Cập nhật quan trọng cho tính năng scan của GuardDuty

Cập nhật lần này hỗ trợ các loại scan trên EBS như sau:

  • EBS volume không mã hóa
  • Volume được mã hóa bởi AWS KMS Customer Managed Keys (CMK)
  • BS được mã hóa bởi EBS Managed Keys dùng trong EC2 Instances và các workload container

GuardDuty có thể xác định phần mềm độc hại tiềm ẩn và thu thập thông tin như tên file, đường dẫn, Amazon EC2 instance ID, resource tags, nếu là container thì container ID và container image được sử dụng. Đặc biệt là khách hàng không cần cài đặt agent cho việc scan EBS.

Thao tác on-demand malware scanning

On-demand malware scanning sẽ thực thi bằng cách chỉ định Amazon Resource Name (ARN) của instance Amazon EC2. Có thể sử dụng từ GuardDuty console hoặc API.

Các điều kiện tiên quyết và thao tác như sau:

  • Sau khi bắt đầu, scan tự động sẽ thực hiện biện pháp khắc phục được đề xuất từ GuardDuty nếu phát hiện malware. Nếu scan lại cùng một tài nguyên cần phải chờ khoảng một giờ từ thời điểm bắt đầu scan trước đó. 
  • Đối với on-demand malware scanning, ngay cả khi EC2 instance đang hoạt động, yêu cầu malware scanning vẫn có thể được gửi đến instance đó.
  • GuardDuty tự động tạo snapshot của dữ liệu đã được ghi vào volume Amazon EBS tại thời điểm bắt đầu on-demand malware scanning.
  • Nếu không phát hiện malware, snapshot của volume EBS sẽ bị xóa.
  • Nếu malware được phát hiện và cài đặt “lưu giữ snapshot” được enable, thì snapshot của volume EBS sẽ được lưu trữ lại.
  • Snapshot của volume EBS sẽ được tự động gắn thẻ với GuardDutyScanId. Nếu xóa thẻ này, bạn sẽ không thể truy cập nó từ GuardDuty.
  • Đối với Malware Protection, các instance Amazon EC2 hoặc volume Amazon EBS được đặt thẻ GuardDutyExcluded là true sẽ không được scan.

Thử nghiệm EBS Managed Key Encrypted Volumes

  1. Kiểm tra Malware Protection từ GuardDuty console.
IMG_256

Trong cài đặt chung, kích hoạt “Lưu giữ snapshot được scan nếu phát hiện malware”.

Phí snapshot sẽ được tính riêng (theo như ghi chú trong console).

Tạo một EBS được mã hóa.

IMG_256

Nhập instance ARN và bắt đầu scan.

IMG_256

Thông báo “bắt đầu scan” xuất hiện

IMG_256

Trạng thái scan hiển thị là “running”

IMG_256

Trạng thái scan là “Completed” và kết quả là “Clean”, có nghĩa là quá trình scan đã hoàn thành.

IMG_256

Tổng kết

Hôm nay, chúng tôi đã giới thiệu về bản cập nhật tính năng Malware Protection của GuardDuty hiện hỗ trợ scan EBS được mã hóa. Việc mã hóa EBS là một khuyến nghị từ AWS, vì vậy bản cập nhật này thực sự rất hữu ích.

Tham khảo: 【アップデート】Amazon GuardDuty Malware ProtectionがEBSマネージドキー暗号化ボリュームのスキャンをサポートするようになりました | SunnyCloud