AWS智能威脅偵測(cè)服務(wù)GuardDuty現(xiàn)在可對(duì)EC2執(zhí)行實(shí)例提供惡意軟件保護(hù)

AWS用戶現(xiàn)在可以運(yùn)用智能威脅偵測(cè)服務(wù)Amazon GuardDuty，掃描EBS區(qū)塊存儲(chǔ)中的惡意軟件，借由監(jiān)控AWS賬戶和EC2工作負(fù)載偵測(cè)惡意活動(dòng)。

當(dāng)用戶激活GuardDuty的惡意軟件保護(hù)新功能后，在GuardDuty偵測(cè)到EC2執(zhí)行實(shí)例，或是EC2上的容器工作負(fù)載，正在執(zhí)行已知惡意指令或是對(duì)其他EC2執(zhí)行實(shí)例執(zhí)行DoS攻擊等可疑行為時(shí)，GuardDuty便會(huì)執(zhí)行惡意軟件掃描功能。

GuardDuty支持多種文件系統(tǒng)類型，能夠掃描用于傳播惡意軟件的文件格式，像是Windows和Linux可執(zhí)行文件、PDF文件、二進(jìn)制檔、腳本、安裝程序、電子郵件數(shù)據(jù)庫和普通電子郵件等。在GuardDuty識(shí)別出惡意軟件后，便會(huì)生成安全調(diào)查報(bào)告，包括文件名、路徑、EC2執(zhí)行實(shí)例ID和容器鏡像文件資訊。

另外，GuardDuty也能支持EC2上的容器工作負(fù)載，包括由客戶管理的Kubernetes集群或是單一Docker容器。與其他GuardDuty檢測(cè)結(jié)果處理方法相同，惡意軟件檢測(cè)結(jié)果，會(huì)送到GuardDuty控制臺(tái)，統(tǒng)一由Amazon EventBridge推送，路由到AWS Security Hub，并可用于Amazon Detective事件調(diào)查。

AWS官方進(jìn)一步解釋GuardDuty掃描惡意軟件的原理，用戶會(huì)需要設(shè)置一個(gè)IAM服務(wù)關(guān)聯(lián)角色，提供權(quán)限讓GuardDuty執(zhí)行惡意軟件掃描，當(dāng)GuardDuty需要針對(duì)特定EC2執(zhí)行實(shí)例啟動(dòng)惡意軟件掃描時(shí)，GuardDuty會(huì)對(duì)該EBS區(qū)塊存儲(chǔ)執(zhí)行快照，并利用該快照在同一AWS地區(qū)創(chuàng)建一個(gè)存儲(chǔ)副本，進(jìn)行惡意軟件掃描。

如此用戶便不需要部署安全軟件或是代理監(jiān)控惡意軟件，而且GuardDuty對(duì)區(qū)塊存儲(chǔ)的掃描工作，也不會(huì)影響到用戶正在執(zhí)行的工作負(fù)載。當(dāng)掃描結(jié)束后，快照和創(chuàng)建出來的存儲(chǔ)副本會(huì)被刪除，用戶也可以在發(fā)現(xiàn)惡意軟件后，選擇將快照留下。

如果用戶過去尚未激活GuardDuty，在賬戶激活GuardDuty之后，默認(rèn)情況會(huì)自動(dòng)激活惡意軟件防護(hù)，當(dāng)用戶早已使用GuardDuty，則需要手動(dòng)激活惡意軟件防護(hù)功能。目前這項(xiàng)功能已經(jīng)在所有提供GuardDuty的AWS地區(qū)推出，除了中國(guó)北京、中國(guó)寧夏，還有AWS GovCloud美東與美西地區(qū)。