GuardDuty AWS 備份惡意軟體防護 - Amazon GuardDuty
概觀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty AWS 備份惡意軟體防護

主題

概觀

惡意軟體保護備份可協助您掃描受 AWS 備份保護的資源,例如 Amazon EBS 快照、Amazon EC2 AMIs 和 Amazon S3 復原點,以偵測備份資料中是否存在惡意軟體。當 AWS Backup 建立或更新受保護的備份資源時,GuardDuty 可以對該備份執行惡意軟體掃描,以協助識別潛在的惡意內容,然後再還原到您的環境。

如何使用惡意軟體防護進行備份

您可以兩種模式使用此功能,取決於您的帳戶是否啟用 GuardDuty:

  1. 在啟用 GuardDuty 的情況下使用惡意軟體保護進行備份

    在區域中啟用 GuardDuty 時, AWS Backup 會將惡意軟體防護與 GuardDuty 調查結果工作流程整合。除了 Amazon EventBridge 和 Amazon CloudWatch 之外,惡意軟體掃描結果會出現在 GuardDuty 調查結果中。

  2. 使用惡意軟體防護進行備份,而不啟用 GuardDuty

    您可以獨立使用惡意軟體保護備份,而無需啟用完整的 GuardDuty 服務。在此模式中,掃描結果仍可透過 EventBridge 和 CloudWatch 完整取得。

獨立使用惡意軟體保護備份的考量事項

在不啟用 GuardDuty 的情況下使用此功能時:

  • Backup plan configuration is managed entirely in AWS Backup.

GuardDuty 不提供選取備份計畫、保存庫或資源類型的控制項。所有啟用、排程和政策組態都會保留在 AWS Backup 中。

  • GuardDuty findings are not generated.

問題清單需要偵測器 ID,只有在啟用 GuardDuty 時才會建立。獨立使用惡意軟體防護時,掃描結果只會透過 EventBridge 事件和 CloudWatch 指標顯示。

  • You can still initiate on-demand scans from the GuardDuty console.

即使未啟用 GuardDuty,GuardDuty 主控台仍提供工作流程,以啟動支援備份資源類型的隨需惡意軟體掃描。這可讓客戶使用熟悉的 GuardDuty 界面,而不需要完整的 GuardDuty 服務。

  • Non-GuardDuty customers can access scan initiation workflows.

無論帳戶中是否存在 GuardDuty 偵測器,使用惡意軟體保護備份的所有客戶都可以使用隨需掃描進入點。

  • Scan behavior and coverage remain identical.

無論是否啟用 GuardDuty,此功能都會使用相同的惡意軟體偵測引擎掃描相同的 AWS Backup 資源類型。唯一的差別是結果的發佈位置。

此模型可讓客戶針對備份採用惡意軟體掃描,而不需要 GuardDuty 更廣泛的威脅偵測功能,同時仍提供選用的 GuardDuty 型工作流程,以啟動和檢視掃描操作。

Backup 的惡意軟體防護如何運作

Backup 的惡意軟體防護可以掃描下列受 AWS 備份保護的資源:

  • Amazon EBS snapshots
  • Amazon EC2 AMIs created using AWS Backup
  • Amazon S3 Recovery Points
  • Locked (immutable) vaults (EBS/EC2 Recovery Points) using AWS Backup Vault Lock in 支援的區域

增量掃描

AWS 備份會擷取許多資源類型的增量變更。建立或更新備份時,GuardDuty 只能掃描新的或變更的區塊或物件,改善效能並減少掃描額外負荷,同時隨著時間達到完整涵蓋。

隨需掃描

您可以隨時從 AWS Backup 或 GuardDuty 主控台直接對任何支援的備份資源啟動掃描。常見的使用案例包括在還原之前驗證備份、在發佈新的威脅簽章後重新檢查較舊的資料,或執行定期合規掃描。

注意
  • Malware Protection for Backup can be enabled only for backup resources in the same Region.
  • GuardDuty scans a read-only copy of the backup; it does not modify backup content.
  • Scanning works for both standard vaults and locked (immutable) vaults.