本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的惡意軟體防護 AWS Backup
備份的惡意軟體掃描由 Amazon GuardDuty 惡意軟體防護提供。使用 的 Amazon GuardDuty 惡意軟體防護 AWS Backup 可讓您透過現有的備份工作流程自動掃描復原點,或啟動先前建立的備份的隨需掃描。此 AWS 原生解決方案有助於確保您的備份是乾淨的,免於潛在的惡意軟體,讓您能夠符合合規要求,並透過確保復原乾淨的資料,更快地回應惡意事件。
若要查看支援的資源類型和區域清單,請造訪功能可用性頁面。
與 Amazon GuardDuty 整合
AWS Backup 與 Amazon GuardDuty 惡意軟體防護整合,為您的復原點提供威脅偵測。當您啟動惡意軟體掃描時, 會在每個備份完成後 AWS Backup 自動呼叫 Amazon GuardDuty 的 StartMalwareScan API,傳遞復原點詳細資訊和掃描器角色登入資料。然後,Amazon GuardDuty 會開始讀取、解密和掃描備份中的所有檔案和物件。
當 Amazon GuardDuty 存取您的備份資料時,該存取會登入 AWS CloudTrail 以取得可見性。
如需此整合的詳細資訊,請參閱 Amazon GuardDuty 惡意軟體防護文件。
如何使用惡意軟體掃描
當您搭配 使用 Amazon GuardDuty 惡意軟體防護時 AWS Backup,您可以自動掃描備份是否有惡意軟體。此整合可協助您偵測備份中的惡意程式碼,並識別還原操作的乾淨復原點。
Amazon GuardDuty 惡意軟體防護支援兩個主要工作流程來掃描備份:
-
透過備份計畫自動掃描惡意軟體 – 在備份計畫中啟用惡意軟體掃描,以使用 自動偵測惡意軟體 AWS Backup。啟用時,每次成功完成備份後 AWS Backup , 會自動啟動 Amazon GuardDuty 掃描。您可以為特定備份計劃規則設定完整或增量掃描,這會決定掃描備份的頻率。如需掃描類型的詳細資訊,請參閱 增量與完整掃描 below. AWS Backup recommends,在備份計畫中啟用自動惡意軟體掃描,以在建立備份後主動偵測威脅。
-
隨需掃描 – 執行隨需掃描以手動掃描現有備份,選擇完整或增量掃描類型。 AWS Backup 建議使用隨需掃描來識別上次清理的備份。在還原操作之前進行掃描時,請使用完整掃描來檢查具有最新威脅偵測模型的整個備份。
存取
開始使用惡意軟體保護之前,您的帳戶必須具有操作所需的許可。
AWS Backup 惡意軟體掃描需要兩個 IAM 角色來掃描復原點是否有潛在的惡意軟體:
-
首先,
AWSBackupServiceRolePolicyForScans受管政策必須連接到您現有的或新的備份角色。這是在 主控台中或透過 BackupSelection API 在備份計劃的資源指派中找到的相同角色。此受管政策允許 使用 Amazon GuardDuty AWS Backup 啟動惡意軟體掃描。 -
其次,信任 的
AWSBackupGuardDutyRolePolicyForScans受管政策需要新的掃描器角色malware-protection.guardduty.amazonaws.com。這是在 主控台中或透過 BackupPlan API 中的掃描設定,在備份計劃的惡意軟體保護部分中找到的相同角色。啟動掃描時,此角色會由 傳遞 AWS Backup 至 Amazon GuardDuty,提供備份的存取權。
增量與完整掃描
透過惡意軟體掃描,您可以選擇根據您的安全需求和成本考量,在增量和完整掃描之間進行選擇。
增量掃描只會分析目標和基本復原點之間變更的資料。這些掃描對於定期掃描更快速且更具成本效益,因此非常適合您想要掃描新備份資料的頻繁定期備份。
即使選取增量掃描, 仍會在這些情況下 AWS Backup 執行完整掃描:
-
第一次掃描: 資源的初始掃描一律是完整掃描,可讓 Amazon GuardDuty 建立潛在威脅的基準。後續掃描將遞增。
-
過期的基準:如果您的基準復原點在超過 90 天前進行掃描,則會進行完整掃描。由於 Amazon GuardDuty 只會保留調查結果資訊 90 天,因此必須建立新的基準,以確保準確的掃描結果。
-
刪除基準:如果您的基本復原點在下一次增量掃描開始之前遭到刪除,則會自動執行完整掃描。
無論先前的掃描為何,完整掃描都會檢查整個復原點。雖然這些掃描提供全面的涵蓋範圍,但它們需要更長的時間才能完成並產生更高的成本。您可以隨需執行完整掃描,或透過備份計劃進行排程。 AWS Backup 建議在備份計劃中以延長的間隔設定定期完整掃描,以確保使用最新的惡意軟體簽章模型定期掃描整個備份資料。
為了獲得最佳安全性與成本管理,請在選擇掃描類型時考慮您的備份頻率。
注意
Amazon S3 持續復原點目前不支援惡意軟體掃描。若要掃描 Amazon S3 連續備份,請為您的 Amazon S3 資源設定定期備份,並在這些定期備份上啟用惡意軟體掃描。您可以使用 Amazon S3 儲存貯體的連續和定期備份組合。
注意
邏輯氣隙隔離保存庫中的 Amazon EC2 復原點或複製的 Amazon EC2 復原點不支援增量惡意軟體掃描。
監控您的惡意軟體掃描
啟用掃描後, AWS Backup 和 Amazon GuardDuty 都會提供監控和通知機制,供您用來追蹤結果:
-
AWS Backup 主控台: AWS Backup 主控台由
ListScanJobs和DescribeScanJobAPIs提供支援。您可以造訪惡意軟體保護區段,以檢視掃描任務的清單,代表任務狀態和掃描結果。 AWS Backup 也支援ListScanJobSummariesAPI,但無法在 主控台中使用。 -
AWS Backup Audit Manager:您可以設定掃描報告,以檢視過去 24 小時內所有 AWS Backup 啟動的惡意軟體掃描任務。
-
Amazon GuardDuty 主控台:如果已啟用基本 Amazon GuardDuty,您可以在惡意軟體掃描結果中檢視詳細資訊,並在 Amazon GuardDuty 調查結果頁面上調查惡意軟體。您可以檢視威脅和檔案名稱、檔案路徑、掃描的物件/檔案、掃描的位元組等資訊。請注意,此詳細威脅資訊無法透過 取得 AWS Backup,您必須擁有適當的 Amazon GuardDuty 許可才能檢視此資訊。
-
Amazon EventBridge: AWS Backup 和 Amazon GuardDuty 都會發出 EventBridge 事件,允許同步提醒備份和安全管理員。您可以設定自訂規則,以在掃描完成或偵測到惡意軟體時接收通知。
-
AWS CloudTrail: AWS Backup 和 Amazon GuardDuty 都會發出 CloudTrail 事件,讓您監控 API 存取。
了解掃描結果
來自 的掃描任務 AWS Backup 會有掃描狀態和掃描結果。
掃描狀態
掃描狀態表示任務狀態,且值可以是:CREATED、COMPLETED、COMPLETED_WITH_ISSUESRUNNING、FAILED、 或 CANCELED。
在多種情況下,您的掃描任務將以狀態 完成COMPLETED_WITH_ISSUES:
對於 Amazon S3 備份,有物件大小/類型限制,會阻止掃描物件。在掃描中略過至少一個物件時,對應的掃描任務會標記為 COMPLETED_WITH_ISSUES。對於 Amazon EC2/Amazon EBS 備份,有磁碟區大小/數量限制,導致磁碟區在掃描期間遭到略過。這些情況會導致 Amazon EC2/Amazon EBS 備份任務產生 COMPLETED_WITH_ISSUES。
如果您的任務完成狀態,COMPLETED_WITH_ISSUES而且您需要有關原因的進一步資訊,您將需要透過 Amazon GuardDuty 從對應的掃描任務取得這些詳細資訊。
注意
增量掃描任務只會掃描兩個備份之間的資料差異。因此,如果增量掃描任務未遇到上述任何情況,則會在 狀態完成,COMPLETE而不會COMPLETED_WITH_ISSUES從基本復原點繼承 。
在極少數情況下,Amazon GuardDuty 可能會在掃描檔案和物件時遇到內部問題,而且重試嘗試可能會用盡。發生這種情況時,掃描任務會在 FAILED AWS Backup 和 Amazon GuardDuty COMPLETED_WITH_ISSUES中顯示為 。此狀態差異可讓您在 Amazon GuardDuty 中檢視可用的掃描結果,同時指出並非所有支援的檔案和物件都已成功掃描。
掃描結果
掃描結果表示來自 Amazon GuardDuty 的彙總結果,且值可以是:THREATS_FOUND、 或 NO_THREATS_FOUND。
掃描結果指出您的復原點中是否偵測到潛在惡意軟體。NO_THREATS_FOUND 狀態表示未偵測到潛在惡意軟體,而 THREATS_FOUND表示已發現潛在惡意軟體。如需詳細的威脅資訊,請透過 Amazon GuardDuty 主控台或 APIs 存取完整的 Amazon GuardDuty 調查結果。掃描結果也可透過 EventBridge 事件取得,讓您能夠建置自動化工作流程來回應受感染的備份。
Amazon GuardDuty 會保留調查結果 90 天,跨增量掃描追蹤檔案或物件,以監控是否移除威脅或惡意軟體簽章變更。例如,如果在備份 2 中偵測到惡意軟體,掃描結果會顯示 THREATS_FOUND。當您使用備份 2 作為基礎對備份 3 執行增量掃描時,除非已從資料中移除威脅,THREATS_FOUND否則掃描結果會保留。
對掃描失敗進行故障診斷
常見的掃描失敗包括 IAM 許可不足、服務限制和資源存取問題。
當備份角色缺少AWSBackupServiceRolePolicyForScans許可,或掃描器角色AWSBackupGuardDutyRolePolicyForScans沒有適當的信任關係時,就會發生許可錯誤。
當您超過每個帳戶 150 個並行掃描或每個資源類型 5 個並行掃描時,就會發生服務限制錯誤 - 掃描任務將保持 CREATED 狀態,直到容量可用為止。
存取遭拒錯誤可能表示加密的復原點沒有適當的 AWS KMS 許可,或已刪除父復原點以進行增量掃描。
超大型復原點或 Amazon GuardDuty 載入期間可能會發生逾時失敗。
若要進行故障診斷,請使用 DescribeScanJob API 檢查掃描任務狀態、驗證 IAM 角色組態、確保復原點存在且可存取,並在缺少增量掃描父參考時考慮切換到完整掃描。
監控並行掃描用量,並在自動化工作流程中實作抖動,以避免達到服務限制。
計量
惡意軟體防護由 Amazon GuardDuty 提供並計費。您不會看到與使用此功能相關的任何 AWS Backup 費用。您可以在 Amazon GuardDuty 的帳單下檢視所有用量。若要進一步了解,請造訪 Amazon GuardDuty 定價
配額
AWS Backup 和 Amazon GuardDuty 都有 Amazon GuardDuty 惡意軟體防護的配額限制 AWS Backup。
如需詳細資訊,請造訪AWS Backup 配額和 Amazon GuardDuty 配額。
惡意軟體掃描類型的主控台和 CLI 使用步驟
下列各節顯示使用 主控台和 設定不同惡意軟體掃描類型的步驟 AWS CLI。
如何設定惡意軟體掃描
主控台
-
導覽至 AWS Backup 主控台 → 備份計劃
-
建立新的備份計畫或選取現有的計畫
-
啟用惡意軟體防護切換
-
選取掃描器角色以選擇新的掃描器角色。請確定備份角色和掃描器角色都有適當的許可,如 中所述存取。
-
選取可掃描的資源類型。這將篩選您所選資源選擇條件的惡意軟體掃描。例如,如果您的可掃描資源類型選擇是 Amazon EBS,但您計劃的資源選擇包括 Amazon EBS 和 Amazon S3,則只會執行 Amazon EBS 惡意軟體掃描。
-
為每個備份規則設定掃描類型。您可以選擇完整、增量和無掃描。掃描類型選擇表示掃描將以相關聯備份規則的排程頻率進行。
-
儲存備份計劃
AWS CLI
CreateBackupPlan
您可以使用 create-backup-plan
aws backup create-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ { "RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 3, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN" } ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 100, "CompletionWindowMinutes": 5000, "Lifecycle": { "DeleteAfterDays": 2, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["EBS", "EC2", "S3"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
UpdateBackupPlan
您可以使用 updateupdate-backup-plan
aws backup update-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac", "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ {"RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 60, "CompletionWindowMinutes": 3000, "Lifecycle": { "DeleteAfterDays": 6, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ {"MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN"} ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 9, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["ALL", "EBS"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
金鑰備註
-
在啟用掃描選項之前,需要目標 ARN 項目 (主控台)
-
所有組態都需要備份 IAM 角色和掃描器 IAM 角色
-
使用
aws backup list-scan-jobs來檢視所有掃描任務 (AWS CLI) -
成本影響會因掃描類型 (增量與完整) 和頻率而有所不同
AWS CLI 金鑰備註
-
使用
aws backup list-scan-jobs來檢視所有掃描任務 (AWS CLI) -
使用 ScanResults 欄位透過
describe-recovery-pointAPI 提供的掃描結果 ScanResults -
所有組態都需要備份 IAM 角色和掃描器 IAM 角色
-
JSON 備份計劃結構包含計劃層級的 ScanSettings 和規則中的 ScanActions
