기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 맬웨어 보호 AWS Backup
백업의 맬웨어 스캔은 Amazon GuardDuty 맬웨어 보호에서 제공합니다. AWS Backup 에 Amazon GuardDuty 맬웨어 보호를 사용하면 기존 백업 워크플로를 통해 복구 시점 스캔을 자동화하거나 이전에 생성한 백업의 온디맨드 스캔을 시작할 수 있습니다. 이 AWS 네이티브 솔루션은 잠재적 맬웨어로부터 백업을 정리하여 규정 준수 요구 사항을 충족하고 클린 데이터 복구를 보장하여 악의적인 인시던트에 더 빠르게 대응할 수 있도록 합니다.
지원되는 리소스 유형 및 리전 목록을 보려면 기능 가용성 페이지를 방문하세요.
주제
Amazon GuardDuty와 통합
AWS Backup 는 Amazon GuardDuty 맬웨어 보호와 통합되어 복구 시점에 대한 위협 탐지를 제공합니다. 맬웨어 스캔을 시작하면는 각 백업이 완료된 후 Amazon GuardDuty의 StartMalwareScan API를 AWS Backup 자동으로 호출하여 복구 시점 세부 정보와 스캐너 역할 자격 증명을 전달합니다. 그런 다음 Amazon GuardDuty는 백업 내의 모든 파일과 객체를 읽고, 해독하고, 스캔하기 시작합니다.
Amazon GuardDuty가 백업 데이터에 액세스하면 해당 액세스가 가시성을 AWS CloudTrail 위해 로그인됩니다.
이 통합에 대한 자세한 내용은 Amazon GuardDuty 맬웨어 보호 설명서를 참조하세요.
맬웨어 스캔을 사용하는 방법
Amazon GuardDuty 맬웨어 보호를와 함께 사용하면 백업에서 맬웨어를 자동으로 스캔 AWS Backup할 수 있습니다. 이 통합을 통해 백업에서 악성 코드를 감지하고 복원 작업을 위한 클린 복구 시점을 식별할 수 있습니다.
Amazon GuardDuty 맬웨어 보호는 백업 스캔을 위한 두 가지 기본 워크플로를 지원합니다.
-
백업 계획을 통한 자동 맬웨어 스캔 - 백업 계획에서 맬웨어 스캔을 활성화하여 맬웨어 감지를 자동화합니다 AWS Backup. 활성화하면 백업이 완료될 때마다 Amazon GuardDuty 스캔이 AWS Backup 자동으로 시작됩니다. 백업 스캔 빈도를 결정하는 특정 백업 계획 규칙에 대한 전체 스캔 또는 증분 스캔을 구성할 수 있습니다. 스캔 유형에 대한 자세한 내용은 증분 및 전체 스캔 아래를 참조하세요. AWS Backup 백업 생성 후 사전 위협 탐지를 위해 백업 계획에서 자동 맬웨어 스캔을 활성화하는 것이 좋습니다.
-
온디맨드 스캔 - 온디맨드 스캔을 실행하여 기존 백업을 수동으로 스캔하고 전체 스캔 유형 또는 증분 스캔 유형 중에서 선택합니다. 온디맨드 스캔을 사용하여 마지막 정리 백업을 식별하는 것이 AWS Backup 좋습니다. 복원 작업 전에 스캔할 때는 전체 스캔을 사용하여 최신 위협 탐지 모델로 전체 백업을 검사합니다.
액세스
맬웨어 보호를 시작하기 전에 계정에 작업에 필요한 권한이 있어야 합니다.
AWS Backup 맬웨어 스캔을 수행하려면 복구 시점에 잠재적 맬웨어가 있는지 검사하는 데 두 가지 IAM 역할이 필요합니다.
-
먼저
AWSBackupServiceRolePolicyForScans관리형 정책을 기존 또는 새 백업 역할에 연결해야 합니다. 이는 콘솔의 백업 계획에 대한 리소스 할당 또는 BackupSelection API를 통해 찾을 수 있는 것과 동일한 역할입니다. 이 관리형 정책을 사용하면 AWS Backup 가 Amazon GuardDuty에서 맬웨어 스캔을 시작할 수 있습니다. -
둘째,를 신뢰하는
AWSBackupGuardDutyRolePolicyForScans관리형 정책에는 새 스캐너 역할이 필요합니다malware-protection.guardduty.amazonaws.com. 이는 콘솔의 백업 계획의 맬웨어 보호 부분 또는 BackupPlan API의 스캔 설정을 통해 찾을 수 있는 것과 동일한 역할입니다. 이 역할은 스캔이 시작되면 AWS Backup 에서 Amazon GuardDuty로 전달되어 백업에 대한 액세스를 제공합니다. Amazon GuardDuty
증분 및 전체 스캔
맬웨어 스캔을 사용하면 보안 요구 사항 및 비용 고려 사항에 따라 증분 스캔과 전체 스캔 중에서 선택할 수 있습니다.
증분 스캔은 대상과 기본 복구 시점 간에 변경된 데이터만 분석합니다. 이러한 스캔은 정기 스캔에서 더 빠르고 비용 효율적이므로 새로 백업된 데이터를 스캔하려는 정기 백업에 적합합니다.
증분 스캔을 선택한 경우에도는 다음과 같은 상황에서 전체 스캔을 AWS Backup 수행합니다.
-
최초 스캔: 리소스의 초기 스캔은 항상 전체 스캔이므로 Amazon GuardDuty는 잠재적 위협의 기준을 설정할 수 있습니다. 이후 스캔은 증분식입니다.
-
만료된 기준: 기준 복구 시점을 90일 이상 전에 스캔한 경우 전체 스캔이 발생합니다. Amazon GuardDuty는 결과 정보를 90일 동안만 보관하므로 정확한 스캔 결과를 보장하기 위해 새 기준을 설정해야 합니다.
-
삭제된 기준: 다음 증분 스캔이 시작되기 전에 기본 복구 시점이 삭제되면 전체 스캔이 자동으로 수행됩니다.
전체 스캔은 이전 스캔과 관계없이 전체 복구 시점을 검사합니다. 이러한 스캔은 포괄적인 적용 범위를 제공하지만 완료하는 데 시간이 더 오래 걸리고 비용이 더 많이 발생합니다. 온디맨드 방식으로 전체 스캔을 실행하거나 백업 계획을 통해 예약할 수 있습니다.는 백업 계획에서 정기적으로 전체 스캔을 구성하여 전체 백업 데이터가 최신 맬웨어 서명 모델로 정기적으로 스캔되도록 할 것을 AWS Backup 권장합니다.
최적의 보안과 비용 관리를 위해 스캔 유형을 선택할 때 백업 빈도를 고려하세요.
참고
Amazon S3 연속 복구 시점에는 현재 맬웨어 스캔이 지원되지 않습니다. Amazon S3 연속 백업을 스캔하려면 Amazon S3 리소스에 대한 정기 백업을 구성하고 해당 정기 백업에서 맬웨어 스캔을 활성화합니다. Amazon S3 버킷에 연속 백업과 정기 백업을 조합하여 사용할 수 있습니다.
참고
논리적 에어 갭 저장소 또는 복사된 Amazon EC2 복구 시점의 Amazon EC2 복구 시점에는 증분 맬웨어 스캔이 지원되지 않습니다.
맬웨어 스캔 모니터링
스캔이 활성화된 후 AWS Backup 및 Amazon GuardDuty 모두 결과를 추적하는 데 사용할 수 있는 모니터링 및 알림 메커니즘을 제공합니다.
-
AWS Backup 콘솔: AWS Backup 콘솔은
ListScanJobs및DescribeScanJobAPIs. 맬웨어 보호 섹션을 방문하여 작업 상태 및 스캔 결과를 나타내는 스캔 작업 목록을 볼 수 있습니다.는 콘솔에서 사용할 수 없지만ListScanJobSummariesAPI AWS Backup 도 지원합니다. -
AWS Backup Audit Manager: 지난 24시간 동안 AWS Backup 시작된 모든 맬웨어 스캔 작업을 볼 수 있도록 스캔 보고서를 설정할 수 있습니다.
-
Amazon GuardDuty 콘솔: 기본 Amazon GuardDuty가 활성화된 경우 맬웨어 스캔 결과에서 세부 정보를 보고 Amazon GuardDuty 조사 결과 페이지에서 맬웨어를 조사할 수 있습니다. 위협 및 파일 이름, 파일 경로, 스캔한 객체/파일, 스캔한 바이트 등과 같은 정보를 볼 수 있습니다. 이 세부 위협 정보는를 통해 사용할 수 없으며이 정보를 보려면 적절한 Amazon GuardDuty 권한이 AWS Backup있어야 합니다.
-
Amazon EventBridge: AWS Backup 및 Amazon GuardDuty 모두 EventBridge 이벤트를 내보내 백업 및 보안 관리자에게 동기식으로 알림을 보낼 수 있습니다. 스캔이 완료되거나 맬웨어가 감지되면 알림을 받도록 사용자 지정 규칙을 설정할 수 있습니다.
-
AWS CloudTrail: AWS Backup 및 Amazon GuardDuty 모두 CloudTrail 이벤트를 내보내 API 액세스를 모니터링할 수 있습니다.
스캔 결과 이해
의 스캔 작업에는 스캔 상태와 스캔 결과가 AWS Backup 있습니다.
스캔 상태
스캔 상태는 작업 상태를 나타내며 , CREATED, COMPLETED, COMPLETED_WITH_ISSUES, RUNNING FAILED또는 값을 가질 수 있습니다CANCELED.
스캔 작업이 상태로 완료되는 여러 상황이 있습니다. COMPLETED_WITH_ISSUES
Amazon S3 백업의 경우 객체를 스캔하지 못하게 하는 객체 크기/유형 제한이 있습니다. 스캔 내에서 하나 이상의 객체를 건너뛰면 해당 스캔 작업이 로 표시됩니다COMPLETED_WITH_ISSUES. Amazon EC2/Amazon EBS 백업의 경우 볼륨 크기/수량 제한이 있어 스캔 중에 볼륨을 건너뛰게 됩니다. 이러한 상황에서는 Amazon EC2/Amazon EBS 백업 작업이 로 이어집니다COMPLETED_WITH_ISSUES.
작업이 상태로 완료COMPLETED_WITH_ISSUES되고 이유에 대한 추가 정보가 필요한 경우 Amazon GuardDuty를 통해 해당 스캔 작업에서 해당 세부 정보를 가져와야 합니다.
참고
증분 스캔 작업은 두 백업 간의 데이터 차이만 스캔합니다. 따라서 증분 스캔 작업에서 위에 설명된 상황이 발생하지 않으면 상태가 완료COMPLETE되고 기본 복구 시점에서 COMPLETED_WITH_ISSUES를 상속하지 않습니다.
드문 경우지만 파일 및 객체를 스캔할 때 Amazon GuardDuty에서 내부 문제가 발생할 수 있으며 재시도 횟수가 소진될 수 있습니다. 이 경우 스캔 작업은 FAILED AWS Backup 및 Amazon GuardDutyCOMPLETED_WITH_ISSUES에 로 표시됩니다. 이 상태 차이를 사용하면 지원되는 모든 파일 및 객체가 성공적으로 스캔되지 않았음을 나타내는 동시에 Amazon GuardDuty에서 사용 가능한 스캔 결과를 볼 수 있습니다.
스캔 결과
스캔 결과는 Amazon GuardDuty의 집계된 결과를 나타내며 THREATS_FOUND, 또는 값을 가질 수 있습니다NO_THREATS_FOUND.
스캔 결과는 복구 시점에서 잠재적 맬웨어가 탐지되었는지 여부를 나타냅니다. NO_THREATS_FOUND 상태는 잠재적 맬웨어가 탐지되지 않았음을 의미하고,는 잠재적 맬웨어가 발견되었음을 THREATS_FOUND 나타냅니다. 자세한 위협 정보는 Amazon GuardDuty 콘솔 또는 API를 통해 전체 Amazon GuardDuty 조사 결과에 액세스하세요. APIs 또한 EventBridge 이벤트를 통해 스캔 결과를 사용할 수 있으므로 감염된 백업에 응답하는 자동화된 워크플로를 구축할 수 있습니다.
Amazon GuardDuty는 90일 동안 결과를 보존하여 증분 스캔에서 파일 또는 객체를 추적하여 위협이 제거되거나 맬웨어 서명이 변경되는지 모니터링합니다. 예를 들어 백업 2에서 맬웨어가 감지되면 스캔 결과에가 표시됩니다THREATS_FOUND. 백업 2를 기본으로 사용하여 백업 3에서 증분 스캔을 수행하면 데이터에서 위협이 제거되지 THREATS_FOUND 않는 한 스캔 결과가 유지됩니다.
스캔 실패 문제 해결
일반적인 스캔 실패에는 IAM 권한 부족, 서비스 제한 및 리소스 액세스 문제가 포함됩니다.
권한 오류는 백업 역할에 AWSBackupServiceRolePolicyForScans 권한이 없거나 스캐너 역할에 AWSBackupGuardDutyRolePolicyForScans 적절한 신뢰 관계가 없는 경우에 발생합니다.
서비스 제한 오류는 계정당 동시 스캔 150개 또는 리소스 유형당 동시 스캔 5개를 초과할 때 발생합니다. 스캔 작업은 용량을 사용할 수 있을 때까지 CREATED 상태로 유지됩니다.
액세스 거부 오류는 적절한 AWS KMS 권한이 없는 암호화된 복구 시점 또는 증분 스캔에 대한 삭제된 상위 복구 시점을 나타낼 수 있습니다.
제한 시간 실패는 복구 시점이 매우 크거나 Amazon GuardDuty 로드 기간이 긴 경우에 발생할 수 있습니다.
문제를 해결하려면 DescribeScanJob API를 사용하여 스캔 작업 상태를 확인하고, IAM 역할 구성을 확인하고, 복구 시점이 존재하고 액세스할 수 있는지 확인하고, 증분 스캔 상위 참조가 누락된 경우 전체 스캔으로 전환하는 것이 좋습니다.
동시 스캔 사용량을 모니터링하고 자동화된 워크플로에서 지터링을 구현하여 서비스 제한에 도달하지 않도록 합니다.
측정
맬웨어 보호는 Amazon GuardDuty에서 제공하고 청구합니다. 이 기능 사용과 관련된 AWS Backup 요금은 표시되지 않습니다. 모든 사용량은 Amazon GuardDuty의 결제에서 확인할 수 있습니다. 자세한 내용은 Amazon GuardDuty 요금을
할당량
AWS Backup 및 Amazon GuardDuty 모두 Amazon GuardDuty 맬웨어 보호에 대한 할당량 제한이 있습니다 AWS Backup.
자세한 내용은 AWS Backup 할당량 및 Amazon GuardDuty 할당량을 참조하세요.
맬웨어 스캔 유형에 대한 콘솔 및 CLI 사용 단계
다음 섹션에서는 콘솔과를 모두 사용하여 다양한 맬웨어 스캔 유형을 구성하는 단계를 보여줍니다 AWS CLI.
맬웨어 스캔을 설정하는 방법
콘솔
-
AWS Backup 콘솔 → 백업 계획으로 이동
-
새 백업 계획 생성 또는 기존 계획 선택
-
맬웨어 보호 토글 활성화
-
스캐너 역할을 선택하여 새 스캐너 역할을 선택합니다. 에 설명된 대로 백업 역할과 스캐너 역할 모두에 적절한 권한이 있는지 확인합니다액세스.
-
스캔 가능한 리소스 유형을 선택합니다. 그러면 선택한 리소스 선택 기준으로 맬웨어 스캔이 필터링됩니다. 예를 들어 스캔 가능한 리소스 유형 선택이 Amazon EBS이지만 플랜의 리소스 선택에 Amazon EBS 및 Amazon S3가 포함된 경우 Amazon EBS 맬웨어 스캔만 수행됩니다.
-
각 백업 규칙에 대해 스캔 유형을 설정합니다. 전체 스캔, 증분 스캔, 스캔 없음 중에서 선택할 수 있습니다. 스캔 유형 선택은 연결된 백업 규칙의 일정 빈도에 따라 스캔이 수행됨을 의미합니다.
-
백업 계획 저장
AWS CLI
CreateBackupPlan
create-backup-plan
aws backup create-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ { "RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 3, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN" } ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 100, "CompletionWindowMinutes": 5000, "Lifecycle": { "DeleteAfterDays": 2, "OptInToArchiveForSupportedResources": true }, "RecoveryPointTags": { "key1": "foo", "key2": "foo" }, "EnableContinuousBackup": true, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["EBS", "EC2", "S3"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
UpdateBackupPlan
update-backup-plan
aws backup update-backup-plan \ --region us-west-2 \ --cli-input-json '{ "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac", "BackupPlan": { "BackupPlanName": "scan-initial-test-demo", "Rules": [ {"RuleName": "full", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(0 * * * ? *)", "StartWindowMinutes": 60, "CompletionWindowMinutes": 3000, "Lifecycle": { "DeleteAfterDays": 6, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ {"MalwareScanner": "GUARDDUTY", "ScanMode": "FULL_SCAN"} ] }, { "RuleName": "incremental", "TargetBackupVaultName": "Default", "ScheduleExpression": "cron(30 * * * ? *)", "StartWindowMinutes": 120, "CompletionWindowMinutes": 6000, "Lifecycle": { "DeleteAfterDays": 9, "OptInToArchiveForSupportedResources": false}, "RecoveryPointTags": {"key1": "foo", "key2": "foo"}, "EnableContinuousBackup": false, "ScanActions": [ { "MalwareScanner": "GUARDDUTY", "ScanMode": "INCREMENTAL_SCAN" } ] } ], "ScanSettings": [ { "MalwareScanner": "GUARDDUTY", "ResourceTypes": ["ALL", "EBS"], "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole" } ] } }'
주요 참고 사항
-
스캔 옵션을 활성화하려면 대상 ARN 항목이 필요합니다(콘솔).
-
모든 구성에 필요한 백업 IAM 역할과 스캐너 IAM 역할 모두
-
aws backup list-scan-jobs를 사용하여 모든 스캔 작업 보기(AWS CLI) -
비용 영향은 스캔 유형(증분 대 전체) 및 빈도에 따라 다릅니다.
AWS CLI 주요 참고 사항
-
aws backup list-scan-jobs를 사용하여 모든 스캔 작업 보기(AWS CLI) -
ScanResults 필드가 있는
describe-recovery-pointAPI를 통해 사용 가능한 스캔 결과 -
모든 구성에 필요한 백업 IAM 역할과 스캐너 IAM 역할 모두
-
JSON 백업 계획 구조에는 계획 수준의 ScanSettings와 규칙에 ScanActions가 포함됩니다.
