Protezione da malware in AWS Backup - AWS Backup
Integrazione con Amazon GuardDutyCome utilizzare la scansione antimalwareAccessoScansioni incrementali e scansioni completeMonitoraggio delle scansioni antimalwareComprensione dei risultati della scansioneRisoluzione dei problemi di scansioneMisurazioneQuoteProcedure di utilizzo della console e della CLI per i tipi di scansione antimalware

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione da malware in AWS Backup

La scansione antimalware dei tuoi backup è fornita da Amazon GuardDuty Malware Protection. L'utilizzo di Amazon GuardDuty Malware Protection for AWS Backup consente di automatizzare la scansione dei punti di ripristino attraverso i flussi di lavoro di backup esistenti o di avviare scansioni su richiesta di backup creati in precedenza. Questa soluzione AWS nativa aiuta a garantire che i backup siano privi di potenziali malware, consentendoti di soddisfare i requisiti di conformità e rispondere più rapidamente agli incidenti dannosi garantendo il ripristino di dati puliti.

Per visualizzare un elenco dei tipi di risorse e delle aree geografiche supportati, visita la pagina sulla disponibilità delle funzionalità.

Argomenti

Integrazione con Amazon GuardDuty

AWS Backup si integra con Amazon GuardDuty Malware Protection per fornire il rilevamento delle minacce per i punti di ripristino. Quando avvii una scansione antimalware, chiama AWS Backup automaticamente l'StartMalwareScanAPI GuardDuty di Amazon dopo il completamento di ogni backup, passando i dettagli del punto di ripristino e le credenziali del ruolo dello scanner. Amazon inizia GuardDuty quindi a leggere, decriptare e scansionare tutti i file e gli oggetti all'interno del backup.

Quando Amazon GuardDuty accede ai tuoi dati di backup, tale accesso viene registrato AWS CloudTrail per motivi di visibilità.

Per ulteriori informazioni su questa integrazione, consulta la documentazione di Amazon GuardDuty Malware Protection.

Come utilizzare la scansione antimalware

Quando usi Amazon GuardDuty Malware Protection con AWS Backup, puoi scansionare automaticamente i tuoi backup alla ricerca di malware. Questa integrazione ti aiuta a rilevare codice dannoso nei backup e a identificare punti di ripristino puliti per le operazioni di ripristino.

Amazon GuardDuty Malware Protection supporta due flussi di lavoro principali per la scansione dei backup:

  • Scansione automatica del malware tramite piani di backup: abilita la scansione del malware nei piani di backup per automatizzare il rilevamento del malware con. AWS Backup Se abilitato, avvia AWS Backup automaticamente una GuardDuty scansione Amazon dopo ogni completamento riuscito del backup. Puoi configurare la scansione completa o incrementale per regole specifiche del piano di backup, che determinano la frequenza di scansione dei backup. Per ulteriori informazioni sui tipi di scansione, vedere di seguito. Scansioni incrementali e scansioni complete AWS Backup consiglia di abilitare la scansione automatica del malware nei piani di backup per il rilevamento proattivo delle minacce dopo la creazione del backup.

  • Scansioni su richiesta: esegui scansioni su richiesta per scansionare manualmente i backup esistenti, scegliendo tra tipi di scansione completa o incrementale. AWS Backup consiglia di utilizzare scansioni su richiesta per identificare l'ultimo backup pulito. Quando esegui la scansione prima di un'operazione di ripristino, utilizza una scansione completa per esaminare l'intero backup con il modello di rilevamento delle minacce più recente.

Accesso

Prima di iniziare con la protezione da malware, l'account deve disporre delle autorizzazioni necessarie per le operazioni.

AWS Backup la scansione antimalware richiede due ruoli IAM per la scansione dei punti di ripristino alla ricerca di potenziali malware:

  • Innanzitutto, la policy AWSBackupServiceRolePolicyForScans gestita deve essere associata al ruolo di backup esistente o nuovo. Questo è lo stesso ruolo che si trova nell'assegnazione delle risorse per il piano di backup nella console o tramite l'BackupSelection API. Questa politica gestita consente di AWS Backup avviare scansioni di malware con Amazon. GuardDuty

  • In secondo luogo, è necessario un nuovo ruolo di scanner con una policy AWSBackupGuardDutyRolePolicyForScans gestita che si fida. malware-protection.guardduty.amazonaws.com Questo è lo stesso ruolo che si trova nella sezione relativa alla protezione da malware del piano di backup nella console o nelle impostazioni di scansione dell'BackupPlan API. Questo ruolo viene passato AWS Backup ad Amazon GuardDuty quando viene avviata una scansione, fornendo l'accesso ai backup.

Scansioni incrementali e scansioni complete

Con la scansione antimalware, hai la possibilità di scegliere tra scansioni incrementali e complete in base ai tuoi requisiti di sicurezza e alle considerazioni relative ai costi.

Le scansioni incrementali analizzano solo i dati che sono cambiati tra il punto di ripristino di destinazione e quello di base. Queste scansioni sono più veloci ed economiche per la scansione regolare, il che le rende ideali per backup periodici frequenti in cui si desidera scansionare i nuovi dati di cui è stato eseguito il backup.

Anche quando è selezionata la scansione incrementale, AWS Backup esegue una scansione completa nelle seguenti situazioni:

  • Scansioni iniziali: la scansione iniziale di una risorsa è sempre una scansione completa, che consente GuardDuty ad Amazon di stabilire una base di potenziali minacce. Le scansioni successive saranno quindi incrementali.

  • Baseline scaduta: se il punto di ripristino di base è stato scansionato più di 90 giorni fa, viene eseguita una scansione completa. Poiché Amazon GuardDuty conserva la ricerca di informazioni solo per 90 giorni, è necessario stabilire una nuova linea di base per garantire risultati di scansione accurati.

  • Linea di base eliminata: se il punto di ripristino di base viene eliminato prima dell'inizio della successiva scansione incrementale, viene eseguita automaticamente una scansione completa.

Le scansioni complete esaminano l'intero punto di ripristino indipendentemente dalle scansioni precedenti. Sebbene queste scansioni offrano una copertura completa, richiedono più tempo per essere completate e comportano costi più elevati. Puoi eseguire scansioni complete su richiesta o pianificarle tramite i tuoi piani di backup. AWS Backup consiglia di configurare scansioni complete periodiche nei piani di backup a intervalli prolungati per garantire che tutti i dati di backup vengano scansionati regolarmente con il modello di firma antimalware più recente.

Per una sicurezza ottimale rispetto alla gestione dei costi, considerate la frequenza di backup nella scelta dei tipi di scansione.

Nota

La scansione antimalware non è attualmente supportata per i punti di ripristino continui di Amazon S3. Per eseguire la scansione dei backup continui di Amazon S3, configura backup periodici per le tue risorse Amazon S3 e abilita la scansione antimalware su tali backup periodici. Puoi utilizzare una combinazione di backup continui e periodici per i tuoi bucket Amazon S3.

Nota

La scansione antimalware incrementale non è supportata per i punti di EC2 ripristino Amazon in un vault logicamente chiuso o per i punti di ripristino Amazon copiati. EC2

Monitoraggio delle scansioni antimalware

Dopo aver abilitato la scansione, sia AWS Backup Amazon che Amazon GuardDuty forniscono meccanismi di monitoraggio e notifica che puoi utilizzare per tenere traccia dei risultati:

  • AWS Backup Console: la AWS Backup console è alimentata da ListScanJobs and DescribeScanJob APIs. È possibile visitare la sezione Protezione da malware per visualizzare l'elenco dei processi di scansione, che rappresentano lo stato del lavoro e i risultati della scansione. AWS Backup supporta anche un'ListScanJobSummariesAPI, sebbene non sia disponibile nella console.

  • AWS Backup Audit Manager: è possibile impostare un rapporto di scansione per visualizzare tutti i processi di scansione antimalware AWS Backup avviati nelle ultime 24 ore.

  • GuardDuty Console Amazon: se Amazon base GuardDuty è abilitato, puoi visualizzare i dettagli nei risultati di Malware Scan e indagare sul malware nella pagina dei GuardDuty risultati di Amazon. Puoi visualizzare informazioni come la minaccia e il nome del file, il percorso del file, i dati objects/files scansionati, i byte scansionati, ecc. Tieni presente che queste informazioni dettagliate sulle minacce non sono disponibili tramite AWS Backup e devi disporre delle GuardDuty autorizzazioni Amazon appropriate per visualizzarle.

  • Amazon EventBridge: entrambi AWS Backup e Amazon GuardDuty emettono EventBridge eventi che consentono agli amministratori di backup e sicurezza di essere avvisati in modo sincrono. Puoi impostare regole personalizzate per ricevere notifiche quando le scansioni vengono completate o viene rilevato un malware.

  • AWS CloudTrail: Entrambi AWS Backup e Amazon GuardDuty emettono CloudTrail eventi, consentendoti di monitorare l'accesso alle API.

Comprensione dei risultati della scansione

I lavori di scansione di AWS Backup avranno uno stato e un risultato di scansione.

Stati di scansione

Lo stato di scansione indica lo stato del lavoro e può avere valori di: CREATEDCOMPLETED,,COMPLETED_WITH_ISSUES,RUNNING,FAILED, oCANCELED.

Esistono diverse situazioni in cui il processo di scansione terminerà con lo statoCOMPLETED_WITH_ISSUES:

Per i backup di Amazon S3, esistono size/type limitazioni agli oggetti che impediranno la scansione degli oggetti. Quando almeno un oggetto viene saltato all'interno di una scansione, il processo di scansione corrispondente verrà contrassegnato come. COMPLETED_WITH_ISSUES Per i backup EC2 Amazon/Amazon EBS, esistono size/quantity limitazioni di volume che fanno sì che i volumi vengano ignorati durante la scansione. Queste situazioni comporteranno un processo di backup EC2 Amazon/Amazon EBS. COMPLETED_WITH_ISSUES

Se il tuo lavoro termina con lo stato COMPLETED_WITH_ISSUES e hai bisogno di ulteriori informazioni sui motivi, dovrai ottenere tali dettagli dal processo di scansione corrispondente tramite Amazon GuardDuty.

Nota

I processi di scansione incrementale analizzano solo la differenza di dati tra due backup. Pertanto, se un processo di scansione incrementale non presenta nessuna delle situazioni sopra descritte, terminerà nello stesso stato COMPLETE e non erediterà la situazione COMPLETED_WITH_ISSUES dal punto di ripristino di base.

In rari casi, Amazon GuardDuty potrebbe riscontrare problemi interni durante la scansione di file e oggetti e i tentativi di riprovare potrebbero esaurirsi. Quando ciò accade, il processo di scansione viene visualizzato come FAILED in AWS Backup e COMPLETED_WITH_ISSUES in Amazon GuardDuty. Questa differenza di stato consente di visualizzare i risultati di scansione disponibili in Amazon, indicando al GuardDuty contempo che non tutti i file e gli oggetti supportati sono stati scansionati correttamente.

Risultati della scansione

I risultati della scansione indicano un risultato aggregato di Amazon GuardDuty e possono avere valori pari a:THREATS_FOUND, oNO_THREATS_FOUND.

I risultati della scansione indicano se è stato rilevato un potenziale malware nei punti di ripristino. Uno NO_THREATS_FOUND stato indica che non è stato rilevato alcun malware potenziale, mentre THREATS_FOUND indica che è stato scoperto un potenziale malware. Per informazioni dettagliate sulle minacce, accedi ai GuardDuty risultati completi di Amazon tramite la GuardDuty console Amazon o APIs. I risultati della scansione sono disponibili anche tramite EventBridge eventi, che consentono di creare flussi di lavoro automatizzati che rispondono ai backup infetti.

Amazon GuardDuty conserva i risultati per 90 giorni, tracciando file o oggetti attraverso scansioni incrementali per monitorare se le minacce vengono rimosse o le firme dei malware cambiano. Ad esempio, se viene rilevato un malware nel backup 2, viene visualizzato il risultato della scansione. THREATS_FOUND Quando si esegue una scansione incrementale sul backup 3 utilizzando il backup 2 come base, il risultato della scansione rimane invariato THREATS_FOUND a meno che la minaccia non sia stata rimossa dai dati.

Risoluzione dei problemi di scansione

Gli errori di scansione più comuni includono autorizzazioni IAM insufficienti, limiti di servizio e problemi di accesso alle risorse.

Gli errori di autorizzazione si verificano quando il ruolo di backup non dispone delle AWSBackupServiceRolePolicyForScans autorizzazioni o il ruolo scanner non dispone di relazioni AWSBackupGuardDutyRolePolicyForScans di fiducia adeguate.

Gli errori relativi ai limiti di servizio si verificano quando si superano le 150 scansioni simultanee per account o le 5 scansioni simultanee per tipo di risorsa: i lavori di scansione rimarranno invariati fino a quando la capacità non sarà disponibileCREATED.

Gli errori di accesso negato possono indicare punti di ripristino crittografati senza AWS KMS le autorizzazioni appropriate o punti di ripristino principali eliminati per le scansioni incrementali.

Gli errori di timeout possono verificarsi con punti di ripristino molto grandi o durante periodi di GuardDuty carico elevati di Amazon.

Per risolvere i problemi, controlla lo stato del processo di scansione utilizzando l'DescribeScanJobAPI, verifica le configurazioni dei ruoli IAM, assicurati che i punti di ripristino esistano e siano accessibili e valuta la possibilità di passare alle scansioni complete se mancano i riferimenti principali alla scansione incrementale.

Monitora l'utilizzo simultaneo delle scansioni e implementa il jittering nei flussi di lavoro automatizzati per evitare di raggiungere i limiti del servizio.

Misurazione

La protezione da malware viene fornita e fatturata da Amazon GuardDuty. Non vedrai alcun AWS Backup addebito relativo all'utilizzo di questa funzionalità. Tutto l'utilizzo può essere visualizzato nella pagina GuardDuty di fatturazione di Amazon. Per ulteriori informazioni, consulta la pagina GuardDuty dei prezzi di Amazon.

Quote

Entrambi AWS Backup e Amazon GuardDuty hanno limiti di quota per Amazon GuardDuty Malware Protection for AWS Backup.

Per ulteriori informazioni, consulta la pagina AWS Backup quote e GuardDuty quote Amazon.

Procedure di utilizzo della console e della CLI per i tipi di scansione antimalware

Le sezioni seguenti mostrano i passaggi per configurare diversi tipi di scansione antimalware utilizzando sia la console che. AWS CLI

Come configurare le scansioni antimalware

Console

  1. Vai alla AWS Backup console → Piani di backup

  2. Crea un nuovo piano di backup o seleziona un piano esistente

  3. Attiva l'opzione di protezione da malware

  4. Seleziona il ruolo dello scanner per scegliere un nuovo ruolo dello scanner. Assicurati che sia il ruolo di backup che il ruolo scanner dispongano delle autorizzazioni appropriate, come descritto inAccesso.

  5. Seleziona i tipi di risorse scansionabili. Questo filtrerà la scansione antimalware in base ai criteri di selezione delle risorse che hai scelto. Ad esempio, se la selezione del tipo di risorsa scansionabile è Amazon EBS, ma la selezione di risorse del piano include Amazon EBS e Amazon S3, verranno eseguite solo le scansioni antimalware di Amazon EBS.

  6. Imposta il tipo di scansione per ogni regola di backup. È possibile scegliere tra scansione completa, incrementale e senza scansione. La selezione del tipo di scansione indica che la scansione verrà eseguita alla frequenza di pianificazione della regola di backup associata.

  7. Salva piano di backup

AWS CLI

CreateBackupPlan

È possibile creare un piano di backup con la scansione antimalware abilitata utilizzando il create-backup-plancomando.

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

È possibile aggiornare un piano di backup con la scansione antimalware abilitata utilizzando il update-backup-plancomando.

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
Note chiave

  • L'immissione dell'ARN di destinazione è necessaria prima che le opzioni di scansione vengano abilitate (Console)

  • Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner

  • Utilizzare aws backup list-scan-jobs per visualizzare tutti i processi di scansione ()AWS CLI

  • Le implicazioni in termini di costi variano in base al tipo di scansione (incrementale o completa) e alla frequenza

AWS CLI Note chiave

  • Utilizzare aws backup list-scan-jobs per visualizzare tutti i lavori di scansione (AWS CLI)

  • I risultati della scansione sono disponibili tramite describe-recovery-point API con ScanResults campo

  • Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner

  • La struttura del piano di backup JSON include ScanSettings a livello di piano e ScanActions nelle regole