GuardDuty AWS Backup 的恶意软件防护 - Amazon GuardDuty
概述

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty AWS Backup 的恶意软件防护

主题

概述

备份恶意软件保护通过扫描 AWS 受备份保护的资源(例如亚马逊 EBS 快照、Amazon 和 Amazon S3 恢复点),帮助您检测备份数据中可能存在的恶意软件。 EC2 AMIs当 AWS Backup 创建或更新受保护的备份资源时, GuardDuty 可以对该备份执行恶意软件扫描,以帮助识别潜在的恶意内容,然后再将其还原到您的环境中。

如何使用恶意软件保护进行 Backup

您可以在两种模式下使用此功能,具体取决于您的账户中 GuardDuty 是否启用了此功能:

  1. 在 GuardDuty 启用后使用 Backup 的恶意软件防护

    在区域中 GuardDuty 启用后, AWS Backup 会将恶意软件防护与 GuardDuty 发现工作流程集成在一起。除了 Amazon EventBridge 和 Amazon 之外,恶意软件扫描 GuardDuty 结果还会出现在搜索结果中 CloudWatch。

  2. 在不启用的情况下对 Backup 使用恶意软件防护 GuardDuty

    您可以单独使用 Backup 恶意软件保护,无需启用完整 GuardDuty 服务。在此模式下,扫描结果仍可通过 EventBridge 和完全获得 CloudWatch。

单独使用 Backup 恶意软件防护的注意事项

在不启用该功能的情况下使用该功能时 GuardDuty:

  • Backup plan configuration is managed entirely in AWS Backup.

GuardDuty 不提供对选择备份计划、存储库或资源类型的控制。所有启用、计划和策略配置都保留在 AWS Backup 中。

  • GuardDuty findings are not generated.

发现需要检测器 ID,只有在启用时 GuardDuty 才会创建检测器 ID。独立使用恶意软件防护时,扫描结果仅通过 EventBridge 事件和 CloudWatch 指标显示。

  • You can still initiate on-demand scans from the GuardDuty console.

即使 GuardDuty 未启用, GuardDuty 控制台也提供了一个工作流程,用于启动按需恶意软件扫描,以查找支持的备份资源类型。这使客户无需全面 GuardDuty 服务即可使用熟悉的 GuardDuty 界面。

  • Non-GuardDuty customers can access scan initiation workflows.

无论账户中是否存在 GuardDuty 检测器,所有使用 Malware Protection for Backup 的客户都可以使用按需扫描入口点。

  • Scan behavior and coverage remain identical.

无论 GuardDuty 是否启用,该功能都会使用相同的恶意软件检测引擎扫描相同的 AWS Backup 资源类型。唯一的区别是结果发布在哪里。

这种模式允许客户在不需要 GuardDuty更广泛的威胁检测功能的情况下对备份进行恶意软件扫描,同时仍然为启动和查看扫描操作提供了 GuardDuty基于可选的工作流程。

Backup 恶意软件防护的工作原理

Backup 恶意软件防护可以扫描以下受备份保护的 AWS 资源:

  • Amazon EBS snapshots
  • Amazon EC2 AMIs created using AWS Backup
  • Amazon S3 Recovery Points
  • Locked (immutable) vaults (EBS/EC2 Recovery Points) using AWS Backup Vault Lock in 支持的区域

增量扫描

AWS Backup 可以捕获许多资源类型的增量更改。 GuardDuty 能够在创建或更新备份时仅扫描新的或更改的块或对象,从而提高性能并减少扫描开销,同时随着时间的推移实现全面覆盖。

按需扫描

您可以随时直接从 Backup 或控制台对任何支持的 AWS 备份资源启动扫描。 GuardDuty 常见用例包括在还原之前验证备份,在发布新的威胁签名后重新检查较旧的数据,或者定期执行合规性扫描。

注意
  • Malware Protection for Backup can be enabled only for backup resources in the same Region.
  • GuardDuty scans a read-only copy of the backup; it does not modify backup content.
  • Scanning works for both standard vaults and locked (immutable) vaults.