Malware-Schutz in AWS Backup - AWS Backup
Integration mit Amazon GuardDutyWie verwendet man das Scannen nach SchadsoftwareZugriffInkrementelle oder vollständige ScansÜberwachung Ihrer Malware-ScansDie Scanergebnisse verstehenBehebung von ScanfehlernMetering (Messung)KontingenteSchritte zur Verwendung von Konsole und CLI für Malware-Scantypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Malware-Schutz in AWS Backup

Das Scannen Ihrer Backups auf Malware wird von Amazon GuardDuty Malware Protection bereitgestellt. Mit Amazon GuardDuty Malware Protection for AWS Backup können Sie das Scannen von Wiederherstellungspunkten mithilfe vorhandener Backup-Workflows automatisieren oder On-Demand-Scans von zuvor erstellten Backups initiieren. Diese AWS native Lösung trägt dazu bei, dass Ihre Backups frei von potenzieller Malware sind, sodass Sie Compliance-Anforderungen erfüllen und schneller auf böswillige Vorfälle reagieren können, indem sie die Wiederherstellung sauberer Daten sicherstellen.

Eine Liste der unterstützten Ressourcentypen und Regionen finden Sie auf der Seite zur Verfügbarkeit von Funktionen.

Topics

Integration mit Amazon GuardDuty

AWS Backup lässt sich in Amazon GuardDuty Malware Protection integrieren, um Bedrohungen für Ihre Wiederherstellungspunkte zu erkennen. Wenn Sie einen Malware-Scan starten, ruft er nach Abschluss jedes Backups AWS Backup automatisch die StartMalwareScan API GuardDuty von Amazon auf und übergibt die Details des Wiederherstellungspunkts und Ihre Anmeldeinformationen für die Scannerrolle. Amazon beginnt GuardDuty dann mit dem Lesen, Entschlüsseln und Scannen aller Dateien und Objekte innerhalb des Backups.

Wenn Amazon GuardDuty auf Ihre Backup-Daten zugreift, wird dieser Zugriff aus AWS CloudTrail Gründen der Sichtbarkeit angemeldet.

Weitere Informationen zu dieser Integration finden Sie in der Amazon GuardDuty Malware Protection-Dokumentation.

Wie verwendet man das Scannen nach Schadsoftware

Wenn Sie Amazon GuardDuty Malware Protection mit verwenden AWS Backup, können Sie Ihre Backups automatisch auf Malware scannen. Diese Integration hilft Ihnen dabei, bösartigen Code in Ihren Backups zu erkennen und saubere Wiederherstellungspunkte für Wiederherstellungsvorgänge zu identifizieren.

Amazon GuardDuty Malware Protection unterstützt zwei primäre Workflows für das Scannen Ihrer Backups:

  • Automatisches Scannen von Schadsoftware mithilfe von Backup-Plänen — Aktivieren Sie Malware-Scans in Backup-Plänen, um die Malware-Erkennung zu automatisieren AWS Backup. Wenn diese Option aktiviert ist, AWS Backup wird nach jedem erfolgreichen Abschluss der Sicherung automatisch ein GuardDuty Amazon-Scan initiiert. Sie können entweder das vollständige oder das inkrementelle Scannen für bestimmte Regeln für den Backup-Plan konfigurieren, die festlegen, wie oft Ihre Backups gescannt werden. Weitere Informationen zu den Scantypen finden Sie Inkrementelle oder vollständige Scans weiter unten. AWS Backup empfiehlt, automatische Malware-Scans in Backup-Plänen zu aktivieren, um Bedrohungen nach der Erstellung des Backups proaktiv zu erkennen.

  • Scans auf Anforderung — Führen Sie Scans auf Anforderung durch, um vorhandene Backups manuell zu scannen. Wählen Sie dabei zwischen vollständigen und inkrementellen Scans. AWS Backup empfiehlt, On-Demand-Scans zu verwenden, um Ihr letztes sauberes Backup zu identifizieren. Verwenden Sie beim Scannen vor einem Wiederherstellungsvorgang einen vollständigen Scan, um das gesamte Backup mit dem neuesten Bedrohungserkennungsmodell zu untersuchen.

Zugriff

Bevor Sie mit dem Schutz vor Schadsoftware beginnen, muss Ihr Konto über die erforderlichen Berechtigungen für die Vorgänge verfügen.

AWS Backup Für das Scannen nach Schadsoftware sind zwei IAM-Rollen erforderlich, um Ihre Wiederherstellungspunkte nach potenzieller Malware zu durchsuchen:

  • Zunächst muss die AWSBackupServiceRolePolicyForScans verwaltete Richtlinie an Ihre bestehende oder neue Backup-Rolle angehängt werden. Dabei handelt es sich um dieselbe Rolle, die Sie in der Ressourcenzuweisung für Ihren Backup-Plan in der Konsole oder über die BackupSelection API finden. Diese verwaltete Richtlinie ermöglicht AWS Backup die Initiierung von Malware-Scans bei Amazon GuardDuty.

  • Zweitens ist eine neue Scanner-Rolle mit einer AWSBackupGuardDutyRolePolicyForScans verwalteten, vertrauenswürdigen Richtlinie erforderlich. malware-protection.guardduty.amazonaws.com Dabei handelt es sich um dieselbe Rolle, die Sie im Bereich Malware-Schutz Ihres Backup-Plans in der Konsole oder in den Scaneinstellungen in Ihrer BackupPlan API finden. Diese Rolle wird bei der Initiierung eines Scans AWS Backup an Amazon GuardDuty übergeben und bietet Zugriff auf Backups.

Inkrementelle oder vollständige Scans

Bei Malware-Scans haben Sie die Möglichkeit, je nach Ihren Sicherheitsanforderungen und Kostenerwägungen zwischen inkrementellen und vollständigen Scans zu wählen.

Inkrementelle Scans analysieren nur die Daten, die sich zwischen dem Ziel- und dem Basiswiederherstellungspunkt geändert haben. Diese Scans sind schneller und kostengünstiger für regelmäßige Scans und eignen sich daher ideal für regelmäßige Backups, bei denen Sie neu gesicherte Daten scannen möchten.

AWS Backup Führt in den folgenden Situationen einen vollständigen Scan durch, auch wenn inkrementelles Scannen ausgewählt ist:

  • Erstmalige Scans: Der erste Scan einer Ressource ist immer ein vollständiger Scan, sodass Amazon GuardDuty einen Basiswert potenzieller Bedrohungen ermitteln kann. Nachfolgende Scans werden dann inkrementell durchgeführt.

  • Abgelaufener Basiswert: Wenn Ihr Basiswiederherstellungspunkt vor mehr als 90 Tagen gescannt wurde, wird ein vollständiger Scan durchgeführt. Da Amazon GuardDuty Suchinformationen nur 90 Tage lang aufbewahrt, muss ein neuer Basiswert festgelegt werden, um genaue Scanergebnisse zu gewährleisten.

  • Gelöschter Basiswert: Wenn Ihr Basiswiederherstellungspunkt gelöscht wird, bevor Ihr nächster inkrementeller Scan gestartet wird, erfolgt automatisch ein vollständiger Scan.

Bei vollständigen Scans wird der gesamte Erholungspunkt unabhängig von vorherigen Scans untersucht. Diese Scans bieten zwar eine umfassende Abdeckung, dauern jedoch länger und sind mit höheren Kosten verbunden. Sie können vollständige Scans bei Bedarf ausführen oder sie über Ihre Backup-Pläne planen. AWS Backup empfiehlt, regelmäßige vollständige Scans in Ihren Backup-Plänen in längeren Intervallen zu konfigurieren, um sicherzustellen, dass Ihre gesamten Backup-Daten regelmäßig mit dem neuesten Malware-Signaturmodell gescannt werden.

Um ein optimales Sicherheits- und Kostenmanagement zu erzielen, sollten Sie bei der Auswahl der Scantypen die Häufigkeit Ihrer Backups berücksichtigen.

Anmerkung

Das Scannen von Schadsoftware wird derzeit für kontinuierliche Amazon S3 S3-Wiederherstellungspunkte nicht unterstützt. Um kontinuierliche Amazon S3 S3-Backups zu scannen, konfigurieren Sie regelmäßige Backups für Ihre Amazon S3 S3-Ressourcen und aktivieren Sie Malware-Scans für diese regelmäßigen Backups. Sie können eine Kombination aus kontinuierlichen und regelmäßigen Backups für Ihre Amazon S3 S3-Buckets verwenden.

Anmerkung

Inkrementelles Scannen nach Schadsoftware wird für EC2 Amazon-Wiederherstellungspunkte in einem Tresor mit logischem Air-Gap oder für kopierte Amazon-Wiederherstellungspunkte nicht unterstützt. EC2

Überwachung Ihrer Malware-Scans

Nachdem das Scannen aktiviert wurde, GuardDuty bieten sowohl AWS Backup Amazon als auch Amazon Überwachungs- und Benachrichtigungsmechanismen, mit denen Sie Ihre Ergebnisse verfolgen können:

  • AWS Backup Konsole: Die AWS Backup Konsole wird mit ListScanJobs und betrieben DescribeScanJob APIs. Im Bereich Malware-Schutz finden Sie eine Liste der Scanaufträge, die den Auftragsstatus und die Scanergebnisse darstellt. AWS Backup unterstützt auch eine ListScanJobSummaries API, ist jedoch nicht in der Konsole verfügbar.

  • AWS Backup Audit Manager: Sie können einen Scanbericht einrichten, in dem alle AWS Backup initiierten Malware-Scanaufträge der letzten 24 Stunden angezeigt werden.

  • GuardDuty Amazon-Konsole: Wenn Amazon Base aktiviert GuardDuty ist, können Sie Details in den Malware-Scan-Ergebnissen einsehen und Malware auf der GuardDuty Amazon-Ergebnisseite untersuchen. Sie können Informationen wie die Bedrohung und den Dateinamen, den Dateipfad, die objects/files gescannten Dateien, die gescannten Byte usw. anzeigen. Beachten Sie, dass diese detaillierten Bedrohungsinformationen nicht über AWS Backup verfügbar sind und Sie über die entsprechenden GuardDuty Amazon-Berechtigungen verfügen müssen, um diese Informationen einsehen zu können.

  • Amazon EventBridge: AWS Backup Sowohl als auch Amazon GuardDuty senden EventBridge Ereignisse aus, sodass Backup- und Sicherheitsadministratoren synchron benachrichtigt werden können. Sie können benutzerdefinierte Regeln einrichten, um Benachrichtigungen zu erhalten, wenn die Scans abgeschlossen sind oder Malware erkannt wird.

  • AWS CloudTrail: AWS Backup Sowohl Amazon als auch GuardDuty Amazon senden CloudTrail Ereignisse aus, sodass Sie den API-Zugriff überwachen können.

Die Scanergebnisse verstehen

Ihre Scanaufträge von AWS Backup werden einen Scanstatus und ein Scanergebnis haben.

Status scannen

Der Scanstatus gibt den Auftragsstatus an und kann folgende Werte haben: CREATEDCOMPLETED,COMPLETED_WITH_ISSUES,RUNNING,FAILED, oderCANCELED.

Es gibt mehrere Situationen, in denen Ihr Scanauftrag mit dem folgenden Status abgeschlossen wirdCOMPLETED_WITH_ISSUES:

Für Amazon S3 S3-Backups gibt es size/type Objektbeschränkungen, die verhindern, dass Objekte gescannt werden. Wenn mindestens ein Objekt bei einem Scan übersprungen wird, wird der entsprechende Scanauftrag als COMPLETED_WITH_ISSUES markiert. Für Amazon EC2 /Amazon EBS-Backups gibt es size/quantity Volumenbeschränkungen, die dazu führen, dass Volumes beim Scannen übersprungen werden. Diese Situationen führen zu einem EC2 Amazon-/Amazon EBS-Backup-Job, zu dem Sie führen müssen. COMPLETED_WITH_ISSUES

Wenn Ihr Auftrag mit dem Status abgeschlossen wird COMPLETED_WITH_ISSUES und Sie weitere Informationen zu den Gründen benötigen, müssen Sie diese Informationen aus dem entsprechenden Scanauftrag über Amazon abrufen GuardDuty.

Anmerkung

Bei inkrementellen Scanaufträgen wird nur der Datenunterschied zwischen zwei Backups gescannt. Wenn also bei einem inkrementellen Scanauftrag keine der oben beschriebenen Situationen auftritt, wird er im Status beendet COMPLETE und erbt den Status nicht COMPLETED_WITH_ISSUES vom Basiswiederherstellungspunkt.

In seltenen Fällen GuardDuty kann es bei Amazon zu internen Problemen beim Scannen von Dateien und Objekten kommen, sodass Wiederholungsversuche möglicherweise erschöpft sind. In diesem Fall wird der Scanauftrag wie FAILED in AWS Backup und COMPLETED_WITH_ISSUES in Amazon angezeigt GuardDuty. Dieser Statusunterschied ermöglicht es Ihnen, die verfügbaren Scanergebnisse in Amazon einzusehen und GuardDuty gleichzeitig darauf hinzuweisen, dass nicht alle unterstützten Dateien und Objekte erfolgreich gescannt wurden.

Scan-Ergebnisse

Die Scanergebnisse geben ein aggregiertes Ergebnis von Amazon an GuardDuty und können Werte wie:THREATS_FOUND, oder NO_THREATS_FOUND haben.

Die Scanergebnisse geben an, ob an Ihren Wiederherstellungspunkten potenzielle Malware entdeckt wurde. Ein NO_THREATS_FOUND Status bedeutet, dass keine potenzielle Malware erkannt wurde, THREATS_FOUND weist aber darauf hin, dass potenzielle Malware entdeckt wurde. Detaillierte Informationen zu Bedrohungen erhalten Sie, wenn Sie über die GuardDuty Amazon-Konsole auf die vollständigen GuardDuty Ergebnisse von Amazon zugreifen oder APIs. Die Scanergebnisse sind auch in Form von EventBridge Ereignissen verfügbar, sodass Sie automatisierte Workflows einrichten können, die auf infizierte Backups reagieren.

Amazon GuardDuty bewahrt die Ergebnisse 90 Tage lang auf und verfolgt Dateien oder Objekte über inkrementelle Scans, um zu überwachen, ob Bedrohungen entfernt werden oder sich Malware-Signaturen ändern. Wenn beispielsweise in Backup 2 Malware entdeckt wird, wird das Scanergebnis angezeigtTHREATS_FOUND. Wenn Sie auf Backup 3 einen inkrementellen Scan durchführen und dabei Backup 2 als Grundlage verwenden, bleibt das Scanergebnis erhalten, THREATS_FOUND es sei denn, die Bedrohung wurde aus den Daten entfernt.

Behebung von Scanfehlern

Zu den häufigsten Scanfehlern gehören unzureichende IAM-Berechtigungen, Dienstbeschränkungen und Probleme mit dem Ressourcenzugriff.

Berechtigungsfehler treten auf, wenn der Backup-Rolle die AWSBackupServiceRolePolicyForScans erforderlichen Berechtigungen fehlen oder die Scanner-Rolle nicht über die richtigen Vertrauensbeziehungen AWSBackupGuardDutyRolePolicyForScans verfügt.

Fehler beim Service Limit treten auf, wenn Sie die 150 gleichzeitigen Scans pro Konto oder 5 gleichzeitige Scans pro Ressourcentyp überschreiten. Scanaufträge bleiben so lange im CREATED Status, bis Kapazität verfügbar ist.

Fehler „Zugriff verweigert“ können auf verschlüsselte Wiederherstellungspunkte ohne entsprechende AWS KMS Berechtigungen oder auf gelöschte übergeordnete Wiederherstellungspunkte für inkrementelle Scans hinweisen.

Timeout-Fehler können bei sehr großen Wiederherstellungspunkten oder während hoher GuardDuty Amazon-Ladezeiten auftreten.

Überprüfen Sie zur Fehlerbehebung den Status des Scanauftrags mithilfe der DescribeScanJob API, überprüfen Sie die IAM-Rollenkonfigurationen, stellen Sie sicher, dass Wiederherstellungspunkte existieren und zugänglich sind, und erwägen Sie, zu vollständigen Scans zu wechseln, falls übergeordnete Referenzen für inkrementelle Scans fehlen.

Überwachen Sie Ihre gleichzeitige Nutzung von Scans und implementieren Sie Jittering in automatisierte Workflows, um zu vermeiden, dass Sie die Service-Limits überschreiten.

Metering (Messung)

Der Malware-Schutz wird von Amazon GuardDuty bereitgestellt und in Rechnung gestellt. Im Zusammenhang mit der Nutzung dieser Funktion werden Ihnen keine AWS Backup Gebühren berechnet. Die gesamte Nutzung kann unter der Abrechnung GuardDuty von Amazon eingesehen werden. Weitere Informationen finden Sie unter GuardDuty Amazon-Preise.

Kontingente

AWS Backup Sowohl bei Amazon als auch GuardDuty bei Amazon gelten Kontingentbeschränkungen für Amazon GuardDuty Malware Protection for AWS Backup.

Weitere Informationen finden Sie unter AWS Backup Kontingente und GuardDuty Amazon-Kontingente.

Schritte zur Verwendung von Konsole und CLI für Malware-Scantypen

In den folgenden Abschnitten werden die Schritte zur Konfiguration verschiedener Malware-Scantypen sowohl mit der Konsole als auch beschrieben AWS CLI.

Wie richte ich Malware-Scans ein

Konsole

  1. Navigiere zu AWS Backup Konsole → Backup-Pläne

  2. Erstellen Sie einen neuen Backup-Plan oder wählen Sie einen vorhandenen Plan

  3. Schalten Sie den Malwareschutz ein

  4. Wählen Sie Scanner-Rolle aus, um eine neue Scanner-Rolle auszuwählen. Stellen Sie sicher, dass sowohl die Backup-Rolle als auch die Scanner-Rolle über die entsprechenden Berechtigungen verfügen, wie unter beschriebenZugriff.

  5. Wählen Sie scannbare Ressourcentypen aus. Dadurch wird der Malware-Scan nach den von Ihnen ausgewählten Kriterien für die Ressourcenauswahl gefiltert. Wenn Sie beispielsweise Amazon EBS als scannbaren Ressourcentyp ausgewählt haben, die Ressourcenauswahl Ihres Plans jedoch Amazon EBS und Amazon S3 umfasst, werden nur Amazon EBS-Malware-Scans durchgeführt.

  6. Legen Sie den Scantyp für jede Backup-Regel fest. Sie können zwischen vollständigem Scan, inkrementellem Scan und keinem Scan wählen. Die Auswahl des Scan-Typs bedeutet, dass der Scan mit der geplanten Häufigkeit durchgeführt wird, die in der zugehörigen Backup-Regel festgelegt ist.

  7. Backup-Plan speichern

AWS CLI

CreateBackupPlan

Mit dem create-backup-planBefehl können Sie einen Backup-Plan mit aktiviertem Malware-Scan erstellen.

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

Mit dem update-backup-planBefehl können Sie einen Backup-Plan mit aktiviertem Malware-Scan aktualisieren.

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
Die wichtigsten Hinweise

  • Der ARN-Zieleintrag ist erforderlich, bevor die Scanoptionen aktiviert werden (Konsole)

  • Sowohl die Backup-IAM-Rolle als auch die Scanner-IAM-Rolle sind für alle Konfigurationen erforderlich

  • Dient aws backup list-scan-jobs zum Anzeigen aller Scanaufträge ()AWS CLI

  • Die Auswirkungen auf die Kosten variieren je nach Scantyp (inkrementell oder vollständig) und Häufigkeit

AWS CLI Die wichtigsten Hinweise

  • aws backup list-scan-jobsDient zum Anzeigen aller Scanaufträge (AWS CLI)

  • Die Scanergebnisse sind über die describe-recovery-point API mit ScanResults Feld verfügbar

  • Sowohl die Backup-IAM-Rolle als auch die Scanner-IAM-Rolle sind für alle Konfigurationen erforderlich

  • Die Struktur des JSON-Backupplans umfasst ScanSettings sowohl die Planebene als auch die Regeln ScanActions