AWS用户现在可以运用智能威胁侦测服务Amazon GuardDuty,扫描EBS区块存储中的恶意软件,借由监控AWS账户和EC2工作负载侦测恶意活动。
当用户激活GuardDuty的恶意软件保护新功能后,在GuardDuty侦测到EC2执行实例,或是EC2上的容器工作负载,正在执行已知恶意指令或是对其他EC2执行实例执行DoS攻击等可疑行为时,GuardDuty便会执行恶意软件扫描功能。
GuardDuty支持多种文件系统类型,能够扫描用于传播恶意软件的文件格式,像是Windows和Linux可执行文件、PDF文件、二进制档、脚本、安装程序、电子邮件数据库和普通电子邮件等。在GuardDuty识别出恶意软件后,便会生成安全调查报告,包括文件名、路径、EC2执行实例ID和容器镜像文件资讯。
另外,GuardDuty也能支持EC2上的容器工作负载,包括由客户管理的Kubernetes集群或是单一Docker容器。与其他GuardDuty检测结果处理方法相同,恶意软件检测结果,会送到GuardDuty控制台,统一由Amazon EventBridge推送,路由到AWS Security Hub,并可用于Amazon Detective事件调查。
AWS官方进一步解释GuardDuty扫描恶意软件的原理,用户会需要设置一个IAM服务关联角色,提供权限让GuardDuty执行恶意软件扫描,当GuardDuty需要针对特定EC2执行实例启动恶意软件扫描时,GuardDuty会对该EBS区块存储执行快照,并利用该快照在同一AWS地区创建一个存储副本,进行恶意软件扫描。
如此用户便不需要部署安全软件或是代理监控恶意软件,而且GuardDuty对区块存储的扫描工作,也不会影响到用户正在执行的工作负载。当扫描结束后,快照和创建出来的存储副本会被删除,用户也可以在发现恶意软件后,选择将快照留下。
如果用户过去尚未激活GuardDuty,在账户激活GuardDuty之后,默认情况会自动激活恶意软件防护,当用户早已使用GuardDuty,则需要手动激活恶意软件防护功能。目前这项功能已经在所有提供GuardDuty的AWS地区推出,除了中国北京、中国宁夏,还有AWS GovCloud美东与美西地区。