Protección contra malware en AWS Backup - AWS Backup
Integración con Amazon GuardDuty¿Cómo utilizar el escaneo de malwareAccesoEscaneos incrementales frente a escaneos completosSupervisar tus escaneos de malwareComprender los resultados de los escaneosSolución de problemas de escaneoMediciónCuotasPasos de uso de la consola y la CLI para los tipos de análisis de malware

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección contra malware en AWS Backup

Amazon Malware Protection se encarga de analizar tus copias de seguridad con GuardDuty malware. El uso de Amazon GuardDuty Malware Protection for AWS Backup le permite automatizar el escaneo de los puntos de recuperación a través de los flujos de trabajo de respaldo existentes o iniciar escaneos bajo demanda de copias de seguridad creadas anteriormente. Esta solución AWS nativa ayuda a garantizar que sus copias de seguridad estén limpias de posibles programas maliciosos, lo que le permite cumplir con los requisitos de conformidad y responder a los incidentes maliciosos con mayor rapidez, al garantizar la recuperación de datos limpios.

Para ver una lista de los tipos de recursos y las regiones compatibles, visite la página de disponibilidad de funciones.

Temas

Integración con Amazon GuardDuty

AWS Backup se integra con Amazon GuardDuty Malware Protection para proporcionar detección de amenazas para sus puntos de recuperación. Cuando inicias un análisis de malware, llamas AWS Backup automáticamente a la StartMalwareScan API GuardDuty de Amazon una vez completada cada copia de seguridad y le pasas los detalles del punto de recuperación y las credenciales de tu función de escáner. Amazon comienza GuardDuty entonces a leer, descifrar y escanear todos los archivos y objetos de la copia de seguridad.

Cuando Amazon GuardDuty accede a tus datos de respaldo, se inicia sesión en ese acceso AWS CloudTrail para mayor visibilidad.

Para obtener más información sobre esta integración, consulte la documentación de Amazon GuardDuty Malware Protection.

¿Cómo utilizar el escaneo de malware

Cuando utilizas Amazon GuardDuty Malware Protection con AWS Backup, puedes escanear automáticamente tus copias de seguridad en busca de malware. Esta integración le ayuda a detectar códigos maliciosos en sus copias de seguridad e identificar puntos de recuperación limpios para las operaciones de restauración.

Amazon GuardDuty Malware Protection admite dos flujos de trabajo principales para escanear las copias de seguridad:

  • Escaneo automático de malware mediante planes de respaldo: habilite el escaneo de malware en los planes de respaldo para automatizar la detección de malware con ellos AWS Backup. Cuando está activado, inicia AWS Backup automáticamente un GuardDuty escaneo de Amazon cada vez que se completa correctamente la copia de seguridad. Puedes configurar el escaneo completo o incremental según las reglas específicas del plan de copias de seguridad, que determinan la frecuencia con la que se escanean las copias de seguridad. Para obtener más información sobre los tipos de escaneo, consulte Escaneos incrementales frente a escaneos completos a continuación. AWS Backup recomienda activar el análisis automático de malware en los planes de copia de seguridad para detectar de forma proactiva las amenazas tras la creación de la copia de seguridad.

  • Escaneos bajo demanda: ejecute escaneos bajo demanda para escanear manualmente las copias de seguridad existentes, eligiendo entre escaneos completos o incrementales. AWS Backup recomienda utilizar escaneos bajo demanda para identificar la última copia de seguridad limpia. Cuando escanee antes de una operación de restauración, utilice un análisis completo para examinar toda la copia de seguridad con el modelo de detección de amenazas más reciente.

Acceso

Antes de empezar con la protección contra el malware, su cuenta debe tener los permisos necesarios para realizar las operaciones.

AWS Backup El análisis de software malicioso requiere dos funciones de IAM para analizar los puntos de recuperación en busca de posibles programas maliciosos:

  • En primer lugar, la política AWSBackupServiceRolePolicyForScans gestionada debe estar asociada a su función de backup actual o nueva. Es la misma función que se encuentra en la asignación de recursos para su plan de respaldo en la consola o mediante la BackupSelection API. Esta política gestionada permite AWS Backup iniciar escaneos de malware con Amazon GuardDuty.

  • En segundo lugar, se requiere una nueva función de escáner con una política AWSBackupGuardDutyRolePolicyForScans gestionada de confianzamalware-protection.guardduty.amazonaws.com. Es la misma función que se encuentra en la parte de protección contra el malware de su plan de respaldo en la consola o en la configuración de escaneo de su BackupPlan API. Esta función se transfiere AWS Backup a Amazon GuardDuty cuando se inicia un escaneo, lo que proporciona acceso a las copias de seguridad.

Escaneos incrementales frente a escaneos completos

Con el escaneo de malware, tiene la opción de elegir entre escaneos incrementales o completos en función de sus requisitos de seguridad y consideraciones de costo.

Los escaneos incrementales analizan solo los datos que han cambiado entre el punto de recuperación objetivo y el punto de recuperación base. Estos escaneos son más rápidos y rentables para el escaneo normal, lo que los hace ideales para realizar copias de seguridad periódicas frecuentes en las que se desee escanear los datos recién respaldados.

Incluso cuando se selecciona el escaneo incremental, AWS Backup realiza un escaneo completo en las siguientes situaciones:

  • Análisis por primera vez: el análisis inicial de un recurso es siempre un análisis completo, lo que permite GuardDuty a Amazon establecer una línea base de posibles amenazas. Los escaneos posteriores se realizarán entonces de forma incremental.

  • Línea base caducada: si su punto de recuperación de referencia se escaneó hace más de 90 días, se realizará una exploración completa. Como Amazon GuardDuty conserva la información de búsqueda solo durante 90 días, se debe establecer un nuevo punto de referencia para garantizar la precisión de los resultados de digitalización.

  • Línea base eliminada: si el punto de recuperación base se elimina antes de que comience el siguiente análisis incremental, se realizará automáticamente un análisis completo.

Los escaneos completos examinan todo el punto de recuperación, independientemente de los escaneos anteriores. Si bien estos escaneos ofrecen una cobertura integral, tardan más en completarse e incurren en costos más altos. Puede realizar escaneos completos bajo demanda o programarlos a través de sus planes de respaldo. AWS Backup recomienda configurar escaneos periódicos completos en sus planes de copia de seguridad a intervalos prolongados para garantizar que todos los datos de la copia de seguridad se escaneen periódicamente con el modelo de identificación de malware más reciente.

Para lograr una seguridad óptima frente a una gestión de costes, tenga en cuenta la frecuencia de las copias de seguridad al elegir los tipos de análisis.

nota

Actualmente, los puntos de recuperación continua de Amazon S3 no admiten el escaneo de malware. Para escanear las copias de seguridad continuas de Amazon S3, configure las copias de seguridad periódicas de sus recursos de Amazon S3 y habilite el análisis de malware en esas copias de seguridad periódicas. Puede utilizar una combinación de copias de seguridad continuas y periódicas para sus buckets de Amazon S3.

nota

El análisis incremental de malware no es compatible con los puntos de EC2 recuperación de Amazon que se encuentren en una bóveda aislada de forma lógica ni con los puntos de recuperación de Amazon EC2 copiados.

Supervisar tus escaneos de malware

Una vez activado el escaneo, tanto AWS Backup Amazon como Amazon GuardDuty proporcionan mecanismos de supervisión y notificación que puedes usar para realizar un seguimiento de tus resultados:

  • AWS Backup Consola: La AWS Backup consola funciona con ListScanJobs y DescribeScanJob APIs. Puede visitar la sección Protección contra el malware para ver la lista de trabajos de escaneo, que representa el estado del trabajo y los resultados del escaneo. AWS Backup también es compatible con una ListScanJobSummaries API, aunque no está disponible en la consola.

  • AWS Backup Audit Manager: puede configurar un informe de escaneo para ver todos los trabajos de escaneo de malware AWS Backup iniciados en las últimas 24 horas.

  • Amazon GuardDuty Console: si Amazon base GuardDuty está activado, puedes ver los detalles en los resultados del análisis de malware e investigar el malware en la página de GuardDuty hallazgos de Amazon. Puedes ver información como la amenaza y el nombre del archivo, la ruta del archivo, los datos objects/files escaneados, los bytes escaneados, etc. Ten en cuenta que esta información detallada sobre amenazas no está disponible en Internet y debes tener los GuardDuty permisos de Amazon correspondientes para verla. AWS Backup

  • Amazon EventBridge: AWS Backup Tanto Amazon como Amazon GuardDuty emiten EventBridge eventos, lo que permite alertar de forma sincrónica a los administradores de copias de seguridad y seguridad. Puede configurar reglas personalizadas para recibir notificaciones cuando se completen los escaneos o se detecte malware.

  • AWS CloudTrail: AWS Backup Tanto Amazon como Amazon GuardDuty emiten CloudTrail eventos, lo que te permite monitorizar el acceso a la API.

Comprender los resultados de los escaneos

Sus trabajos de escaneo AWS Backup tendrán un estado de escaneo y un resultado de escaneo.

Estados de escaneo

El estado de escaneo indica el estado de la tarea y puede tener valores de: CREATEDCOMPLETED,COMPLETED_WITH_ISSUES,RUNNING,FAILED, oCANCELED.

Existen varias situaciones en las que el trabajo de escaneo terminará con el estado COMPLETED_WITH_ISSUES siguiente:

En el caso de las copias de seguridad de Amazon S3, existen size/type limitaciones de objetos que impiden que se escaneen los objetos. Cuando se omita al menos un objeto en un escaneo, el trabajo de escaneo correspondiente se marcará comoCOMPLETED_WITH_ISSUES. En el caso de las copias de seguridad de EC2 Amazon/Amazon EBS, existen size/quantity limitaciones de volumen que hacen que se omitan los volúmenes durante el escaneo. Estas situaciones darán como resultado un trabajo de copia de seguridad de EC2 Amazon/Amazon EBS. COMPLETED_WITH_ISSUES

Si tu trabajo termina con el estado COMPLETED_WITH_ISSUES y necesitas más información sobre los motivos, tendrás que obtener esos detalles del trabajo de escaneo correspondiente a través de Amazon GuardDuty.

nota

Los trabajos de escaneo incremental solo escanean la diferencia de datos entre dos copias de seguridad. Por lo tanto, si un trabajo de escaneo incremental no encuentra ninguna de las situaciones descritas anteriormente, finalizará en ese estado COMPLETE y no lo heredará del punto COMPLETED_WITH_ISSUES de recuperación base.

En raras ocasiones, Amazon GuardDuty puede experimentar problemas internos al escanear archivos y objetos, y es posible que se agoten los intentos de volver a intentarlo. Cuando esto ocurre, el trabajo de escaneo aparece como FAILED en AWS Backup y COMPLETED_WITH_ISSUES en Amazon GuardDuty. Esta diferencia de estado te permite ver los resultados de los escaneos disponibles en Amazon GuardDuty e indica que no todos los archivos y objetos compatibles se escanearon correctamente.

Resultados del escaneo

Los resultados del escaneo indican un resultado agregado de Amazon GuardDuty y pueden tener valores de:THREATS_FOUND, oNO_THREATS_FOUND.

Los resultados del análisis indican si se ha detectado un posible malware en sus puntos de recuperación. Un NO_THREATS_FOUND estado significa que no se ha detectado ningún malware potencial, mientras que THREATS_FOUND indica que se ha descubierto un malware potencial. Para obtener información detallada sobre las amenazas, acceda a los GuardDuty hallazgos completos de Amazon a través de la GuardDuty consola de Amazon o APIs. Los resultados del escaneo también están disponibles a través de EventBridge eventos, lo que le permite crear flujos de trabajo automatizados que respondan a las copias de seguridad infectadas.

Amazon GuardDuty conserva los resultados durante 90 días y rastrea los archivos u objetos mediante escaneos incrementales para monitorear si se eliminan las amenazas o si cambian las firmas del malware. Por ejemplo, si se detecta malware en la copia de seguridad 2, se mostrará el resultado del análisisTHREATS_FOUND. Al realizar un análisis incremental de la copia de seguridad 3 utilizando la copia de seguridad 2 como base, el resultado del análisis se mantiene THREATS_FOUND a menos que se haya eliminado la amenaza de los datos.

Solución de problemas de escaneo

Los errores de escaneo más comunes incluyen permisos de IAM insuficientes, límites de servicio y problemas de acceso a los recursos.

Los errores de permisos se producen cuando la función de copia de seguridad carece de AWSBackupServiceRolePolicyForScans permisos o la función de escáner no tiene AWSBackupGuardDutyRolePolicyForScans las relaciones de confianza adecuadas.

Los errores del límite de servicio se producen cuando se superan los 150 escaneos simultáneos por cuenta o los 5 escaneos simultáneos por tipo de recurso; los trabajos de escaneo permanecerán intactos hasta CREATED que haya capacidad disponible.

Los errores de acceso denegado pueden indicar puntos de recuperación cifrados sin AWS KMS los permisos adecuados o puntos de recuperación principales eliminados en el caso de escaneos incrementales.

Los errores de tiempo de espera pueden producirse con puntos de recuperación muy grandes o durante períodos de alta GuardDuty carga de Amazon.

Para solucionar problemas, compruebe el estado del trabajo de escaneo mediante la DescribeScanJob API, verifique las configuraciones de las funciones de IAM, asegúrese de que los puntos de recuperación existan y sean accesibles y considere la posibilidad de cambiar a escaneos completos si faltan las referencias principales del escaneo incremental.

Supervise el uso simultáneo de escaneos e implemente la fluctuación en los flujos de trabajo automatizados para evitar sobrepasar los límites de servicio.

Medición

Amazon GuardDuty proporciona y factura la protección contra el malware. No verás ningún AWS Backup cargo relacionado con el uso de esta función. Todo el uso se puede ver en GuardDuty la facturación de Amazon. Para obtener más información, visita los GuardDuty precios de Amazon.

Cuotas

AWS Backup Tanto Amazon como Amazon GuardDuty tienen límites de cuota para Amazon GuardDuty Malware Protection para AWS Backup.

Para obtener más información, visita AWS Backup cuotas y cuotas de Amazon GuardDuty .

Pasos de uso de la consola y la CLI para los tipos de análisis de malware

En las siguientes secciones se muestran los pasos para configurar los diferentes tipos de análisis de malware mediante la consola y AWS CLI.

¿Cómo configurar los escaneos de malware

Consola

  1. Vaya a la AWS Backup consola → Planes de backup

  2. Cree un nuevo plan de respaldo o seleccione un plan existente

  3. Activa la opción de protección contra malware

  4. Seleccione la función de escáner para elegir una nueva función de escáner. Asegúrese de que tanto la función de copia de seguridad como la de escáner tengan los permisos adecuados, tal y como se explica en la secciónAcceso.

  5. Seleccione los tipos de recursos escaneables. Esto filtrará el escaneo de malware según los criterios de selección de recursos que haya elegido. Por ejemplo, si su selección de tipo de recurso escaneable es Amazon EBS, pero la selección de recursos de su plan incluye Amazon EBS y Amazon S3, solo se realizarán escaneos de malware de Amazon EBS.

  6. Defina el tipo de escaneo para cada regla de respaldo. Puede elegir entre escaneo completo, incremental o sin escaneo. La selección del tipo de escaneo significa que el escaneo se realizará con la frecuencia programada de la regla de respaldo asociada.

  7. Guarde el plan de respaldo

AWS CLI

CreateBackupPlan

Puede crear un plan de respaldo con el escaneo de malware habilitado mediante el create-backup-plancomando.

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

Puede actualizar un plan de respaldo con la detección de malware habilitada mediante el update-backup-plancomando.

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
Notas clave

  • Es necesario introducir el ARN de destino antes de activar las opciones de escaneo (consola)

  • Todas las configuraciones requieren tanto la función de IAM de respaldo como la de IAM del escáner

  • Se utiliza aws backup list-scan-jobs para ver todos los trabajos de escaneo ()AWS CLI

  • Las implicaciones económicas varían según el tipo de escaneo (incremental o completo) y la frecuencia

AWS CLI Notas clave

  • Se utiliza aws backup list-scan-jobs para ver todos los trabajos de escaneo (AWS CLI)

  • Los resultados del escaneo están disponibles a través describe-recovery-point de una API con ScanResults campo

  • Todas las configuraciones requieren tanto la función de IAM de respaldo como la de IAM de escáner

  • La estructura del plan de respaldo de JSON incluye tanto ScanSettings a nivel del plan como en las reglas ScanActions