Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione da malware in AWS Backup
La scansione antimalware dei tuoi backup è fornita da Amazon GuardDuty Malware Protection. L'utilizzo di Amazon GuardDuty Malware Protection for AWS Backup consente di automatizzare la scansione dei punti di ripristino attraverso i flussi di lavoro di backup esistenti o di avviare scansioni su richiesta di backup creati in precedenza. Questa soluzione AWS nativa aiuta a garantire che i backup siano privi di potenziali malware, consentendoti di soddisfare i requisiti di conformità e rispondere più rapidamente agli incidenti dannosi garantendo il ripristino di dati puliti.
Per visualizzare un elenco dei tipi di risorse e delle aree geografiche supportati, visita la pagina sulla [disponibilità delle funzionalità](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).
**Topics**
+ [Integrazione con Amazon GuardDuty](#malware-guardduty-integration)
+ [Accesso istantaneo](backup-instant-access.md)
+ [Come utilizzare la scansione antimalware](#malware-how-to-use)
+ [Accesso](#malware-access)
+ [Scansioni incrementali e scansioni complete](#malware-scan-types)
+ [Monitoraggio delle scansioni antimalware](#malware-monitoring)
+ [Comprensione dei risultati della scansione](#malware-scan-results)
+ [Risoluzione dei problemi di scansione](#malware-troubleshooting)
+ [Misurazione](#malware-metering)
+ [Quote](#malware-quotas)
+ [Procedure di utilizzo della console e della CLI per i tipi di scansione antimalware](#malware-console-cli-usage)
## Integrazione con Amazon GuardDuty
AWS Backup si integra con Amazon GuardDuty Malware Protection per fornire il rilevamento delle minacce per i punti di ripristino. Quando avvii una scansione antimalware, chiama AWS Backup automaticamente l'`StartMalwareScan`API GuardDuty di Amazon dopo il completamento di ogni backup, passando i dettagli del punto di ripristino e le credenziali del ruolo dello scanner. Amazon inizia GuardDuty quindi a leggere, decriptare e scansionare tutti i file e gli oggetti all'interno del backup.
Quando Amazon GuardDuty accede ai tuoi dati di backup, tale accesso viene registrato AWS CloudTrail per motivi di visibilità.
Per ulteriori informazioni su questa integrazione, consulta la [documentazione di Amazon GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).
## Come utilizzare la scansione antimalware
Quando usi Amazon GuardDuty Malware Protection con AWS Backup, puoi scansionare automaticamente i tuoi backup alla ricerca di malware. Questa integrazione ti aiuta a rilevare codice dannoso nei backup e a identificare punti di ripristino puliti per le operazioni di ripristino.
Amazon GuardDuty Malware Protection supporta due flussi di lavoro principali per la scansione dei backup:
+ **Scansione automatica del malware tramite piani di backup**: abilita la scansione del malware nei piani di backup per automatizzare il rilevamento del malware con. AWS Backup Se abilitato, avvia AWS Backup automaticamente una GuardDuty scansione Amazon dopo ogni completamento riuscito del backup. Puoi configurare la scansione completa o incrementale per regole specifiche del piano di backup, che determinano la frequenza di scansione dei backup. Per ulteriori informazioni sui tipi di scansione, vedere di seguito. [Scansioni incrementali e scansioni complete](#malware-scan-types) AWS Backup consiglia di abilitare la scansione antimalware automatica nei piani di backup per il rilevamento proattivo delle minacce dopo la creazione del backup.
+ Scansioni **su richiesta: esegui scansioni** su richiesta per scansionare manualmente i backup esistenti, scegliendo tra tipi di scansione completa o incrementale. AWS Backup consiglia di utilizzare scansioni su richiesta per identificare l'ultimo backup pulito. Quando esegui la scansione prima di un'operazione di ripristino, utilizza una scansione completa per esaminare l'intero backup con il modello di rilevamento delle minacce più recente.
## Accesso
Prima di iniziare con la protezione da malware, l'account deve disporre delle autorizzazioni necessarie per le operazioni.
AWS Backup la scansione antimalware richiede due ruoli IAM per la scansione dei punti di ripristino alla ricerca di potenziali malware:
+ Innanzitutto, la policy [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)o la policy [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)gestita devono essere collegate al ruolo di backup esistente o nuovo. Questo è lo stesso ruolo che si trova nell'assegnazione delle risorse per il piano di backup nella console o tramite l'[BackupSelection API](API_CreateBackupSelection.md). Questa politica gestita consente di AWS Backup avviare scansioni di malware con Amazon. GuardDuty
+ In secondo luogo, è necessario un nuovo ruolo di scanner con una policy [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)gestita che si fida. `malware-protection.guardduty.amazonaws.com` Per creare questo ruolo, è possibile specificare una policy di attendibilità personalizzata e allegare la policy gestita richiesta. Questo è lo stesso ruolo che si trova nella parte relativa alla protezione da malware del piano di backup nella console o nelle impostazioni di scansione dell'[BackupPlan API](API_CreateBackupPlan.md). Questo ruolo viene passato AWS Backup ad Amazon GuardDuty quando viene avviata una scansione, fornendo l'accesso ai backup.
## Scansioni incrementali e scansioni complete
Con la scansione antimalware, hai la possibilità di scegliere tra scansioni incrementali e complete in base ai tuoi requisiti di sicurezza e alle considerazioni relative ai costi.
**Le scansioni incrementali analizzano** solo i dati che sono cambiati tra il punto di ripristino di destinazione e quello di base. Queste scansioni sono più veloci ed economiche per la scansione regolare, il che le rende ideali per backup periodici frequenti in cui si desidera scansionare i nuovi dati di cui è stato eseguito il backup.
Anche quando è selezionata la scansione incrementale, AWS Backup esegue una scansione completa nelle seguenti situazioni:
+ **Scansioni iniziali:** la scansione iniziale di una risorsa è sempre una scansione completa, che consente GuardDuty ad Amazon di stabilire una base di potenziali minacce. Le scansioni successive saranno quindi incrementali.
+ **Baseline scaduta:** se il punto di ripristino di base è stato scansionato più di 365 giorni fa, viene eseguita una scansione completa. Poiché Amazon GuardDuty conserva la ricerca di informazioni solo per 365 giorni, è necessario stabilire una nuova linea di base per garantire risultati di scansione accurati.
+ Linea di **base eliminata:** se il punto di ripristino di base viene eliminato prima dell'inizio della successiva scansione incrementale, viene eseguita automaticamente una scansione completa.
**Le scansioni complete** esaminano l'intero punto di ripristino indipendentemente dalle scansioni precedenti. Sebbene queste scansioni offrano una copertura completa, richiedono più tempo per essere completate e comportano costi più elevati. Puoi eseguire scansioni complete su richiesta o pianificarle tramite i tuoi piani di backup. AWS Backup consiglia di configurare scansioni complete periodiche nei piani di backup a intervalli prolungati per garantire che tutti i dati di backup vengano scansionati regolarmente con il modello di firma antimalware più recente.
Per una sicurezza ottimale rispetto alla gestione dei costi, considerate la frequenza di backup nella scelta dei tipi di scansione.
**Nota**
La scansione antimalware non è attualmente supportata per i punti di ripristino continui di Amazon S3. Per eseguire la scansione dei backup continui di Amazon S3, configura backup periodici per le tue risorse Amazon S3 e abilita la scansione antimalware su tali backup periodici. Puoi utilizzare una [combinazione di backup continui e periodici](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) per i tuoi bucket Amazon S3.
**Nota**
La scansione antimalware incrementale non è supportata per i punti di ripristino Amazon EC2 in [un vault logicamente collegato all'air gap](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) o per i punti di ripristino Amazon EC2 copiati.
**Nota**
AWS Backup non supporta l'utilizzo di un punto di ripristino scansionato solo tramite scansione su richiesta da Amazon GuardDuty come punto di ripristino di base per le scansioni incrementali. Per eseguire scansioni incrementali tramite AWS Backup, assicurati di aver precedentemente scansionato il punto di ripristino di AWS Backup base.
## Monitoraggio delle scansioni antimalware
Dopo aver abilitato la scansione, sia AWS Backup Amazon che Amazon GuardDuty forniscono meccanismi di monitoraggio e notifica che puoi utilizzare per tenere traccia dei risultati:
+ **AWS Backup Console:** la AWS Backup console è alimentata da `ListScanJobs` and `DescribeScanJob` APIs. È possibile visitare la sezione Protezione da malware per visualizzare l'elenco dei processi di scansione, che rappresentano lo stato del lavoro e i risultati della scansione. AWS Backup supporta anche un'`ListScanJobSummaries`API, sebbene non sia disponibile nella console.
+ **AWS Backup Audit Manager:** è possibile impostare un rapporto di scansione per visualizzare tutti i processi di scansione antimalware AWS Backup avviati nelle ultime 24 ore.
+ ** GuardDuty Console Amazon:** se Amazon base GuardDuty è abilitato, puoi visualizzare i dettagli nei risultati di Malware Scan e indagare sul malware nella pagina dei GuardDuty risultati di Amazon. Puoi visualizzare informazioni come la minaccia e il nome del file, il percorso del file, i dati objects/files scansionati, i byte scansionati, ecc. Tieni presente che queste informazioni dettagliate sulle minacce non sono disponibili tramite AWS Backup e devi disporre delle GuardDuty autorizzazioni Amazon appropriate per visualizzarle.
+ **Amazon EventBridge:** entrambi AWS Backup e Amazon GuardDuty emettono EventBridge eventi che consentono agli amministratori di backup e sicurezza di essere avvisati in modo sincrono. Puoi impostare regole personalizzate per ricevere notifiche quando le scansioni vengono completate o viene rilevato un malware.
+ **AWS CloudTrail:** Entrambi AWS Backup e Amazon GuardDuty emettono CloudTrail eventi, consentendoti di monitorare l'accesso alle API.
## Comprensione dei risultati della scansione
I lavori di scansione di AWS Backup avranno uno stato e un risultato di scansione.
### Stati di scansione
Lo stato di scansione indica lo stato del lavoro e può avere valori di: `CREATED``COMPLETED`,,`COMPLETED_WITH_ISSUES`,`RUNNING`,`FAILED`, o`CANCELED`.
Esistono diverse situazioni in cui il processo di scansione terminerà con lo stato`COMPLETED_WITH_ISSUES`:
Per i backup di Amazon S3, esistono size/type limitazioni agli oggetti che impediranno la scansione degli oggetti. Quando almeno un oggetto viene saltato all'interno di una scansione, il processo di scansione corrispondente verrà contrassegnato come. `COMPLETED_WITH_ISSUES` Per i backup di Amazon EC2/Amazon EBS, esistono size/quantity limitazioni di volume che comportano il salto dei volumi durante la scansione. Queste situazioni comporteranno un job di backup Amazon EC2/Amazon EBS. `COMPLETED_WITH_ISSUES`
Se il tuo lavoro termina con lo stato `COMPLETED_WITH_ISSUES` e hai bisogno di ulteriori informazioni sui motivi, dovrai ottenere tali dettagli dal processo di scansione corrispondente tramite Amazon GuardDuty.
**Nota**
I processi di scansione incrementale analizzano solo la differenza di dati tra due backup. Pertanto, se un processo di scansione incrementale non presenta nessuna delle situazioni sopra descritte, terminerà nello stesso stato `COMPLETE` e non erediterà la situazione `COMPLETED_WITH_ISSUES` dal punto di ripristino di base.
In rari casi, Amazon GuardDuty potrebbe riscontrare problemi interni durante la scansione di file e oggetti, esaurendo tutti i tentativi di riprova. Quando ciò accade, AWS Backup visualizza il processo di scansione come`FAILED`, mentre Amazon lo GuardDuty mostra come`COMPLETED_WITH_ISSUES`. Questa differenza di stato consente di visualizzare i risultati di scansione disponibili in Amazon, indicando al GuardDuty contempo che Amazon non GuardDuty ha eseguito correttamente la scansione di tutti i file e gli oggetti supportati. In questi casi, AWS Backup non è possibile utilizzare il punto di ripristino con una `FAILED` scansione come punto di ripristino di base per le scansioni incrementali successive.
### Risultati della scansione
I risultati della scansione indicano un risultato aggregato di Amazon GuardDuty e possono avere valori pari a:`THREATS_FOUND`, o`NO_THREATS_FOUND`.
I risultati della scansione indicano se è stato rilevato un potenziale malware nei punti di ripristino. Uno `NO_THREATS_FOUND` stato indica che non è stato rilevato alcun malware potenziale, mentre `THREATS_FOUND` indica che è stato scoperto un potenziale malware. Per informazioni dettagliate sulle minacce, accedi ai GuardDuty risultati completi di Amazon tramite la GuardDuty console Amazon o APIs. I risultati della scansione sono disponibili anche tramite EventBridge eventi, che consentono di creare flussi di lavoro automatizzati che rispondono ai backup infetti.
Amazon GuardDuty conserva i risultati per 365 giorni, tracciando file o oggetti attraverso scansioni incrementali per monitorare se le minacce vengono rimosse o le firme dei malware cambiano. Ad esempio, se viene rilevato un malware nel backup 2, viene visualizzato il risultato della scansione. `THREATS_FOUND` Quando si esegue una scansione incrementale sul backup 3 utilizzando il backup 2 come base, il risultato della scansione rimane invariato `THREATS_FOUND` a meno che la minaccia non sia stata rimossa dai dati.
## Risoluzione dei problemi di scansione
Gli errori di scansione più comuni includono autorizzazioni IAM insufficienti, limiti di servizio e problemi di accesso alle risorse.
**Gli errori di autorizzazione** si verificano quando il ruolo di backup non dispone delle `AWSBackupServiceRolePolicyForScans` autorizzazioni o il ruolo scanner non dispone di relazioni `AWSBackupGuardDutyRolePolicyForScans` di fiducia adeguate.
**Gli errori relativi ai limiti di servizio** si verificano quando si superano le 150 scansioni simultanee per account o le 5 scansioni simultanee per tipo di risorsa: i lavori di scansione rimarranno invariati fino a quando la capacità non sarà disponibile`CREATED`.
**Gli errori di accesso negato** possono indicare punti di ripristino crittografati senza AWS KMS le autorizzazioni appropriate o punti di ripristino principali eliminati per le scansioni incrementali.
Gli **errori di timeout** possono verificarsi con punti di ripristino molto grandi o durante periodi di GuardDuty carico elevati di Amazon.
Per risolvere i problemi, controlla lo stato del processo di scansione utilizzando l'`DescribeScanJob`API, verifica le configurazioni dei ruoli IAM, assicurati che i punti di ripristino esistano e siano accessibili e valuta la possibilità di passare alle scansioni complete se mancano i riferimenti principali alla scansione incrementale.
Monitora l'utilizzo simultaneo delle scansioni e implementa il jittering nei flussi di lavoro automatizzati per evitare di raggiungere i limiti del servizio.
## Misurazione
La protezione da malware viene fornita e fatturata da Amazon GuardDuty. Non vedrai alcun AWS Backup addebito relativo all'utilizzo di questa funzionalità. Tutto l'utilizzo può essere visualizzato nella pagina GuardDuty di fatturazione di Amazon. Per ulteriori informazioni, consulta la pagina [ GuardDuty dei prezzi di Amazon](https://aws.amazon.com/guardduty/pricing/).
## Quote
Entrambi AWS Backup e Amazon GuardDuty hanno limiti di quota per Amazon GuardDuty Malware Protection for AWS Backup.
Per ulteriori informazioni, consulta le pagine relative alle [AWS Backup quote](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) e alle [ GuardDuty quote Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).
## Procedure di utilizzo della console e della CLI per i tipi di scansione antimalware
Le sezioni seguenti mostrano i passaggi per configurare diversi tipi di scansione antimalware utilizzando sia la console che. AWS CLI
### Come configurare le scansioni antimalware
**Console**
1. Vai alla AWS Backup console → Piani di backup
1. Crea un nuovo piano di backup o seleziona un piano esistente
1. Attiva l'opzione di **protezione da malware**
1. Seleziona il **ruolo dello scanner** per scegliere un nuovo ruolo dello scanner. Assicurati che sia il ruolo di backup che il ruolo scanner dispongano delle autorizzazioni appropriate, come descritto in[Accesso](#malware-access).
1. Seleziona i tipi di **risorse scansionabili**. Questo filtrerà la scansione antimalware in base ai criteri di selezione delle risorse che hai scelto. Ad esempio, se la selezione del tipo di risorsa scansionabile è Amazon EBS, ma la selezione di risorse del piano include Amazon EBS e Amazon S3, verranno eseguite solo le scansioni antimalware di Amazon EBS.
1. Imposta il tipo di **scansione** per ogni regola di backup. È possibile scegliere tra scansione completa, incrementale e senza scansione. La selezione del tipo di scansione indica che la scansione verrà eseguita alla frequenza di pianificazione della regola di backup associata.
1. Salva piano di backup
**AWS CLI**
**CreateBackupPlan**
È possibile creare un piano di backup con la scansione antimalware abilitata utilizzando il [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)comando.
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
È possibile aggiornare un piano di backup con la scansione antimalware abilitata utilizzando il [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)comando.
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**Note chiave**
+ L'immissione dell'ARN di destinazione è necessaria prima che le opzioni di scansione vengano abilitate (Console)
+ Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner
+ Utilizzare `aws backup list-scan-jobs` per visualizzare tutti i processi di scansione ()AWS CLI
+ Le implicazioni in termini di costi variano in base al tipo di scansione (incrementale o completa) e alla frequenza
**AWS CLI Note chiave**
+ Utilizzare `aws backup list-scan-jobs` per visualizzare tutti i lavori di scansione (AWS CLI)
+ I risultati della scansione sono disponibili tramite `describe-recovery-point` API con ScanResults campo
+ Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner
+ La struttura del piano di backup JSON include ScanSettings a livello di piano e ScanActions nelle regole