Upload processing - Virus Scan

[RagnarFatland-Avanade]

UploadProcessing for uploaded files with Virus Scanning.
Upload file triggers async message to Antimalware solution.
Triggers virus scan of file.
Result pushed to Broker component API to update status for file.
Future: Publishes Altinn Event for Upload Processing Result.

User Stories

Preview Give feedback

1. POC of Microsoft Defender for Azure Storage #219
   kind/user-story +1
   
2. Implementere Antivirus scanning for upload #220
   kind/user-story +1
3. Implementasjon - Oppsett av webhook i Azure som går mot en kjørende versjon av Broker #260
   kind/chore kind/feature product/formidling +3
   
4. Oppdater script for å opprette EventGridTopic og EventGridTopic subscription i dev-oppsett #284
   product/formidling +1
   
5. Legg til utfyllende statustekst #272
   kind/user-story +1
   

[leogasnier]

Innspill i åpent møte:
[12:25 PM] Jendal, Håkon
Tenker at ende til ende kryptering bør være beste praksis for slike type løsninger. Tilsvarer da slik man gjør det i Norsk helsenett for for eksempel Dialogmeldinger i helsevesenet.

Videre så kommenteres det at virusscan bør skje på mottakersiden.

Vi må vurdere hva vi krever og hva som skal være opsjoner satt i konfigurasjon av tjenesten, eller instans.

[RagnarFatland-Avanade]

Jeg vil si at eventuell opsjon om virusscan må settes på tjenesten, ikke instansnivå. Siden det ellers vil være avsender som styrer både potensielt infisert innhold og om det scannes.
Mest fleksible/komplekse variant hadde vært en opsjon på tjenestenivå med; "Aldri", "Styrt av Avsender", "Alltid".
Det bør i så fall også være tilsvarende opsjoner for CheckSum-validering.

[RagnarFatland-Avanade]

Etter møte 21.11.2023 sammen med personer fra Altinn Platform / Notifications, så kom vi frem til at Kafka ikke er aktuelt i denne sammenheng. Internt referat her.

Vi går videre med å analysere ny funksjonalitet i Microsoft Defender for Azure Storage for å se om denne er aktuell som basis.
Eventuelt å benytte/utvide Altinn File-Scan.

[tomshag]

1. Pricing information: https://azure.microsoft.com/en-us/pricing/details/defender-for-cloud/

2. Scanning er automatisk når den er satt opp. (https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-storage-malware-scan#set-up-of-malware-scanning)
         a. Er det mulig å sette opp defender til å ikke automatisk scanne, mne istedet scanne basert på "bestilling".
               Svar: fra det jeg har funnet finnes ingen slik mulighet.
               Blobs blir scannet hver gang de har blitt "endret" (on-upload trigger). (https://learn.microsoft.com/en-us/answers/questions/1374275/how-to-trigger-an-on-demand-style-antivirus-scan-w)
               Kommentar: "All upload methods trigger the scan. Modifying a blob is an upload operation and therefore the modified content is scanned after the update."
         b. Det er mulig å sette defender basert på storage account, istedet for subscription. Det burde altså være mulig å la tjenesteeiere ha brokerservice hvor scanning ikke forekommer. Om det er ønskelig å ha brokerservice hvor kun spesifikke filer blir scannet ser ikke dette ut til å være tilgjengelig med Defender for øyeblikket.
   Oppsett av defender har spesifikke krav ihht. roller for Azure subscription:
   https://learn.microsoft.com/en-us/azure/defender-for-cloud/support-matrix-defender-for-storage

      
3. Sjekking av resultat kan gjøres via flere metoder.
      a. Event grid, for eksempel hentet via webhook.
            https://learn.microsoft.com/en-us/azure/event-grid/webhook-event-delivery
            https://learn.microsoft.com/en-us/azure/event-grid/custom-event-to-function
      b. Blob storage tag, hentes fra Blob storage.
            https://learn.microsoft.com/en-us/azure/storage/blobs/storage-blob-index-how-to

[tomshag]

Maximum filstørrelse som scannes i Azure Defender: 2GB.

Maximum filstørrelse som scannes via Symantec Protection Engine: 30GB
(muligens finnes det ingen max grense:
https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0/Configuring-and-Monitoring/specifying-the-maximum-file-or-message-size-to-sca-v128532379-d4995e12564.html#v128532379)