aws用户现在可以运用智能威胁侦测服务amazon guardduty,扫描ebs区块存储中的恶意软件,借由监控aws账户和ec2工作负载侦测恶意活动。
当用户激活guardduty的恶意软件保护新功能后,在guardduty侦测到ec2执行实例,或是ec2上的容器工作负载,正在执行已知恶意指令或是对其他ec2执行实例执行dos攻击等可疑行为时,guardduty便会执行恶意软件扫描功能。
guardduty支持多种文件系统类型,能够扫描用于传播恶意软件的文件格式,像是windows和linux可执行文件、pdf文件、二进制档、脚本、安装程序、电子邮件数据库和普通电子邮件等。在guardduty识别出恶意软件后,便会生成安全调查报告,包括文件名、路径、ec2执行实例id和容器镜像文件资讯。
另外,guardduty也能支持ec2上的容器工作负载,包括由客户管理的kubernetes集群或是单一docker容器。与其他guardduty检测结果处理方法相同,恶意软件检测结果,会送到guardduty控制台,统一由amazon eventbridge推送,路由到aws security hub,并可用于amazon detective事件调查。
aws官方进一步解释guardduty扫描恶意软件的原理,用户会需要设置一个iam服务关联角色,提供权限让guardduty执行恶意软件扫描,当guardduty需要针对特定ec2执行实例启动恶意软件扫描时,guardduty会对该ebs区块存储执行快照,并利用该快照在同一aws地区创建一个存储副本,进行恶意软件扫描。
如此用户便不需要部署安全软件或是代理监控恶意软件,而且guardduty对区块存储的扫描工作,也不会影响到用户正在执行的工作负载。当扫描结束后,快照和创建出来的存储副本会被删除,用户也可以在发现恶意软件后,选择将快照留下。
如果用户过去尚未激活guardduty,在账户激活guardduty之后,默认情况会自动激活恶意软件防护,当用户早已使用guardduty,则需要手动激活恶意软件防护功能。目前这项功能已经在所有提供guardduty的aws地区推出,除了中国北京、中国宁夏,还有aws govcloud美东与美西地区。