Protection contre les logiciels malveillants dans AWS Backup - AWS Backup
Intégration avec Amazon GuardDutyComment utiliser l'analyse des logiciels malveillantsAccèsAnalyses incrémentielles ou complètesSurveillance de vos analyses de malwaresComprendre les résultats du scanRésolution des problèmes de numérisationMesureQuotasÉtapes d'utilisation de la console et de la CLI pour les types d'analyse des programmes malveillants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection contre les logiciels malveillants dans AWS Backup

L'analyse des programmes malveillants de vos sauvegardes est assurée par Amazon GuardDuty Malware Protection. L'utilisation d'Amazon GuardDuty Malware Protection pour vous AWS Backup permet d'automatiser l'analyse des points de restauration via les flux de travail de sauvegarde existants ou de lancer des analyses à la demande de sauvegardes créées précédemment. Cette solution AWS native permet de garantir que vos sauvegardes sont exemptes de logiciels malveillants potentiels, ce qui vous permet de répondre aux exigences de conformité et de répondre plus rapidement aux incidents malveillants en garantissant la restauration de données propres.

Pour consulter la liste des types de ressources et des régions pris en charge, consultez la page de disponibilité des fonctionnalités.

Rubriques

Intégration avec Amazon GuardDuty

AWS Backup s'intègre à Amazon GuardDuty Malware Protection pour détecter les menaces pour vos points de récupération. Lorsque vous lancez une analyse des programmes malveillants, l'StartMalwareScanAPI d'Amazon GuardDuty est AWS Backup automatiquement appelée une fois chaque sauvegarde terminée, en transmettant les détails du point de restauration et les informations d'identification de votre rôle de scanner. Amazon commence GuardDuty ensuite à lire, déchiffrer et analyser tous les fichiers et objets contenus dans la sauvegarde.

Lorsque Amazon GuardDuty accède à vos données de sauvegarde, cet accès est connecté AWS CloudTrail pour des raisons de visibilité.

Pour plus d'informations sur cette intégration, consultez la documentation Amazon GuardDuty Malware Protection.

Comment utiliser l'analyse des logiciels malveillants

Lorsque vous utilisez Amazon GuardDuty Malware Protection avec AWS Backup, vous pouvez analyser automatiquement vos sauvegardes pour détecter la présence de logiciels malveillants. Cette intégration vous permet de détecter le code malveillant dans vos sauvegardes et d'identifier des points de restauration propres pour les opérations de restauration.

Amazon GuardDuty Malware Protection prend en charge deux flux de travail principaux pour analyser vos sauvegardes :

  • Analyse automatique des programmes malveillants via des plans de sauvegarde : activez l'analyse des logiciels malveillants dans les plans de sauvegarde pour automatiser la détection des logiciels malveillants avec AWS Backup. Lorsque cette option est activée, lance AWS Backup automatiquement un GuardDuty scan Amazon après chaque sauvegarde réussie. Vous pouvez configurer une analyse complète ou incrémentielle pour des règles de plan de sauvegarde spécifiques, qui déterminent la fréquence d'analyse de vos sauvegardes. Pour plus d'informations sur les types de numérisation, voir Analyses incrémentielles ou complètes ci-dessous. AWS Backup recommande d'activer l'analyse automatique des programmes malveillants dans les plans de sauvegarde pour une détection proactive des menaces après la création de la sauvegarde.

  • Analyses à la demande : exécutez des analyses à la demande pour analyser manuellement les sauvegardes existantes, en choisissant entre des types d'analyse complets ou incrémentiels. AWS Backup recommande d'utiliser des analyses à la demande pour identifier votre dernière sauvegarde propre. Lorsque vous effectuez une analyse avant une opération de restauration, utilisez une analyse complète pour examiner l'intégralité de la sauvegarde à l'aide du dernier modèle de détection des menaces.

Accès

Avant de commencer à utiliser la protection contre les logiciels malveillants, votre compte doit disposer des autorisations requises pour les opérations.

AWS Backup l'analyse des programmes malveillants nécessite deux rôles IAM pour analyser vos points de récupération à la recherche de logiciels malveillants potentiels :

  • Tout d'abord, la politique AWSBackupServiceRolePolicyForScans gérée doit être attachée à votre rôle de sauvegarde existant ou nouveau. Il s'agit du même rôle que celui que l'on trouve dans l'attribution des ressources pour votre plan de sauvegarde dans la console ou via l'BackupSelection API. Cette politique gérée permet de AWS Backup lancer des analyses de malwares avec Amazon GuardDuty.

  • Ensuite, un nouveau rôle de scanner est requis avec une politique AWSBackupGuardDutyRolePolicyForScans gérée qui fait confiancemalware-protection.guardduty.amazonaws.com. Il s'agit du même rôle que celui que l'on trouve dans la section de protection contre les programmes malveillants de votre plan de sauvegarde dans la console ou dans les paramètres d'analyse de votre BackupPlan API. Ce rôle est transmis AWS Backup à Amazon GuardDuty lorsqu'une analyse est lancée, ce qui permet d'accéder aux sauvegardes.

Analyses incrémentielles ou complètes

Avec l'analyse des programmes malveillants, vous avez le choix entre des analyses incrémentielles ou complètes en fonction de vos exigences en matière de sécurité et de considérations financières.

Les scans incrémentiels analysent uniquement les données modifiées entre le point de récupération cible et le point de récupération de base. Ces analyses sont plus rapides et plus économiques pour les analyses régulières, ce qui les rend idéales pour les sauvegardes périodiques fréquentes où vous souhaitez analyser des données récemment sauvegardées.

Même lorsque l'analyse incrémentielle est sélectionnée, AWS Backup effectue une analyse complète dans les situations suivantes :

  • Analyses initiales : l'analyse initiale d'une ressource est toujours une analyse complète, ce qui permet GuardDuty à Amazon d'établir une base de référence des menaces potentielles. Les scans suivants seront alors incrémentiels.

  • Base de référence expirée : si votre point de récupération de référence a été scanné il y a plus de 90 jours, une analyse complète est effectuée. Amazon ne GuardDuty conservant les informations de recherche que pendant 90 jours, une nouvelle base de référence doit être établie pour garantir des résultats d'analyse précis.

  • Base de référence supprimée : si votre point de récupération de base est supprimé avant le début de votre prochaine analyse incrémentielle, une analyse complète est automatiquement effectuée.

Les scans complets examinent l'intégralité du point de restauration, indépendamment des scans précédents. Bien que ces analyses fournissent une couverture complète, elles prennent plus de temps et entraînent des coûts plus élevés. Vous pouvez exécuter des analyses complètes à la demande ou les planifier via vos plans de sauvegarde. AWS Backup recommande de configurer des analyses complètes périodiques dans vos plans de sauvegarde à des intervalles prolongés afin de garantir que l'ensemble de vos données de sauvegarde est régulièrement scanné avec le dernier modèle de signature de logiciel malveillant.

Pour une sécurité optimale par rapport à une gestion des coûts, tenez compte de la fréquence de vos sauvegardes lorsque vous choisissez les types de scan.

Note

L'analyse des programmes malveillants n'est actuellement pas prise en charge pour les points de restauration continue Amazon S3. Pour analyser les sauvegardes continues d'Amazon S3, configurez des sauvegardes périodiques pour vos ressources Amazon S3 et activez l'analyse des programmes malveillants sur ces sauvegardes périodiques. Vous pouvez utiliser une combinaison de sauvegardes continues et périodiques pour vos compartiments Amazon S3.

Note

L'analyse incrémentielle des programmes malveillants n'est pas prise en charge pour les points de EC2 récupération Amazon situés dans un coffre-fort isolé de manière logique ou pour les points de récupération Amazon copiés. EC2

Surveillance de vos analyses de malwares

Une fois la numérisation activée, Amazon AWS Backup et Amazon GuardDuty fournissent des mécanismes de surveillance et de notification que vous pouvez utiliser pour suivre vos résultats :

  • AWS Backup Console : La AWS Backup console est alimentée par ListScanJobs et DescribeScanJob APIs. Vous pouvez consulter la section Protection contre les logiciels malveillants pour consulter la liste des tâches d'analyse, représentant l'état des tâches et les résultats de l'analyse. AWS Backup supporte également une ListScanJobSummaries API, bien qu'elle ne soit pas disponible dans la console.

  • AWS Backup Audit Manager : vous pouvez configurer un rapport d'analyse pour afficher toutes les tâches d'analyse des programmes malveillants AWS Backup lancées au cours des dernières 24 heures.

  • Amazon GuardDuty Console : si Amazon de base GuardDuty est activé, vous pouvez consulter les détails dans les résultats du Malware Scan et étudier les malwares sur la page des GuardDuty résultats d'Amazon. Vous pouvez consulter des informations telles que la menace et le nom du fichier, le chemin du fichier, objects/files le nombre d'octets scannés, etc. Notez que ces informations détaillées sur les menaces ne sont pas disponibles via AWS Backup et que vous devez disposer des GuardDuty autorisations Amazon appropriées pour consulter ces informations.

  • Amazon EventBridge : Amazon AWS Backup et Amazon GuardDuty émettent EventBridge des événements, ce qui permet aux administrateurs de sauvegarde et de sécurité d'être alertés de manière synchrone. Vous pouvez configurer des règles personnalisées pour recevoir des notifications lorsque les analyses sont terminées ou qu'un logiciel malveillant est détecté.

  • AWS CloudTrail: Amazon AWS Backup et Amazon GuardDuty émettent CloudTrail des événements, ce qui vous permet de surveiller l'accès aux API.

Comprendre les résultats du scan

Vos tâches de numérisation AWS Backup auront un état de numérisation et un résultat de numérisation.

États de numérisation

L'état de numérisation indique l'état de la tâche et peut prendre les valeurs suivantes : CREATED COMPLETEDCOMPLETED_WITH_ISSUES,RUNNING,FAILED, ouCANCELED.

Il existe plusieurs situations dans lesquelles votre tâche de numérisation se terminera avec l'état COMPLETED_WITH_ISSUES :

Pour les sauvegardes Amazon S3, il existe des size/type limitations relatives aux objets qui empêcheront l'analyse des objets. Lorsqu'au moins un objet est ignoré dans une analyse, la tâche de numérisation correspondante est marquée commeCOMPLETED_WITH_ISSUES. Pour les sauvegardes Amazon EC2 /Amazon EBS, il existe des size/quantity limites de volume qui se traduisent par des volumes ignorés lors de la numérisation. Ces situations entraîneront la création d'une tâche de sauvegarde EC2 Amazon /Amazon EBS. COMPLETED_WITH_ISSUES

Si votre tâche se termine par un état COMPLETED_WITH_ISSUES et que vous avez besoin d'informations supplémentaires sur les raisons, vous devrez obtenir ces informations auprès de la tâche de numérisation correspondante via Amazon GuardDuty.

Note

Les tâches d'analyse incrémentielle analysent uniquement la différence de données entre deux sauvegardes. Par conséquent, si une tâche d'analyse incrémentielle ne rencontre aucune des situations décrites ci-dessus, elle se terminera en état COMPLETE et n'héritera pas du point COMPLETED_WITH_ISSUES de récupération de base.

Dans de rares cas, Amazon GuardDuty peut rencontrer des problèmes internes lors de la numérisation de fichiers et d'objets, et les tentatives de nouvelle tentative peuvent être vaines. Dans ce cas, la tâche de numérisation apparaît comme FAILED dans AWS Backup et COMPLETED_WITH_ISSUES dans Amazon GuardDuty. Cette différence de statut vous permet de consulter les résultats de scan disponibles sur Amazon GuardDuty tout en indiquant que tous les fichiers et objets pris en charge n'ont pas été scannés avec succès.

Résultats du scan

Les résultats du scan indiquent un résultat agrégé provenant d'Amazon GuardDuty et peuvent avoir les valeurs suivantes :THREATS_FOUND, ouNO_THREATS_FOUND.

Les résultats de l'analyse indiquent si un logiciel malveillant potentiel a été détecté dans vos points de récupération. Un NO_THREATS_FOUND statut signifie qu'aucun logiciel malveillant potentiel n'a été détecté, tandis qu'THREATS_FOUNDun logiciel malveillant potentiel a été découvert. Pour obtenir des informations détaillées sur les menaces, accédez aux GuardDuty résultats complets d'Amazon via la GuardDuty console Amazon ou APIs. Les résultats du scan sont également disponibles par le biais d' EventBridge événements, ce qui vous permet de créer des flux de travail automatisés qui répondent aux sauvegardes infectées.

Amazon GuardDuty conserve les résultats pendant 90 jours, en suivant les fichiers ou les objets dans le cadre d'analyses incrémentielles afin de vérifier si les menaces sont supprimées ou si les signatures des logiciels malveillants changent. Par exemple, si un logiciel malveillant est détecté dans la sauvegarde 2, le résultat de l'analyse s'afficheTHREATS_FOUND. Lorsque vous effectuez une analyse incrémentielle sur la sauvegarde 3 en utilisant la sauvegarde 2 comme base, le résultat de l'analyse est conservé THREATS_FOUND sauf si la menace a été supprimée des données.

Résolution des problèmes de numérisation

Les échecs de scan courants incluent des autorisations IAM insuffisantes, des limites de service et des problèmes d'accès aux ressources.

Des erreurs d'autorisation se produisent lorsque le rôle de sauvegarde ne dispose pas d'AWSBackupServiceRolePolicyForScansautorisations ou lorsque le rôle de scanner n'AWSBackupGuardDutyRolePolicyForScansentretient pas de relations de confiance appropriées.

Des erreurs de limite de service se produisent lorsque vous dépassez les 150 analyses simultanées par compte ou 5 analyses simultanées par type de ressource. Les tâches de numérisation resteront en cours jusqu'CREATEDà ce que la capacité soit disponible.

Les erreurs d'accès refusé peuvent indiquer des points de récupération chiffrés sans AWS KMS les autorisations appropriées ou des points de récupération parents supprimés pour des analyses incrémentielles.

Les délais d'expiration peuvent survenir avec de très grands points de restauration ou pendant des périodes de GuardDuty chargement Amazon élevées.

Pour résoudre le problème, vérifiez l'état de la tâche d'analyse à l'aide de l'DescribeScanJobAPI, vérifiez les configurations des rôles IAM, assurez-vous que les points de récupération existent et sont accessibles, et envisagez de passer aux analyses complètes si des références parentes de scan incrémentielles sont manquantes.

Surveillez votre utilisation simultanée des scans et implémentez l'instabilité dans les flux de travail automatisés afin d'éviter d'atteindre les limites de service.

Mesure

La protection contre les malwares est fournie et facturée par Amazon GuardDuty. Vous ne verrez aucun AWS Backup frais lié à l'utilisation de cette fonctionnalité. Toutes les utilisations peuvent être consultées sur la page GuardDuty de facturation d'Amazon. Pour en savoir plus, consultez la page GuardDuty des tarifs Amazon.

Quotas

Amazon AWS Backup et Amazon GuardDuty ont tous deux fixé des limites de quotas pour Amazon GuardDuty Malware Protection pour AWS Backup.

Pour plus d'informations, consultez les pages AWS Backup Quotas et Amazon GuardDuty Quotas.

Étapes d'utilisation de la console et de la CLI pour les types d'analyse des programmes malveillants

Les sections suivantes présentent les étapes de configuration des différents types de scan de programmes malveillants à l'aide de la console et AWS CLI.

Comment configurer les analyses de logiciels malveillants

Console

  1. Accédez à la AWS Backup console → Plans de sauvegarde

  2. Créez un nouveau plan de sauvegarde ou sélectionnez un plan existant

  3. Activer le bouton de protection contre les logiciels malveillants

  4. Sélectionnez le rôle de scanner pour choisir un nouveau rôle de scanner. Assurez-vous que le rôle de sauvegarde et le rôle de scanner disposent des autorisations appropriées, comme indiqué dansAccès.

  5. Sélectionnez les types de ressources scannables. Cela filtrera l'analyse des logiciels malveillants en fonction des critères de sélection des ressources que vous avez choisis. Par exemple, si le type de ressource scannable que vous avez sélectionné est Amazon EBS, mais que la sélection de ressources de votre plan inclut Amazon EBS et Amazon S3, seules les analyses de malwares Amazon EBS auront lieu.

  6. Définissez le type de scan pour chaque règle de sauvegarde. Vous pouvez choisir entre un scan complet, un scan incrémentiel ou un scan sans scan. La sélection du type de scan signifie que le scan aura lieu à la fréquence planifiée de la règle de sauvegarde associée.

  7. Enregistrer le plan de sauvegarde

AWS CLI

CreateBackupPlan

Vous pouvez créer un plan de sauvegarde avec l'analyse des programmes malveillants activée à l'aide de la create-backup-plancommande.

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

Vous pouvez mettre à jour un plan de sauvegarde en activant l'analyse des programmes malveillants à l'aide de la update-backup-plancommande.

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
Remarques clés

  • La saisie de l'ARN cible est requise avant que les options de scan ne soient activées (console)

  • Le rôle IAM de sauvegarde et le rôle IAM de scanner sont requis pour toutes les configurations

  • aws backup list-scan-jobsÀ utiliser pour afficher toutes les tâches de numérisation (AWS CLI)

  • Les implications financières varient selon le type de numérisation (incrémentiel ou complet) et la fréquence

AWS CLI Remarques clés

  • aws backup list-scan-jobsÀ utiliser pour afficher toutes les tâches de numérisation (AWS CLI)

  • Résultats du scan disponibles via describe-recovery-point API avec ScanResults champ

  • Le rôle IAM de sauvegarde et le rôle IAM de scanner sont requis pour toutes les configurations

  • La structure du plan de sauvegarde JSON inclut ScanSettings au niveau du plan et ScanActions dans les règles