 文件。
• config.json 配置文件，用于指定 Cloud Storage 存储桶名称。
• updateCvdMirror.sh shell 脚本，用于刷新 Cloud Storage 中的 ClamAV 恶意软件定义数据库镜像。
• cloud-run-proxy 服务向 freshclam 代理发出的 HTTP 请求，用于提供对 Cloud Storage API 的经过身份验证的访问权限。
• bootstrap.sh shell 脚本，用于在实例启动时运行必要的服务。

1. 在 Cloud Shell 中，克隆包含代码文件的 GitHub 代码库：

   git clone https://github.com/GoogleCloudPlatform/docker-clamav-malware-scanner.git
   

2. 切换到 cloudrun-malware-scanner 目录：

   cd docker-clamav-malware-scanner/cloudrun-malware-scanner
   

3. 修改 config.json 配置文件，以指定您刚刚创建的 Cloud Storage 存储桶。由于存储桶名称基于项目 ID，因此可以进行简单的搜索和替换：

   sed "s/-bucket-name/-${PROJECT_ID}/" config.json.tmpl > config.json
   

   您可以查看更新后的配置文件：

   cat config.json
   

4. 在 Cloud Storage 中执行 ClamAV 恶意软件数据库镜像的初始填充：

   python3 -m venv pyenv
   . pyenv/bin/activate
   pip3 install crcmod cvdupdate
   ./updateCvdMirror.sh "cvd-mirror-${PROJECT_ID}"
   deactivate
   

   这将执行 CVDUpdate 工具的本地安装，使用该工具下载恶意软件数据库，然后将其上传到您先前创建的 Cloud Storage 存储桶“cvd-mirror”。

   您可以查看镜像的内容：

   gsutil ls "gs://cvd-mirror-${PROJECT_ID}/cvds"
   

   该存储桶应包含多个 CVD 文件（包含完整的恶意软件数据库）、多个 .cdiff 文件（包含每日增量更新）以及两个 .json 文件（包含配置和状态信息）。

5. 使用先前创建的服务帐号创建和部署 Cloud Run 服务：

   gcloud beta run deploy "${SERVICE_NAME}" \
     --source . \
     --region "${REGION}" \
     --no-allow-unauthenticated \
     --memory 4Gi \
     --cpu 1 \
     --concurrency 20 \
     --min-instances 1 \
     --max-instances 5 \
     --no-cpu-throttling \
     --cpu-boost \
     --service-account="${SERVICE_ACCOUNT}"
   

   这将创建一个具有 1 个 vCPU 并使用 4GiB RAM 的 Cloud Run 实例。虽然对于本教程该实例大小足够，但在生产环境中，您可能需要为实例选择更大的 CPU 和内存大小，并且根据该服务需要处理的流量大小，您可能还需要设置更大的 --max-instances 参数。

   --concurrency 参数指定每个实例可以处理的并发请求数。

   --no-cpu-throttling 参数允许实例在后台执行操作，例如更新恶意软件定义。

   --cpu-boost 参数会在实例启动时将 vCPU 数量加倍，以缩短启动延迟时间。

   --min-instances 1 参数至少保持一个实例处于活跃状态，因为每个实例都需要较长的时间来启动，这样可以节省启动时间。

   --max-instances 5 参数可防止服务过度纵向扩容。

6. 出现提示时，输入 Y。

构建和部署过程大约需要 10 分钟时间来完成。完成后，您将看到一条消息：

Service [malware-scanner] revision [malware-scanner-NNNNN-XXX] has been deployed and is serving 100 percent of traffic.
Service URL: https://malware-scanner-XXXXXXXX-XX.a.run.app

将部署命令的输出中的 Service URL 值存储在一个 shell 变量中。稍后将在创建 Cloud Scheduler 作业时使用该信息：

SERVICE_URL="SERVICE_URL"

Cloud Run 服务要求所有调用都通过身份验证，并且进行身份验证的身份需要在服务上具有 run.routes.invoke 权限。

您可以通过执行以下命令来检查正在运行的服务和 ClamAV 版本：

curl -D - -H "Authorization: Bearer $(gcloud auth print-identity-token)"  \
     ${SERVICE_URL}

创建 Eventarc Cloud Storage 触发器

在本部分中，您将添加权限以允许 Eventarc 捕获 Cloud Storage 事件和一个触发器，以将这些事件发送到 Cloud Run malware-scanner 服务。

1. 如果您使用的是在 2021 年 4 月 8 日之前创建的现有项目，请为推送通知配置 Pub/Sub。

2. 在 Cloud Shell 中，向 Cloud Storage 服务帐号授予 roles/pubsub.publisher 角色：

   STORAGE_SERVICE_ACCOUNT=$(gsutil kms serviceaccount -p "${PROJECT_ID}")
   
   gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
     --member "serviceAccount:${STORAGE_SERVICE_ACCOUNT}" \
     --role "roles/pubsub.publisher"
   

3. 允许 malware-scanner 服务帐号调用 Cloud Run 服务，并充当 Eventarc 事件接收器：

   gcloud run services add-iam-policy-binding "${SERVICE_NAME}" \
     --region="${REGION}" \
     --member "serviceAccount:${SERVICE_ACCOUNT}" \
     --role roles/run.invoker
   gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
     --member "serviceAccount:${SERVICE_ACCOUNT}" \
     --role "roles/eventarc.eventReceiver"
   

4. 创建一个 Eventarc 触发器以捕获未扫描的 Cloud Storage 存储桶中的最终对象事件，并将其发送到您的 Cloud Run 服务。触发器将使用 malware-scanner 服务帐号进行身份验证：

   BUCKET_NAME="unscanned-${PROJECT_ID}"
   gcloud eventarc triggers create "trigger-${BUCKET_NAME}-${SERVICE_NAME}" \
     --destination-run-service="${SERVICE_NAME}" \
     --destination-run-region="${REGION}" \
     --location="${LOCATION}" \
     --event-filters="type=google.cloud.storage.object.v1.finalized" \
     --event-filters="bucket=${BUCKET_NAME}" \
     --service-account="${SERVICE_ACCOUNT}"
   

   如果您收到以下两个错误之一，请等待一分钟，然后重新执行命令：

   ERROR: (gcloud.eventarc.triggers.create) INVALID_ARGUMENT: The request was invalid: Bucket "unscanned-PROJECT_ID" was not found. Please verify that the bucket exists.

   ERROR: (gcloud.eventarc.triggers.create) FAILED_PRECONDITION: Invalid resource state for "": Permission denied while using the Eventarc Service Agent. If you recently started to use Eventarc, it may take a few minutes before all necessary permissions are propagated to the Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

5. 在 Eventarc 触发器使用的底层 Pub/Sub 订阅中将消息确认时限更改为两分钟：

   SUBSCRIPTION_NAME=$(gcloud eventarc triggers describe \
       "trigger-${BUCKET_NAME}-${SERVICE_NAME}" \
       --location="${LOCATION}" \
       --format="get(transport.pubsub.subscription)")
   gcloud pubsub subscriptions update "${SUBSCRIPTION_NAME}" --ack-deadline=120
   

   对于大型文件或高负载，默认值 10 秒太短。

创建 Cloud Scheduler 作业以触发 ClamAV 数据库镜像更新

创建一个 Cloud Scheduler 作业，以在 Cloud Run 服务上执行 HTTP POST 请求，并使用一个命令来更新恶意软件定义数据库的镜像。为避免过多客户端使用相同时段，ClamAV 会要求您将作业安排在 3 到 57 之间的随机分钟数，且避免 10 的倍数。

while : ; do
  # set MINUTE to a random number between 3 and 57
  MINUTE="$((RANDOM%55 + 3))"
  # exit loop if MINUTE is not a multiple of 10
  [[ $((MINUTE % 10)) != 0 ]] && break
done

gcloud scheduler jobs create http \
    "${SERVICE_NAME}-mirror-update" \
    --location="${REGION}" \
    --schedule="${MINUTE} */2 * * *" \
    --oidc-service-account-email="${SERVICE_ACCOUNT}" \
    --uri="${SERVICE_URL}" \
    --http-method=post \
    --message-body='{"kind":"schedule#cvd_update"}' \
    --headers="Content-Type=application/json"

--schedule 命令行参数使用 unix-cron 字符串格式定义作业何时运行。给定值表示作业应该每 2 小时在随机生成的特定分钟数运行一次。

此作业将仅更新 Cloud Storage 中的 ClamAV 镜像。每个 Cloud Run 实例中的 ClamAV freshclam 守护程序每 30 分钟会检查镜像一次，以查看是否有可用的新定义，如果有，则会相应更新 ClamAV 守护程序。

通过上传文件测试流水线

您可以上传一个干净（不含恶意软件）的文件和一个已受感染的文件来测试流水线。

1. 创建示例文本文件或使用现有的干净文件来测试流水线流程。

2. 将示例数据文件复制到未扫描的存储桶：

   gsutil cp filename "gs://unscanned-${PROJECT_ID}"
   

   将 filename 替换为干净文本文件的名称。恶意软件扫描工具服务会检查每个文件并将其移到相应的存储桶。此文件已移到干净的存储桶。

3. 给流水线几秒钟的时间来处理文件，然后检查您的干净存储桶，确认该存储桶中是否存在已处理的文件：

   gsutil ls -r "gs://clean-${PROJECT_ID}"
   

4. 该文件已从未扫描的存储桶中移除：

   gsutil ls -r "gs://unscanned-${PROJECT_ID}"
   

5. 在 Cloud Shell 中，将一个名为 eicar-infected.txt 的文件（其中包含 EICAR 标准反恶意软件测试签名）上传到未扫描的存储桶：

   echo -e 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' \
       | gsutil cp - "gs://unscanned-${PROJECT_ID}/eicar-infected.txt"
   

6. 等待几秒钟，然后检查隔离的存储桶，以查看文件是否已成功通过了流水线。如果检测到被恶意软件感染的文件，则该服务还会记录 Logging 日志条目。

   gsutil ls -r "gs://quarantined-${PROJECT_ID}"
   

7. 该文件已从未扫描的存储桶中移除：

   gsutil ls -r "gs://unscanned-${PROJECT_ID}"
   

测试恶意软件定义数据库更新机制

• 在 Cloud Shell 中，您可以通过强制运行 Cloud Scheduler 作业来触发更新检查：

  gcloud scheduler jobs run "${SERVICE_NAME}-mirror-update" --location="${REGION}"
  

  此命令的结果将仅在详细日志中显示。

监控服务

您可以使用 Cloud Logging 和 Cloud Monitoring 监控该服务。

查看详细日志

1. 在 Google Cloud 控制台中，转到 Cloud Logging 日志浏览器页面。

   转到日志浏览器

2. 如果未显示日志字段过滤条件，请点击日志字段按钮。

3. 在日志字段过滤条件中，点击 Cloud Run 修订版本

4. 在日志字段过滤条件的服务名称部分中，点击恶意软件扫描工具

日志查询结果将显示服务的日志，其中几行将显示您上传的 2 个文件的扫描请求和状态，例如：

Scan request for gs://unscanned-PROJECT_ID/filename, (##### bytes) scanning with clam ClamAV CLAMAV_VERSION_STRING
Scan status for gs://unscanned-PROJECT_ID/filename: CLEAN (##### bytes in #### ms)
...
Scan request for gs://unscanned-PROJECT_ID/eicar-infected.txt, (69 bytes) scanning with clam ClamAV CLAMAV_VERSION_STRING
Scan status for gs://unscanned-PROJECT_ID/eicar-infected.txt: INFECTED stream: Eicar-Signature FOUND (69 bytes in ### ms)

您可以看到系统报告了 ClamAV 版本和恶意软件数据库签名修订版本，并且显示了受感染测试文件的恶意软件名称。

您可以使用这些日志消息来设置发现恶意软件或扫描失败时的提醒。

系统还会显示恶意软件定义镜像更新日志，如下所示：

Starting CVD Mirror update
CVD Mirror update check complete. output: ...

如果镜像已更新，则会显示额外的一行：

CVD Mirror updated: DATE_TIME - INFO: Downloaded daily.cvd. Version: VERSION_INFO

freshclam 更新日志每 30 分钟显示一次，如下所示：

DATE_TIME -> Received signal: wake up
DATE_TIME -> ClamAV update process started at DATE_TIME
DATE_TIME -> daily.cvd database is up-to-date (version: VERSION_INFO)
DATE_TIME -> main.cvd database is up-to-date (version: VERSION_INFO)
DATE_TIME -> bytecode.cvd database is up-to-date (version: VERSION_INFO)

如果数据库已更新，则 freshclam 日志行将如下所示：

DATE_TIME -> daily.cld updated (version: VERSION_INFO)

查看指标

该服务会生成以下用于监控和提醒目的的指标：

• 已处理的清洁文件数：
  custom.googleapis.com/opencensus/malware-scanning/clean_files
• 已处理的受感染文件数：
  custom.googleapis.com/opencensus/malware-scanning/infected_files
• 扫描文件所花费的时间：
  custom.googleapis.com/opencensus/malware-scanning/scan_duration
• 扫描的字节总数：
  custom.googleapis.com/opencensus/malware-scanning/bytes_scanned
• 失败的恶意软件扫描次数：
  custom.googleapis.com/opencensus/malware-scanning/scans_failed
• CVD 镜像更新检查次数：
  custom.googleapis.com/opencensus/malware-scanning/cvd-mirror-updates

您可以在 Cloud Monitoring Metrics Explorer 中查看这些指标。

1. 在 Google Cloud 控制台，转到 Cloud Monitoring Metrics Explorer 页面。

   打开 Metrics Explorer

2. 点击选择指标字段，然后输入过滤条件字符串 malware。

3. 选择 OpenCensus/malware-scanning/clean_files 指标。该图表会显示一个数据点，指明何时扫描清洁文件。

指标可用于监控流水线，以及在检测到恶意软件或文件处理失败时创建提醒。

如需了解详情，您可以按各种指标标签细分指标：

• source_bucket
• destination_bucket
• clam_version
• cloud_run_revision

处理多个存储桶

恶意软件扫描工具服务能够扫描多个来源存储桶中的文件，并将这些文件发送到单独的、隔离的清洁存储桶。

虽然此高级配置不在本教程的探讨范围内，但所涉及的步骤总结如下：

1. 创建具有唯一名称的各种未扫描、干净和隔离的 Cloud Storage 存储桶。

2. 向各个存储桶的 malware-scanner 服务帐号授予适当的角色。

3. 修改配置文件 config.json 以指定每个配置的存储桶名称：

   {
     "buckets": [
       {
         "unscanned": "unscanned-bucket-1-name",
         "clean": "clean-bucket-1-name",
         "quarantined": "quarantined-bucket-1-name"
       },
       {
         "unscanned": "unscanned-bucket-2-name",
         "clean": "clean-bucket-2-name",
         "quarantined": "quarantined-bucket-2-name"
       }
     ]
     "ClamCvdMirrorBucket": "cvd-mirror-bucket-name"
   }
   

4. 为每个未扫描的存储桶创建一个 Eventarc 触发器，并且确保每个存储桶的触发器名称都是唯一的。