백업용 맬웨어 보호는 어떻게 작동하나요? - Amazon GuardDuty
개요스캔에 필요한 IAM 역할리소스 스캔 상태 및 결과 검토생성된 조사 결과 검토

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

백업용 맬웨어 보호는 어떻게 작동하나요?

이 섹션에서는 백업용 맬웨어 보호의 구성 요소, 작동 방식, 맬웨어 스캔 상태 및 결과를 검토하는 방법을 설명합니다.

개요

백업용 맬웨어 보호는 EBS 스냅샷, EC2 이미지(AMI) 및 EBS, EC2 및 S3 리소스 유형에 속하는 복구 시점에 맬웨어가 있는지 감지하는 데 도움이 되는 기능입니다. 스캔 범주에 따라 하나 또는 두 개의 리소스 ARNs과 함께 스캔에 필요한 권한을 제공하는 IAM 역할을 전달하여 GuardDuty 콘솔 또는 API를 통해 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 전체 스캔과 증분 스캔이라는 두 가지 스캔 범주가 가능합니다.

전체 스캔 및 증분 스캔

전체 스캔은 API가 리소스 ARN을 수락하고 해당 리소스 내의 모든 파일을 스캔하는 위치입니다. 반면 증분 스캔은 동일한 리소스에 속하는 두 개의 리소스 ARNs을 가져와서 이들 간에 변경된 파일을 스캔합니다. 예를 들어 EBS 볼륨의 스냅샷을 생성한다고 가정해 보겠습니다. 이를 snapshot-1이라고 부릅니다. 이 스냅샷에서 전체 스캔이 완료되면 GuardDuty는이 스냅샷에 포함된 모든 파일을 스캔합니다. 이제 몇 개의 파일이 동일한 볼륨에 추가되었고 새 스냅샷이 생성되었다고 가정해 보겠습니다. 이를 snapshot-2라고 부릅니다. 스냅샷-1스냅샷-2 간에 몇 개의 파일만 변경되었으므로이 두 스냅샷의 리소스 ARNs. 이 경우 snapshot-2target 리소스라고 하고 snapshot-1base 리소스라고 합니다. 이 용어는 문서의 나머지 부분에서 사용됩니다. 이 증분 스캔은 스냅샷-1과 스냅샷-2 간에 변경된 파일을 스캔합니다.

증분 스캔에서 이전에 감염된 파일 재스캔

증분 스캔의 일부로 GuardDuty는 최대 90일 동안 기본 스캔에서 이전에 감염된 파일도 다시 스캔합니다.

증분 스캔 요구 사항

GuardDuty가 증분 스캔을 수행하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항 중 하나라도 충족되지 않으면 GuardDuty는 스캔을 건너뜁니다.

  • 기본 리소스는 지난 90일 이내에 스캔해야 하며 스캔 결과는 COMPLETED 또는에 있어야 합니다COMPLETED_WITH_ISSUES.

  • 기본 리소스의 생성 날짜가 대상 리소스의 생성 날짜보다 이전이어야 합니다.

  • 스냅샷의 경우 기본 리소스와 대상 리소스의 암호화 유형이 동일해야 합니다.

  • 기본 리소스와 대상 리소스는 동일한 계보에서 가져와야 합니다.

    • EBS 스냅샷 및 EBS 복구 시점의 경우 암호화 유형을 변경하지 않고 동일한 볼륨 또는 동일한 볼륨의 복사본에서 가져온다는 의미입니다.

    • S3 복구 시점의 경우 동일한 기본 S3 버킷에서 기본 및 대상 리소스 ARNs을 생성해야 합니다.

    • AMIs의 경우 기본 AMI와 대상 AMI 간에 스냅샷 쌍을 비교하여 증분 스캔의 스냅샷을 식별합니다. 각 스냅샷 페어는 위에서 언급한 조건을 충족해야 합니다. 기본 AMI에 일치하는 해당 스냅샷이 없는 대상 AMI 내의 모든 스냅샷은 건너뜁니다.

이전에 스캔한 백업 리소스 재스캔

이전 맬웨어 스캔 시작 시간으로부터 10분 후에 동일한 리소스에서 새 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 이전 맬웨어 스캔을 시작한 후 10분 이내에 새 맬웨어 스캔이 시작되면 요청에 다음 오류가 발생하고이 요청에 대한 스캔 ID가 생성되지 않습니다. 인스턴스를 다시 스캔하는 단계는 온디맨드 맬웨어 스캔을 처음 시작하는 단계와 동일합니다.

스캔에 필요한 IAM 역할

전체 또는 증분 스캔을 시작하려면 IAM 역할을 전달해야 합니다. 이 역할은 스캔 작업을 수행하는 데 필요한 권한을 제공합니다.는 스캔을 수행하는 데 필요한 관련 신뢰 정책과 함께 필요한 정확한 권한 목록을 백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한 제공합니다.

리소스 스캔 상태 및 결과 검토

GuardDuty는 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty는 at-least-once 전송을 사용하므로 동일한 객체에 대해 여러 스캔 결과를 받을 수 있습니다. 중복 결과를 처리하도록 애플리케이션을 설계하는 것이 좋습니다. 스캔한 각 객체에 요금은 한 번만 청구됩니다.

자세한 내용은 백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링 단원을 참조하십시오.

생성된 조사 결과 검토

조사 결과 검토는 GuardDuty에서 백업용 맬웨어 보호를 사용하는지 여부에 따라 달라집니다. 다음 시나리오를 고려해 보세요.

GuardDuty 서비스가 활성화된 경우 백업에 맬웨어 보호 사용(감지기 ID)

맬웨어 스캔이 스캔한 백업 리소스에서 잠재적으로 악성인 파일을 감지하면 GuardDuty가 관련 결과를 생성합니다. 조사 결과를 자세히 보고 권장 단계를 사용하여 조사 결과를 잠재적으로 수정할 수 있습니다. 결과 내보내기 빈도에 따라 생성된 결과는 S3 버킷 및 Amazon EventBridge 이벤트 버스로 내보내집니다.

생성되는 결과 유형에 대한 자세한 내용은 백업용 맬웨어 보호의 백업 조사 결과 유형에 대한 맬웨어 보호 결과 유형을 참조하세요.

백업용 맬웨어 보호를 독립적인 기능으로 사용(감지기 ID 없음)

연결된 감지기의 ID가 없기 때문에 GuardDuty가 조사 결과를 생성할 수 없습니다. 백업 리소스의 스캔 상태를 확인하려면 GuardDuty가 기본 이벤트 버스에 자동으로 게시하는 스캔 결과를 볼 수 있습니다.

스캔 상태 및 결과에 대한 자세한 내용은 섹션을 참조하세요백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링.

참고

S3용 맬웨어 보호도 사용하는 경우 S3 파일에 이전에 NO_THREATS_FOUND 태그가 지정되었지만 객체가 속한 백업 복구 시점의 위협 목록에 동일한 파일이 표시될 수 있습니다. 이는 서비스가 맬웨어 서명을 자주 업데이트하여 파일 상태를 변경했을 수 있기 때문입니다. 이러한 경우 GuardDuty는 원래 S3 버킷의 파일에 있는 태그로 돌아가서 업데이트하지 않습니다. 파일에 업데이트된 태그를 적용하는 유일한 방법은 객체를 버킷에 다시 업로드하거나 S3에 대한 온디맨드 스캔 기능을 사용하는 것입니다.