本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的惡意軟體防護 AWS Backup
備份的惡意軟體掃描由 Amazon GuardDuty 惡意軟體防護提供。使用 的 Amazon GuardDuty 惡意軟體防護 AWS Backup 可讓您透過現有的備份工作流程自動掃描復原點,或啟動先前建立之備份的隨需掃描。此 AWS 原生解決方案有助於確保您的備份是乾淨的,免於潛在的惡意軟體,讓您能夠符合合規要求,並透過確保復原乾淨的資料,更快地回應惡意事件。
若要查看支援的資源類型和區域清單,請造訪[功能可用性頁面](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)。
**Topics**
+ [與 Amazon GuardDuty 整合](#malware-guardduty-integration)
+ [即時存取](backup-instant-access.md)
+ [如何使用惡意軟體掃描](#malware-how-to-use)
+ [存取](#malware-access)
+ [增量與完整掃描](#malware-scan-types)
+ [監控您的惡意軟體掃描](#malware-monitoring)
+ [了解掃描結果](#malware-scan-results)
+ [對掃描失敗進行故障診斷](#malware-troubleshooting)
+ [計量](#malware-metering)
+ [配額](#malware-quotas)
+ [惡意軟體掃描類型的主控台和 CLI 使用步驟](#malware-console-cli-usage)
## 與 Amazon GuardDuty 整合
AWS Backup 與 Amazon GuardDuty 惡意軟體防護整合,為您的復原點提供威脅偵測。當您啟動惡意軟體掃描時, 會在每個備份完成後 AWS Backup 自動呼叫 Amazon GuardDuty 的 `StartMalwareScan` API,傳遞復原點詳細資訊和掃描器角色憑證。然後,Amazon GuardDuty 會開始讀取、解密和掃描備份中的所有檔案和物件。
當 Amazon GuardDuty 存取您的備份資料時,該存取會登入 AWS CloudTrail 以取得可見性。
如需此整合的詳細資訊,請參閱 [Amazon GuardDuty 惡意軟體防護文件](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html)。
# 備份即時存取許可
搭配使用 Amazon GuardDuty 惡意軟體保護 AWS 備份與 S3 備份時,Amazon GuardDuty 會透過三個 APIs 存取您的 S3 備份:CreateBackupAccessPoint、DescribeBackupAccessPoint 和 DeleteBackupAccessPoint。
Amazon GuardDuty 使用 CreateBackupAccessPoint 存取您的加密備份資料。在掃描任務期間,GuardDuty 會使用 DescribeBackupAccessPoint 來驗證成功建立存取點。掃描完成後,GuardDuty 會呼叫 DeleteBackupAccessPoint 來移除其對備份的存取權。
此工作流程適用於存放在邏輯氣隙隔離文件庫中的 S3 備份和 EC2/EBS 備份。
## 如何使用惡意軟體掃描
當您搭配 使用 Amazon GuardDuty 惡意軟體防護時 AWS Backup,您可以自動掃描備份是否有惡意軟體。此整合可協助您偵測備份中的惡意程式碼,並識別還原操作的乾淨復原點。
Amazon GuardDuty 惡意軟體防護支援兩種主要工作流程來掃描備份:
+ **透過備份計畫自動掃描惡意軟體** – 在備份計畫中啟用惡意軟體掃描,以使用 自動偵測惡意軟體 AWS Backup。啟用時,每次成功完成備份後 AWS Backup , 會自動啟動 Amazon GuardDuty 掃描。您可以針對特定備份計劃規則設定完整或增量掃描,這會決定掃描備份的頻率。如需掃描類型的詳細資訊,請參閱 [增量與完整掃描](#malware-scan-types) below. AWS Backup recommends,在備份計畫中啟用自動惡意軟體掃描,以在建立備份後主動偵測威脅。
+ **隨需掃描** – 執行隨需掃描以手動掃描現有的備份,選擇完整或增量掃描類型。 AWS Backup 建議使用隨需掃描來識別上次清理的備份。在還原操作之前進行掃描時,請使用完整掃描來檢查具有最新威脅偵測模型的整個備份。
## 存取
開始使用惡意軟體保護之前,您的帳戶必須具有操作所需的許可。
AWS Backup 惡意軟體掃描需要兩個 IAM 角色來掃描復原點是否有潛在的惡意軟體:
+ 首先,必須將 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 或 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) 受管政策連接至現有或新的備份角色。這是在 主控台中或透過 [BackupSelection API](API_CreateBackupSelection.md) 在備份計劃的資源指派中找到的相同角色。此受管政策允許 使用 Amazon GuardDuty AWS Backup 啟動惡意軟體掃描。
+ 其次,信任 的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) 受管政策需要新的掃描器角色`malware-protection.guardduty.amazonaws.com`。這是在 主控台中或透過 [BackupPlan API](API_CreateBackupPlan.md) 中的掃描設定,在備份計劃的惡意軟體保護部分中找到的相同角色。啟動掃描時,此角色會由 傳遞 AWS Backup 至 Amazon GuardDuty,提供備份的存取權。
## 增量與完整掃描
透過惡意軟體掃描,您可以選擇根據您的安全需求和成本考量,在增量和完整掃描之間進行選擇。
**增量掃描**只會分析目標和基礎復原點之間變更的資料。這些掃描對於定期掃描更快速且更具成本效益,因此非常適合您想要掃描新備份資料的頻繁定期備份。
即使選取增量掃描, 仍會在這些情況下 AWS Backup 執行完整掃描:
+ **第一次掃描:**資源的初始掃描一律是完整掃描,可讓 Amazon GuardDuty 建立潛在威脅的基準。後續掃描將遞增。
+ **過期的基準:**如果您的基準復原點在超過 365 天前進行掃描,則會進行完整掃描。由於 Amazon GuardDuty 只會保留調查結果資訊 365 天,因此必須建立新的基準以確保準確的掃描結果。
+ **刪除基準:**如果您的基本復原點在下一次增量掃描開始之前遭到刪除,則會自動執行完整掃描。
無論先前的**掃描為何,完整**掃描都會檢查整個復原點。雖然這些掃描提供全面的涵蓋範圍,但它們需要更長的時間才能完成並產生更高的成本。您可以隨需執行完整掃描,或透過備份計劃進行排程。 AWS Backup 建議在備份計劃中以延長的間隔設定定期完整掃描,以確保使用最新的惡意軟體簽章模型定期掃描整個備份資料。
為了獲得最佳安全性與成本管理,請在選擇掃描類型時考慮您的備份頻率。
**注意**
Amazon S3 持續復原點目前不支援惡意軟體掃描。若要掃描 Amazon S3 連續備份,請為您的 Amazon S3 資源設定定期備份,並在這些定期備份上啟用惡意軟體掃描。您可以使用 Amazon S3 儲存貯體的[連續和定期備份組合](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html)。
**注意**
邏輯氣隙隔離保存庫中的 Amazon EC2 復原點或複製的 Amazon EC2 復原點不支援增量惡意軟體掃描。 [https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html)
## 監控您的惡意軟體掃描
啟用掃描後, AWS Backup 和 Amazon GuardDuty 都會提供監控和通知機制,供您用來追蹤結果:
+ **AWS Backup 主控台:** AWS Backup 主控台由 `ListScanJobs`和 `DescribeScanJob` APIs提供支援。您可以造訪惡意軟體保護區段,以檢視掃描任務的清單,代表任務狀態和掃描結果。 AWS Backup 也支援 `ListScanJobSummaries` API,但無法在 主控台中使用。
+ **AWS Backup Audit Manager:**您可以設定掃描報告,以檢視過去 24 小時內所有 AWS Backup 啟動的惡意軟體掃描任務。
+ **Amazon GuardDuty 主控台:**如果已啟用基本 Amazon GuardDuty,您可以在惡意軟體掃描結果中檢視詳細資訊,並在 Amazon GuardDuty 調查結果頁面上調查惡意軟體。您可以檢視威脅和檔案名稱、檔案路徑、掃描的物件/檔案、掃描的位元組等資訊。請注意,此詳細威脅資訊無法透過 取得 AWS Backup,您必須擁有適當的 Amazon GuardDuty 許可才能檢視此資訊。
+ **Amazon EventBridge:** AWS Backup 和 Amazon GuardDuty 都會發出 EventBridge 事件,允許同步提醒備份和安全管理員。您可以設定自訂規則,以在掃描完成或偵測到惡意軟體時接收通知。
+ **AWS CloudTrail:** AWS Backup 和 Amazon GuardDuty 都會發出 CloudTrail 事件,讓您監控 API 存取。
## 了解掃描結果
來自 的掃描任務 AWS Backup 會有掃描狀態和掃描結果。
### 掃描狀態
掃描狀態表示任務狀態,且值可以是:`CREATED`、`COMPLETED`、`COMPLETED_WITH_ISSUES``RUNNING`、`FAILED`、 或 `CANCELED`。
掃描任務會在多種情況下完成狀態 `COMPLETED_WITH_ISSUES`:
對於 Amazon S3 備份,有物件大小/類型限制,會阻止掃描物件。在掃描中略過至少一個物件時,對應的掃描任務會標記為 `COMPLETED_WITH_ISSUES`。對於 Amazon EC2/Amazon EBS 備份,有磁碟區大小/數量限制,會導致磁碟區在掃描期間略過。這些情況會導致 Amazon EC2/Amazon EBS 備份任務產生 `COMPLETED_WITH_ISSUES`。
如果您的任務完成狀態,`COMPLETED_WITH_ISSUES`而且您需要有關原因的進一步資訊,您將需要透過 Amazon GuardDuty 從對應的掃描任務取得這些詳細資訊。
**注意**
增量掃描任務只會掃描兩個備份之間的資料差異。因此,如果增量掃描任務未遇到上述任何情況,則會在 狀態完成,`COMPLETE`而不會`COMPLETED_WITH_ISSUES`從基本復原點繼承 。
在極少數情況下,Amazon GuardDuty 可能會在掃描檔案和物件時遇到內部問題,並且可能會耗盡重試嘗試。發生這種情況時,掃描任務會在 `FAILED` AWS Backup 和 Amazon GuardDuty `COMPLETED_WITH_ISSUES`中顯示為 。此狀態差異可讓您在 Amazon GuardDuty 中檢視可用的掃描結果,同時指出並非所有支援的檔案和物件都已成功掃描。
### 掃描結果
掃描結果表示來自 Amazon GuardDuty 的彙總結果,且值可以是:`THREATS_FOUND`、 或 `NO_THREATS_FOUND`。
掃描結果指出您的復原點中是否偵測到潛在的惡意軟體。`NO_THREATS_FOUND` 狀態表示未偵測到潛在惡意軟體,而 `THREATS_FOUND`表示已發現潛在惡意軟體。如需詳細的威脅資訊,請透過 Amazon GuardDuty 主控台或 APIs 存取完整的 Amazon GuardDuty 調查結果。掃描結果也可以透過 EventBridge 事件取得,讓您能夠建置自動化工作流程來回應受感染的備份。
Amazon GuardDuty 會保留調查結果 365 天,跨增量掃描追蹤檔案或物件,以監控是否移除威脅或惡意軟體簽章變更。例如,如果在備份 2 中偵測到惡意軟體,掃描結果會顯示 `THREATS_FOUND`。當您使用備份 2 作為基礎對備份 3 執行增量掃描時,除非已從資料中移除威脅,`THREATS_FOUND`否則掃描結果會保留。
## 對掃描失敗進行故障診斷
常見的掃描失敗包括 IAM 許可不足、服務限制和資源存取問題。
當備份角色缺少`AWSBackupServiceRolePolicyForScans`許可或掃描器角色`AWSBackupGuardDutyRolePolicyForScans`沒有適當的信任關係時,就會發生**許可錯誤**。
當您超過每個帳戶 150 個並行掃描或每個資源類型 5 個並行掃描時,就會發生**服務限制錯誤** - 掃描任務將保持 `CREATED` 狀態,直到容量可用為止。
**存取遭拒錯誤**可能表示加密的復原點沒有適當的 AWS KMS 許可,或已刪除父復原點以進行增量掃描。
超大型復原點或高 Amazon GuardDuty 載入期間可能會發生**逾時失敗**。
若要進行故障診斷,請使用 `DescribeScanJob` API 檢查掃描任務狀態、驗證 IAM 角色組態、確保復原點存在且可存取,並在缺少增量掃描父參考時考慮切換到完整掃描。
監控並行掃描用量,並在自動化工作流程中實作抖動,以避免達到服務限制。
## 計量
惡意軟體防護由 Amazon GuardDuty 提供並計費。您不會看到與使用此功能相關的任何 AWS Backup 費用。您可以在 Amazon GuardDuty 的帳單下檢視所有用量。若要進一步了解,請造訪 [Amazon GuardDuty 定價](https://aws.amazon.com/guardduty/pricing/)。
## 配額
AWS Backup 和 Amazon GuardDuty 都有 Amazon GuardDuty 惡意軟體防護的配額限制 AWS Backup。
如需詳細資訊,請造訪[AWS Backup 配額](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html)和 [Amazon GuardDuty 配額](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html)。
## 惡意軟體掃描類型的主控台和 CLI 使用步驟
下列各節顯示使用 主控台和 設定不同惡意軟體掃描類型的步驟 AWS CLI。
### 如何設定惡意軟體掃描
**主控台**
1. 導覽至 AWS Backup 主控台 → 備份計劃
1. 建立新的備份計畫或選取現有的計畫
1. 啟用**惡意軟體防護**切換
1. 選取**掃描器角色**以選擇新的掃描器角色。請確定備份角色和掃描器角色都有適當的許可,如 中所述[存取](#malware-access)。
1. 選取**可掃描的資源類型**。這將篩選您所選資源選擇條件的惡意軟體掃描。例如,如果您的可掃描資源類型選擇是 Amazon EBS,但您計劃的資源選擇包括 Amazon EBS 和 Amazon S3,則只會執行 Amazon EBS 惡意軟體掃描。
1. 為每個備份規則設定**掃描類型**。您可以選擇完整、增量和無掃描。掃描類型選擇表示掃描將以相關聯備份規則的排程頻率進行。
1. 儲存備份計劃
**AWS CLI**
**CreateBackupPlan**
您可以使用 [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 命令建立啟用惡意軟體掃描的備份計劃。
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
您可以使用 update[update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**金鑰備註**
+ 在啟用掃描選項之前,需要目標 ARN 項目 (主控台)
+ 所有組態都需要備份 IAM 角色和掃描器 IAM 角色
+ 使用 `aws backup list-scan-jobs` 來檢視所有掃描任務 (AWS CLI)
+ 成本影響會因掃描類型 (增量與完整) 和頻率而有所不同
**AWS CLI 金鑰備註**
+ 使用 `aws backup list-scan-jobs` 來檢視所有掃描任務 (AWS CLI)
+ 使用 ScanResults 欄位透過 `describe-recovery-point` API 提供的掃描結果 ScanResults
+ 所有組態都需要備份 IAM 角色和掃描器 IAM 角色
+ JSON 備份計劃結構包含計劃層級的 ScanSettings 和規則中的 ScanActions