Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan malware di AWS Backup
Pemindaian malware cadangan Anda disediakan oleh Amazon GuardDuty Malware Protection. Menggunakan Amazon GuardDuty Malware Protection for AWS Backup memungkinkan Anda mengotomatiskan pemindaian titik pemulihan melalui alur kerja pencadangan yang ada, atau memulai pemindaian berdasarkan permintaan dari cadangan yang dibuat sebelumnya. Solusi AWS asli ini membantu memastikan cadangan Anda bersih dari potensi malware, memungkinkan Anda memenuhi persyaratan kepatuhan dan merespons insiden berbahaya lebih cepat dengan memastikan pemulihan data bersih.
Untuk melihat daftar jenis dan wilayah sumber daya yang didukung, kunjungi halaman ketersediaan fitur.
Topik
Integrasi dengan Amazon GuardDuty
AWS Backup terintegrasi dengan Amazon GuardDuty Malware Protection untuk memberikan deteksi ancaman untuk titik pemulihan Anda. Saat Anda memulai pemindaian malware, AWS Backup secara otomatis memanggil StartMalwareScan API GuardDuty Amazon setelah setiap pencadangan selesai, meneruskan detail titik pemulihan dan kredensyal peran pemindai Anda. Amazon GuardDuty kemudian mulai membaca, mendekripsi, dan memindai semua file dan objek dalam cadangan.
Saat Amazon GuardDuty mengakses data cadangan Anda, akses tersebut masuk AWS CloudTrail untuk visibilitas.
Untuk informasi selengkapnya tentang integrasi ini, lihat dokumentasi Perlindungan GuardDuty Malware Amazon.
Cara menggunakan pemindaian malware
Saat Anda menggunakan Amazon GuardDuty Malware Protection dengan AWS Backup, Anda dapat secara otomatis memindai cadangan Anda untuk malware. Integrasi ini membantu Anda mendeteksi kode berbahaya dalam cadangan Anda dan mengidentifikasi titik pemulihan bersih untuk operasi pemulihan.
Amazon GuardDuty Malware Protection mendukung dua alur kerja utama untuk memindai cadangan Anda:
-
Pemindaian malware otomatis melalui paket cadangan — Aktifkan pemindaian malware dalam rencana cadangan untuk mengotomatiskan deteksi malware. AWS Backup Saat diaktifkan, AWS Backup secara otomatis memulai GuardDuty pemindaian Amazon setelah setiap penyelesaian pencadangan berhasil. Anda dapat mengonfigurasi pemindaian penuh atau inkremental untuk aturan rencana cadangan tertentu, yang menentukan seberapa sering pencadangan Anda dipindai. Untuk informasi lebih lanjut tentang jenis pemindaian, lihat Pemindaian tambahan vs penuh di bawah. AWS Backup merekomendasikan untuk mengaktifkan pemindaian malware otomatis dalam rencana cadangan untuk deteksi ancaman proaktif setelah pembuatan cadangan.
-
Pemindaian sesuai permintaan — Jalankan pemindaian sesuai permintaan untuk memindai cadangan yang ada secara manual, memilih antara jenis pemindaian penuh atau tambahan. AWS Backup merekomendasikan menggunakan pemindaian sesuai permintaan untuk mengidentifikasi cadangan bersih terakhir Anda. Saat memindai sebelum operasi pemulihan, gunakan pemindaian penuh untuk memeriksa seluruh cadangan dengan model deteksi ancaman terbaru.
Akses
Sebelum Anda mulai dengan perlindungan malware, akun Anda harus memiliki izin yang diperlukan untuk operasi.
AWS Backup Pemindaian malware memerlukan dua peran IAM untuk memindai titik pemulihan Anda untuk mencari malware potensial:
-
Pertama, kebijakan
AWSBackupServiceRolePolicyForScansterkelola harus dilampirkan ke peran cadangan Anda yang ada atau yang baru. Ini adalah peran yang sama yang ditemukan dalam penetapan sumber daya untuk paket cadangan Anda di konsol, atau melalui BackupSelection API. Kebijakan terkelola ini memungkinkan AWS Backup untuk memulai pemindaian malware dengan Amazon. GuardDuty -
Kedua, peran pemindai baru diperlukan dengan kebijakan
AWSBackupGuardDutyRolePolicyForScansterkelola yang dipercayamalware-protection.guardduty.amazonaws.com. Ini adalah peran yang sama yang ditemukan di bagian perlindungan malware dari paket cadangan Anda di konsol atau melalui pengaturan pemindaian di BackupPlan API Anda. Peran ini diteruskan AWS Backup ke Amazon GuardDuty saat pemindaian dimulai, menyediakan akses ke cadangan.
Pemindaian tambahan vs penuh
Dengan pemindaian malware, Anda memiliki opsi untuk memilih antara pemindaian tambahan dan penuh berdasarkan persyaratan keamanan dan pertimbangan biaya Anda.
Pemindaian tambahan hanya menganalisis data yang berubah antara target dan titik pemulihan dasar. Pemindaian ini lebih cepat dan lebih hemat biaya untuk pemindaian reguler, menjadikannya ideal untuk pencadangan berkala yang sering di mana Anda ingin memindai data yang baru dicadangkan.
Bahkan ketika pemindaian tambahan dipilih, AWS Backup lakukan pemindaian penuh dalam situasi ini:
-
Pemindaian pertama kali: Pemindaian awal sumber daya selalu merupakan pemindaian penuh, memungkinkan Amazon GuardDuty untuk menetapkan dasar ancaman potensial. Pemindaian selanjutnya kemudian akan bersifat inkremental.
-
Garis dasar kedaluwarsa: Jika titik pemulihan dasar Anda dipindai lebih dari 90 hari yang lalu, pemindaian penuh terjadi. Karena Amazon GuardDuty tetap menemukan informasi hanya selama 90 hari, garis dasar baru harus ditetapkan untuk memastikan hasil pemindaian yang akurat.
-
Garis dasar yang dihapus: Jika titik pemulihan dasar Anda dihapus sebelum pemindaian tambahan berikutnya dimulai, pemindaian penuh terjadi secara otomatis.
Pemindaian penuh memeriksa seluruh titik pemulihan terlepas dari pemindaian sebelumnya. Sementara pemindaian ini memberikan cakupan yang komprehensif, mereka membutuhkan waktu lebih lama untuk menyelesaikan dan mengeluarkan biaya yang lebih tinggi. Anda dapat menjalankan pemindaian penuh sesuai permintaan atau menjadwalkannya melalui rencana cadangan Anda. AWS Backup merekomendasikan untuk mengonfigurasi pemindaian penuh berkala dalam paket cadangan Anda pada interval yang diperpanjang untuk memastikan seluruh data cadangan Anda dipindai secara teratur dengan model tanda tangan malware terbaru.
Untuk keamanan optimal versus manajemen biaya, pertimbangkan frekuensi cadangan Anda saat memilih jenis pemindaian.
catatan
Pemindaian malware saat ini tidak didukung untuk titik pemulihan berkelanjutan Amazon S3. Untuk memindai cadangan berkelanjutan Amazon S3, konfigurasikan pencadangan berkala untuk sumber daya Amazon S3 Anda dan aktifkan pemindaian malware pada cadangan berkala tersebut. Anda dapat menggunakan kombinasi pencadangan berkelanjutan dan berkala untuk bucket Amazon S3 Anda.
catatan
Pemindaian malware tambahan tidak didukung untuk titik EC2 pemulihan Amazon di brankas celah udara yang secara logis atau titik pemulihan Amazon yang disalin. EC2
Memantau pemindaian malware Anda
Setelah pemindaian diaktifkan, keduanya AWS Backup dan Amazon GuardDuty menyediakan mekanisme pemantauan dan pemberitahuan yang dapat Anda gunakan untuk melacak hasil Anda:
-
AWS Backup Konsol: AWS Backup Konsol ini didukung oleh
ListScanJobsdanDescribeScanJobAPIs. Anda dapat mengunjungi bagian Perlindungan malware untuk melihat daftar pekerjaan pemindaian, yang mewakili status pekerjaan dan hasil pemindaian. AWS Backup juga mendukungListScanJobSummariesAPI, meskipun tidak tersedia di konsol. -
AWS Backup Audit Manager: Anda dapat menyiapkan laporan pemindaian untuk melihat semua pekerjaan pemindaian malware yang AWS Backup dimulai selama 24 jam terakhir.
-
GuardDuty Konsol Amazon: Jika Amazon dasar GuardDuty diaktifkan, Anda dapat melihat detail di hasil Pemindaian Malware dan menyelidiki malware di halaman GuardDuty temuan Amazon. Anda dapat melihat informasi seperti ancaman dan nama file, jalur file, objects/files dipindai, byte yang dipindai, dll. Perhatikan bahwa informasi ancaman terperinci ini tidak tersedia melalui AWS Backup, dan Anda harus memiliki GuardDuty izin Amazon yang sesuai untuk melihat informasi ini.
-
Amazon EventBridge: Keduanya AWS Backup dan Amazon GuardDuty memancarkan EventBridge peristiwa, memungkinkan administrator cadangan dan keamanan untuk diperingatkan secara sinkron. Anda dapat mengatur aturan khusus untuk menerima pemberitahuan saat pemindaian selesai atau malware terdeteksi.
-
AWS CloudTrail: Keduanya AWS Backup dan Amazon GuardDuty memancarkan CloudTrail peristiwa, memungkinkan Anda memantau akses API.
Memahami hasil pemindaian
Pekerjaan pemindaian Anda dari AWS Backup akan memiliki status pemindaian dan hasil pemindaian.
Negara Pindai
Status pemindaian menunjukkan status pekerjaan dan dapat memiliki nilai:CREATED,COMPLETED,COMPLETED_WITH_ISSUES,RUNNING,FAILED, atauCANCELED.
Ada beberapa situasi di mana pekerjaan pemindaian Anda akan selesai dengan statusCOMPLETED_WITH_ISSUES:
Untuk cadangan Amazon S3, ada size/type batasan objek yang akan mencegah objek dipindai. Ketika setidaknya satu objek dilewati dalam pemindaian, pekerjaan pemindaian yang sesuai akan ditandai sebagaiCOMPLETED_WITH_ISSUES. Untuk backup EC2 Amazon/Amazon EBS, ada size/quantity batasan volume yang mengakibatkan volume dilewati selama pemindaian. Situasi ini akan menghasilkan pekerjaan cadangan EC2 Amazon/Amazon EBS. COMPLETED_WITH_ISSUES
Jika pekerjaan Anda selesai dengan status COMPLETED_WITH_ISSUES dan Anda memerlukan informasi lebih lanjut tentang alasannya, Anda perlu mendapatkan detail tersebut dari pekerjaan pemindaian yang sesuai melalui Amazon GuardDuty.
catatan
Pekerjaan pemindaian tambahan hanya memindai perbedaan data antara dua cadangan. Oleh karena itu, jika pekerjaan pemindaian tambahan tidak menemukan salah satu situasi yang dijelaskan di atas, itu akan selesai dalam keadaan COMPLETE dan tidak akan mewarisi COMPLETED_WITH_ISSUES dari titik pemulihan dasar.
Dalam kasus yang jarang terjadi, Amazon GuardDuty mungkin mengalami masalah internal saat memindai file dan objek, dan upaya coba lagi mungkin habis. Ketika ini terjadi, pekerjaan pemindaian muncul seperti FAILED di AWS Backup dan COMPLETED_WITH_ISSUES di Amazon GuardDuty. Perbedaan status ini memungkinkan Anda untuk melihat hasil pemindaian yang tersedia di Amazon GuardDuty sambil menunjukkan bahwa tidak semua file dan objek yang didukung berhasil dipindai.
Hasil Pindai
Hasil pemindaian menunjukkan hasil agregat dari Amazon GuardDuty dan dapat memiliki nilai:THREATS_FOUND, atauNO_THREATS_FOUND.
Hasil pemindaian menunjukkan apakah malware potensial terdeteksi di titik pemulihan Anda. NO_THREATS_FOUNDStatus berarti tidak ada malware potensial yang terdeteksi, sementara THREATS_FOUND menunjukkan potensi malware ditemukan. Untuk informasi ancaman terperinci, akses GuardDuty temuan Amazon lengkap melalui GuardDuty konsol Amazon atau APIs. Hasil pemindaian juga tersedia melalui EventBridge peristiwa, memungkinkan Anda membuat alur kerja otomatis yang merespons cadangan yang terinfeksi.
Amazon GuardDuty menyimpan temuan selama 90 hari, melacak file atau objek di seluruh pemindaian tambahan untuk memantau apakah ancaman dihapus atau tanda tangan malware berubah. Misalnya, jika malware terdeteksi di cadangan 2, hasil pemindaian akan ditampilkanTHREATS_FOUND. Saat Anda melakukan pemindaian tambahan pada cadangan 3 menggunakan cadangan 2 sebagai basis, hasil pemindaian tetap ada THREATS_FOUND kecuali ancaman telah dihapus dari data.
Memecahkan masalah kegagalan pemindaian
Kegagalan pemindaian umum termasuk izin IAM yang tidak memadai, batas layanan, dan masalah akses sumber daya.
Kesalahan izin terjadi ketika peran cadangan tidak memiliki AWSBackupServiceRolePolicyForScans izin atau peran pemindai tidak memiliki hubungan kepercayaan AWSBackupGuardDutyRolePolicyForScans yang tepat.
Kesalahan batas layanan terjadi ketika Anda melebihi 150 pemindaian bersamaan per akun atau 5 pemindaian bersamaan per jenis sumber daya - pekerjaan pemindaian akan tetap dalam CREATED status hingga kapasitas tersedia.
Kesalahan akses ditolak dapat menunjukkan titik pemulihan terenkripsi tanpa AWS KMS izin yang tepat atau titik pemulihan induk yang dihapus untuk pemindaian tambahan.
Kegagalan batas waktu dapat terjadi dengan titik pemulihan yang sangat besar atau selama periode GuardDuty pemuatan Amazon yang tinggi.
Untuk memecahkan masalah, periksa status pekerjaan pemindaian menggunakan DescribeScanJob API, verifikasi konfigurasi peran IAM, pastikan titik pemulihan ada dan dapat diakses, dan pertimbangkan untuk beralih ke pemindaian penuh jika referensi induk pemindaian tambahan tidak ada.
Pantau penggunaan pemindaian bersamaan Anda dan terapkan jittering dalam alur kerja otomatis untuk menghindari mencapai batas layanan.
Pengukuran
Perlindungan malware disediakan dan ditagih oleh Amazon GuardDuty. Anda tidak akan melihat AWS Backup biaya apa pun yang terkait dengan penggunaan fitur ini. Semua penggunaan dapat dilihat di bawah penagihan GuardDuty Amazon. Untuk mempelajari lebih lanjut, kunjungi GuardDuty harga Amazon
Kuota
Keduanya AWS Backup dan Amazon GuardDuty memiliki batas kuota untuk Perlindungan GuardDuty Malware Amazon untuk AWS Backup.
Untuk informasi lebih lanjut, kunjungi AWS Backup kuota dan GuardDuty kuota Amazon.
Langkah-langkah penggunaan konsol dan CLI untuk jenis pemindaian malware
Bagian berikut menunjukkan langkah-langkah untuk mengonfigurasi berbagai jenis pemindaian malware menggunakan konsol dan AWS CLI.
Cara mengatur pemindaian malware
Konsol
-
Arahkan ke AWS Backup konsol → Paket Backup
-
Buat rencana cadangan baru atau pilih paket yang ada
-
Aktifkan perlindungan Malware toggle
-
Pilih peran Pemindai untuk memilih peran pemindai baru. Pastikan peran cadangan dan peran pemindai memiliki izin yang sesuai seperti yang dibahas dalamAkses.
-
Pilih Jenis sumber daya yang dapat dipindai. Ini akan memfilter pemindaian malware ke kriteria pemilihan sumber daya yang telah Anda pilih. Misalnya, jika pilihan jenis sumber daya yang dapat dipindai adalah Amazon EBS, tetapi pemilihan sumber daya paket Anda mencakup Amazon EBS dan Amazon S3, maka hanya pemindaian malware Amazon EBS yang akan dilakukan.
-
Atur jenis Pindai untuk setiap aturan cadangan. Anda dapat memilih antara pemindaian penuh, inkremental, dan tanpa pemindaian. Pemilihan jenis pemindaian berarti bahwa pemindaian akan terjadi pada frekuensi jadwal aturan pencadangan terkait.
-
Simpan paket cadangan
AWS CLI
CreateBackupPlan
Anda dapat membuat rencana cadangan dengan pemindaian malware diaktifkan menggunakan create-backup-plan
aws backup create-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ { "RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 3, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN" } ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 100, "CompletionWindowMinutes": 5000, "Lifecycle": { "DeleteAfterDays": 2, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["EBS", "EC2", "S3"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
UpdateBackupPlan
Anda dapat memperbarui paket cadangan dengan pemindaian malware diaktifkan menggunakan update-backup-plan
aws backup update-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac", "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ {"RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 60, "CompletionWindowMinutes": 3000, "Lifecycle": { "DeleteAfterDays": 6, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ {"MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN"} ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 9, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["ALL", "EBS"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
Catatan Kunci
-
Entri ARN target diperlukan sebelum opsi pemindaian diaktifkan (Konsol)
-
Kedua peran IAM cadangan dan peran IAM pemindai diperlukan untuk semua konfigurasi
-
Gunakan
aws backup list-scan-jobsuntuk melihat semua pekerjaan pemindaian (AWS CLI) -
Implikasi biaya bervariasi menurut jenis pemindaian (inkremental vs penuh) dan frekuensi
AWS CLI Catatan Kunci
-
Gunakan
aws backup list-scan-jobsuntuk melihat semua pekerjaan pemindaian (AWS CLI) -
Hasil pemindaian tersedia melalui
describe-recovery-pointAPI dengan ScanResults bidang -
Kedua peran IAM cadangan dan peran IAM pemindai diperlukan untuk semua konfigurasi
-
Struktur rencana cadangan JSON mencakup ScanSettings pada tingkat rencana dan ScanActions aturan
