Proteção contra malware em AWS Backup - AWS Backup
Integração com a Amazon GuardDutyComo usar a verificação de malwareAcessoEscaneamentos incrementais versus escaneamentos completosMonitorando seus escaneamentos de malwareEntendendo os resultados da verificaçãoSolução de problemas de falhas de verificaçãoMediçãoCotasEtapas de uso do console e da CLI para tipos de verificação de malware

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção contra malware em AWS Backup

A verificação de malware de seus backups é fornecida pela Amazon GuardDuty Malware Protection. O uso do Amazon GuardDuty Malware Protection for AWS Backup permite automatizar a verificação de pontos de recuperação por meio de fluxos de trabalho de backup existentes ou iniciar verificações sob demanda de backups criados anteriormente. Essa solução AWS nativa ajuda a garantir que seus backups estejam livres de possíveis malwares, permitindo que você atenda aos requisitos de conformidade e responda a incidentes maliciosos com mais rapidez, garantindo a recuperação de dados limpos.

Para ver uma lista dos tipos de recursos e regiões compatíveis, visite a página de disponibilidade de recursos.

Tópicos

Integração com a Amazon GuardDuty

AWS Backup se integra ao Amazon GuardDuty Malware Protection para fornecer detecção de ameaças para seus pontos de recuperação. Quando você inicia uma verificação de malware, chama AWS Backup automaticamente a StartMalwareScan API GuardDuty da Amazon após a conclusão de cada backup, transmitindo os detalhes do ponto de recuperação e suas credenciais de função de scanner. A Amazon GuardDuty então começa a ler, descriptografar e escanear todos os arquivos e objetos dentro do backup.

Quando a Amazon GuardDuty acessa seus dados de backup, esse acesso é conectado AWS CloudTrail para maior visibilidade.

Para obter mais informações sobre essa integração, consulte a documentação do Amazon GuardDuty Malware Protection.

Como usar a verificação de malware

Ao usar o Amazon GuardDuty Malware Protection com AWS Backup, você pode verificar automaticamente se há malware em seus backups. Essa integração ajuda você a detectar códigos maliciosos em seus backups e identificar pontos de recuperação limpos para operações de restauração.

O Amazon GuardDuty Malware Protection oferece suporte a dois fluxos de trabalho principais para escanear seus backups:

  • Verificação automática de malware por meio de planos de backup — Ative a verificação de malware em planos de backup para automatizar a detecção de malware com AWS Backup. Quando ativado, inicia AWS Backup automaticamente um GuardDuty escaneamento da Amazon após cada conclusão bem-sucedida do backup. Você pode configurar a verificação completa ou incremental para regras específicas do plano de backup, o que determina a frequência com que seus backups são verificados. Para obter mais informações sobre os tipos de escaneamento, veja Escaneamentos incrementais versus escaneamentos completos abaixo. AWS Backup recomenda ativar a verificação automática de malware nos planos de backup para detecção proativa de ameaças após a criação do backup.

  • Escaneamentos sob demanda — Execute escaneamentos sob demanda para verificar manualmente os backups existentes, escolhendo entre os tipos de varredura completa ou incremental. AWS Backup recomenda o uso de varreduras sob demanda para identificar seu último backup limpo. Ao fazer a varredura antes de uma operação de restauração, use uma verificação completa para examinar todo o backup com o modelo de detecção de ameaças mais recente.

Acesso

Antes de começar com a proteção contra malware, sua conta deve ter as permissões necessárias para as operações.

AWS Backup a verificação de malware requer duas funções do IAM para verificar seus pontos de recuperação em busca de possíveis malwares:

  • Primeiro, a política AWSBackupServiceRolePolicyForScans gerenciada deve ser anexada à sua função de backup existente ou nova. Essa é a mesma função encontrada na atribuição de recursos para seu plano de backup no console ou por meio da BackupSelection API. Essa política gerenciada permite AWS Backup iniciar escaneamentos de malware com a Amazon. GuardDuty

  • Em segundo lugar, é necessária uma nova função de scanner com uma política AWSBackupGuardDutyRolePolicyForScans gerenciada confiável. malware-protection.guardduty.amazonaws.com Essa é a mesma função encontrada na parte de proteção contra malware do seu plano de backup no console ou nas configurações de verificação em sua BackupPlan API. Essa função é passada AWS Backup para a Amazon GuardDuty quando uma verificação é iniciada, fornecendo acesso aos backups.

Escaneamentos incrementais versus escaneamentos completos

Com a verificação de malware, você tem a opção de escolher entre varreduras incrementais e completas com base em seus requisitos de segurança e considerações de custo.

As varreduras incrementais analisam somente os dados que foram alterados entre o ponto de recuperação de destino e o ponto de recuperação básico. Essas varreduras são mais rápidas e econômicas para varreduras regulares, tornando-as ideais para backups periódicos frequentes nos quais você deseja verificar dados recém-copiados.

Mesmo quando a varredura incremental é selecionada, AWS Backup executa uma varredura completa nas seguintes situações:

  • Escaneamentos iniciais: o escaneamento inicial de um recurso é sempre um escaneamento completo, permitindo que GuardDuty a Amazon estabeleça uma linha de base de possíveis ameaças. As varreduras subsequentes serão então incrementais.

  • Linha de base expirada: se seu ponto de recuperação de linha de base foi escaneado há mais de 90 dias, ocorre uma verificação completa. Como a Amazon GuardDuty retém as informações de busca por apenas 90 dias, uma nova linha de base deve ser estabelecida para garantir resultados precisos de escaneamento.

  • Linha de base excluída: se seu ponto de recuperação básico for excluído antes do início da próxima verificação incremental, uma verificação completa ocorrerá automaticamente.

As varreduras completas examinam todo o ponto de recuperação, independentemente das varreduras anteriores. Embora esses exames forneçam uma cobertura abrangente, eles demoram mais para serem concluídos e geram custos mais altos. Você pode executar varreduras completas sob demanda ou programá-las por meio de seus planos de backup. AWS Backup recomenda configurar verificações completas periódicas em seus planos de backup em intervalos prolongados para garantir que todos os dados de backup sejam examinados regularmente com o modelo de assinatura de malware mais recente.

Para otimizar a segurança versus o gerenciamento de custos, considere sua frequência de backup ao escolher os tipos de escaneamento.

nota

Atualmente, a verificação de malware não é suportada pelos pontos de recuperação contínua do Amazon S3. Para verificar os backups contínuos do Amazon S3, configure backups periódicos para seus recursos do Amazon S3 e habilite a verificação de malware nesses backups periódicos. Você pode usar uma combinação de backups contínuos e periódicos para seus buckets do Amazon S3.

nota

A verificação incremental de malware não é compatível com pontos de EC2 recuperação da Amazon em um cofre logicamente isolado ou em pontos de recuperação da Amazon copiados. EC2

Monitorando seus escaneamentos de malware

Depois que a digitalização estiver ativada, AWS Backup tanto a Amazon quanto a Amazon GuardDuty fornecem mecanismos de monitoramento e notificação que você pode usar para rastrear seus resultados:

  • AWS Backup Console: O AWS Backup console é alimentado por ListScanJobs DescribeScanJob APIs e. Você pode visitar a seção Proteção contra malware para ver a lista de trabalhos de escaneamento, representando o status do trabalho e os resultados do escaneamento. AWS Backup também oferece suporte a uma ListScanJobSummaries API, embora não esteja disponível no console.

  • AWS Backup Audit Manager: você pode configurar um relatório de escaneamento para ver todos os trabalhos de escaneamento de malware AWS Backup iniciados nas últimas 24 horas.

  • Amazon GuardDuty Console: Se a Amazon básica GuardDuty estiver ativada, você poderá ver detalhes nos resultados do Malware Scan e investigar o malware na página de GuardDuty descobertas da Amazon. Você pode visualizar informações como ameaça e nome do arquivo, caminho do arquivo, objects/files escaneado, bytes verificados etc. Observe que essas informações detalhadas sobre ameaças não estão disponíveis por meio do AWS Backup site, e você deve ter as GuardDuty permissões apropriadas da Amazon para visualizar essas informações.

  • Amazon EventBridge: Tanto a Amazon AWS Backup quanto a Amazon GuardDuty emitem EventBridge eventos, permitindo que administradores de backup e segurança sejam alertados de forma síncrona. Você pode configurar regras personalizadas para receber notificações quando os escaneamentos forem concluídos ou quando um malware for detectado.

  • AWS CloudTrail: Tanto a Amazon AWS Backup quanto a Amazon GuardDuty emitem CloudTrail eventos, permitindo que você monitore o acesso à API.

Entendendo os resultados da verificação

Seus trabalhos de escaneamento de AWS Backup terão um estado e um resultado de escaneamento.

Estados de digitalização

O estado de escaneamento indica o estado do trabalho e pode ter valores de: CREATED COMPLETEDCOMPLETED_WITH_ISSUES,RUNNING,,FAILED, ouCANCELED.

Há várias situações nas quais seu trabalho de digitalização terminará com o estadoCOMPLETED_WITH_ISSUES:

Para backups do Amazon S3, há size/type limitações de objetos que impedirão que objetos sejam escaneados. Quando pelo menos um objeto for ignorado em um escaneamento, o trabalho de escaneamento correspondente será marcado como. COMPLETED_WITH_ISSUES Para backups do EC2 Amazon/Amazon EBS, há size/quantity limitações de volume que fazem com que os volumes sejam ignorados durante a digitalização. Essas situações resultarão em uma tarefa de backup do EC2 Amazon/Amazon EBS que resultará em. COMPLETED_WITH_ISSUES

Se seu trabalho terminar com o estado COMPLETED_WITH_ISSUES e você precisar de mais informações sobre os motivos, precisará obter esses detalhes do trabalho de digitalização correspondente na Amazon GuardDuty.

nota

As tarefas de verificação incremental verificam apenas a diferença de dados entre dois backups. Portanto, se um trabalho de verificação incremental não encontrar nenhuma das situações descritas acima, ele terminará no estado COMPLETE e não o herdará do ponto COMPLETED_WITH_ISSUES de recuperação básico.

Em casos raros, a Amazon GuardDuty pode enfrentar problemas internos ao digitalizar arquivos e objetos, e as tentativas de repetição podem ser esgotadas. Quando isso acontece, o trabalho de digitalização aparece como FAILED na Amazon AWS Backup e COMPLETED_WITH_ISSUES na Amazon GuardDuty. Essa diferença de status permite que você visualize os resultados de escaneamento disponíveis na Amazon e, GuardDuty ao mesmo tempo, indique que nem todos os arquivos e objetos compatíveis foram digitalizados com sucesso.

Resultados do escaneamento

Os resultados da verificação indicam um resultado agregado da Amazon GuardDuty e podem ter valores de:THREATS_FOUND, ouNO_THREATS_FOUND.

Os resultados da verificação indicam se um possível malware foi detectado em seus pontos de recuperação. Um NO_THREATS_FOUND status significa que nenhum malware em potencial foi detectado, enquanto THREATS_FOUND indica que um possível malware foi descoberto. Para obter informações detalhadas sobre ameaças, acesse as GuardDuty descobertas completas da Amazon por meio do GuardDuty console da Amazon ou APIs. Os resultados da verificação também estão disponíveis por meio de EventBridge eventos, permitindo que você crie fluxos de trabalho automatizados que respondam aos backups infectados.

A Amazon GuardDuty retém as descobertas por 90 dias, rastreando arquivos ou objetos em varreduras incrementais para monitorar se as ameaças são removidas ou se as assinaturas de malware são alteradas. Por exemplo, se um malware for detectado no backup 2, o resultado da verificação será exibidoTHREATS_FOUND. Quando você executa uma verificação incremental no backup 3 usando o backup 2 como base, o resultado da verificação permanece, a THREATS_FOUND menos que a ameaça tenha sido removida dos dados.

Solução de problemas de falhas de verificação

As falhas comuns de escaneamento incluem permissões insuficientes do IAM, limites de serviço e problemas de acesso a recursos.

Os erros de permissão ocorrem quando a função de backup não tem AWSBackupServiceRolePolicyForScans permissões ou a função de scanner não tem AWSBackupGuardDutyRolePolicyForScans relações de confiança adequadas.

Os erros de limite de serviço ocorrem quando você excede as 150 verificações simultâneas por conta ou 5 varreduras simultâneas por tipo de recurso - as tarefas de verificação permanecerão no CREATED estado até que a capacidade esteja disponível.

Erros de acesso negado podem indicar pontos de recuperação criptografados sem AWS KMS as devidas permissões ou pontos de recuperação principais excluídos para verificações incrementais.

Falhas de tempo limite podem ocorrer com pontos de recuperação muito grandes ou durante períodos de alto GuardDuty carregamento da Amazon.

Para solucionar o problema, verifique o status do trabalho de verificação usando a DescribeScanJob API, verifique as configurações da função do IAM, garanta que os pontos de recuperação existam e estejam acessíveis e considere mudar para verificações completas se faltarem referências principais da verificação incremental.

Monitore seu uso simultâneo de escaneamento e implemente instabilidade em fluxos de trabalho automatizados para evitar atingir os limites do serviço.

Medição

A proteção contra malware é fornecida e cobrada pela Amazon GuardDuty. Você não verá nenhuma AWS Backup cobrança relacionada ao uso desse recurso. Todo o uso pode ser visualizado no faturamento GuardDuty da Amazon. Para saber mais, acesse os GuardDuty preços da Amazon.

Cotas

Tanto a Amazon AWS Backup quanto a Amazon GuardDuty têm limites de cota para o Amazon GuardDuty Malware Protection for AWS Backup.

Para obter mais informações, acesse AWS Backup cotas e cotas da Amazon GuardDuty .

Etapas de uso do console e da CLI para tipos de verificação de malware

As seções a seguir mostram as etapas para configurar diferentes tipos de escaneamento de malware usando o console e. AWS CLI

Como configurar escaneamentos de malware

Console

  1. Navegue até o AWS Backup console → Planos de backup

  2. Crie um novo plano de backup ou selecione o plano existente

  3. Ativar o botão de proteção contra malware

  4. Selecione Função do scanner para escolher uma nova função do scanner. Certifique-se de que a função de backup e a função de scanner tenham as permissões apropriadas, conforme discutido emAcesso.

  5. Selecione os tipos de recursos digitalizáveis. Isso filtrará a verificação de malware de acordo com os critérios de seleção de recursos que você escolheu. Por exemplo, se sua seleção de tipo de recurso escaneável for Amazon EBS, mas a seleção de recursos do seu plano incluir Amazon EBS e Amazon S3, somente as verificações de malware do Amazon EBS ocorrerão.

  6. Defina o tipo de escaneamento para cada regra de backup. Você pode escolher entre total, incremental e sem escaneamento. A seleção do tipo de escaneamento significa que o escaneamento ocorrerá na frequência programada da regra de backup associada.

  7. Salvar plano de backup

AWS CLI

CreateBackupPlan

Você pode criar um plano de backup com a verificação de malware ativada usando o create-backup-plancomando.

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

Você pode atualizar um plano de backup com a verificação de malware ativada usando o update-backup-plancomando.

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
Notas principais

  • A entrada do ARN de destino é necessária antes que as opções de digitalização sejam ativadas (console)

  • Tanto a função IAM de backup quanto a função IAM de scanner são necessárias para todas as configurações

  • Use aws backup list-scan-jobs para visualizar todos os trabalhos de digitalização (AWS CLI)

  • As implicações de custo variam de acordo com o tipo de escaneamento (incremental versus total) e a frequência

AWS CLI Notas principais

  • Use aws backup list-scan-jobs para visualizar todos os trabalhos de digitalização (AWS CLI)

  • Resultados de digitalização disponíveis via describe-recovery-point API com ScanResults campo

  • Tanto a função IAM de backup quanto a função IAM de scanner são necessárias para todas as configurações

  • A estrutura do plano de backup JSON inclui ScanSettings no nível do plano e ScanActions nas regras