기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS 백업을 위한 GuardDuty 맬웨어 보호
**Topics**
+ [개요](#malware-protection-backup-overview)
+ [백업용 맬웨어 보호는 어떻게 작동하나요?](malware-protection-backup-how-it-works.md)
+ [백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한](malware-protection-backup-iam-permissions.md)
+ [**(선택 사항) 백업을 위한 맬웨어 보호를 독립적으로 시작하기(콘솔만 해당)**](malware-protection-backup-get-started-independent.md)
+ [백업용 맬웨어 보호를 위한 온디맨드 스캔 시작](malware-protection-backup-start-on-demand-scan.md)
+ [백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링](monitoring-malware-protection-backup-scans.md)
+ [백업용 맬웨어 보호 할당량](malware-protection-backup-quotas.md)
## 개요
백업용 맬웨어 보호는 Amazon EBS 스냅샷, Amazon EC2 AMIs 및 Amazon S3 복구 시점과 같은 AWS 백업 보호 리소스를 스캔하여 백업 데이터에 맬웨어가 있는지 감지하는 데 도움이 됩니다. AWS Backup이 보호된 백업 리소스를 생성하거나 업데이트할 때 GuardDuty는 해당 백업에 대한 맬웨어 스캔을 수행하여 잠재적으로 악성 콘텐츠를 식별한 후 환경으로 복원할 수 있습니다.
**백업에 맬웨어 보호를 사용하는 방법**
계정에서 GuardDuty가 활성화되어 있는지 여부에 따라 두 가지 모드에서이 기능을 사용할 수 있습니다.
1. GuardDuty가 활성화된 백업에 맬웨어 보호 사용
리전에서 GuardDuty가 활성화되면 AWS Backup은 맬웨어 보호를 GuardDuty 조사 결과 워크플로와 통합합니다. 맬웨어 스캔 결과는 Amazon EventBridge 및 Amazon CloudWatch 외에도 GuardDuty 결과에 표시됩니다.
1. GuardDuty를 활성화하지 않고 백업에 맬웨어 보호 사용
전체 GuardDuty 서비스를 활성화하지 않고도 백업용 맬웨어 보호를 독립적으로 사용할 수 있습니다. 이 모드에서는 EventBridge 및 CloudWatch를 통해 스캔 결과를 완전히 사용할 수 있습니다.
**백업용 맬웨어 보호를 독립적으로 사용하기 위한 고려 사항**
GuardDuty를 활성화하지 않고 기능을 사용하는 경우:
+ 백업 계획 구성은 AWS Backup에서 전적으로 관리됩니다.
GuardDuty는 백업 계획, 볼트 또는 리소스 유형을 선택하기 위한 제어를 제공하지 않습니다. 모든 활성화, 예약 및 정책 구성은 AWS 백업에 남아 있습니다.
+ GuardDuty 결과는 생성되지 않습니다.
조사 결과에는 GuardDuty가 활성화된 경우에만 생성되는 감지기 ID가 필요합니다. 맬웨어 보호를 독립적으로 사용하는 경우 스캔 결과는 EventBridge 이벤트 및 CloudWatch 지표를 통해서만 표시됩니다.
+ GuardDuty 콘솔에서 온디맨드 스캔을 계속 시작할 수 있습니다.
GuardDuty가 활성화되지 않은 경우에도 GuardDuty 콘솔은 지원되는 백업 리소스 유형에 대한 온디맨드 맬웨어 스캔을 시작하는 워크플로를 제공합니다. 이를 통해 고객은 전체 GuardDuty 서비스 없이도 익숙한 GuardDuty 인터페이스를 사용할 수 있습니다.
+ 비GuardDuty 고객은 스캔 시작 워크플로에 액세스할 수 있습니다.
온디맨드 스캔 진입점은 GuardDuty 감지기가 계정에 존재하는지 여부에 관계없이 백업용 맬웨어 보호를 사용하는 모든 고객이 사용할 수 있습니다.
+ 스캔 동작과 적용 범위는 동일하게 유지됩니다.
GuardDuty의 활성화 여부에 관계없이이 기능은 동일한 멀웨어 탐지 엔진을 사용하여 동일한 AWS Backup 리소스 유형을 스캔합니다. 유일한 차이점은 결과가 게시되는 것입니다.
이 모델을 사용하면 GuardDuty의 광범위한 위협 탐지 기능 없이 백업에 맬웨어 스캔을 채택하는 동시에 스캔 작업을 시작하고 보기 위한 선택적 GuardDuty 기반 워크플로를 제공할 수 있습니다.
**백업용 맬웨어 보호 작동 방식**
백업용 맬웨어 보호는 다음과 같은 AWS 백업 보호 리소스를 스캔할 수 있습니다.
+ Amazon EBS snapshots
+ Amazon EC2 AMIs
+ Amazon S3 복구 시점
+ [지원되는 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)에서 AWS 백업 볼트 잠금을 사용하여 잠긴(변경할 수 없는) 볼트(EBS/EC2 복구 시점)
*증분 스캔*
AWS 백업은 여러 리소스 유형에 대한 증분 변경 사항을 캡처합니다. GuardDuty는 백업이 생성되거나 업데이트될 때 새 블록 또는 변경된 블록 또는 객체만 스캔하여 성능을 개선하고 스캔 오버헤드를 줄이는 동시에 시간이 지남에 따라 전체 범위를 달성할 수 있습니다.
*온디맨드 스캔*
언제든지 Backup AWS 또는 GuardDuty 콘솔에서 지원되는 백업 리소스에 대한 스캔을 시작할 수 있습니다. 일반적인 사용 사례에는 복원 전 백업 확인, 새 위협 서명이 게시된 후 이전 데이터 다시 확인 또는 정기적인 규정 준수 스캔 수행이 포함됩니다.
**참고**
백업용 맬웨어 보호는 동일한 리전의 백업 리소스에 대해서만 활성화할 수 있습니다.
GuardDuty는 백업의 읽기 전용 사본을 스캔하지만 백업 콘텐츠를 수정하지는 않습니다.
스캔은 표준 저장소와 잠긴(변경할 수 없는) 저장소 모두에서 작동합니다.
# 백업용 맬웨어 보호는 어떻게 작동하나요?
이 섹션에서는 백업용 맬웨어 보호의 구성 요소, 작동 방식, 맬웨어 스캔 상태 및 결과를 검토하는 방법을 설명합니다.
## 개요
백업용 맬웨어 보호는 EBS 스냅샷, EC2 이미지(AMI) 및 EBS, EC2 및 S3 리소스 유형에 속하는 복구 시점에 맬웨어가 있는지 감지하는 데 도움이 되는 기능입니다. 스캔 범주에 따라 하나 또는 두 개의 리소스 ARNs과 함께 스캔에 필요한 권한을 제공하는 IAM 역할을 전달하여 GuardDuty 콘솔 또는 API를 통해 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 전체 스캔과 증분 스캔이라는 두 가지 스캔 범주가 가능합니다.
### 전체 스캔 및 증분 스캔
전체 스캔은 API가 리소스 ARN을 수락하고 해당 리소스 내의 모든 파일을 스캔하는 것입니다. 반면 증분 스캔은 동일한 리소스에 속하는 두 개의 리소스 ARNs을 가져와서 이들 간에 변경된 파일을 스캔합니다. 예를 들어 EBS 볼륨의 스냅샷을 생성한다고 가정해 보겠습니다. 이를 *snapshot-1*이라고 부릅니다. 이 스냅샷에서 전체 스캔이 완료되면 GuardDuty는이 스냅샷에 포함된 모든 파일을 스캔합니다. 이제 몇 개의 파일이 동일한 볼륨에 추가되었고 새 스냅샷이 생성되었다고 가정해 보겠습니다. 이를 *snapshot-2*라고 부릅니다. *스냅샷-1*과 *스냅샷-2* 간에 몇 개의 파일만 변경되었으므로이 두 스냅샷의 리소스 ARNs. 이 경우 *snapshot-2*를 `target` 리소스라고 하고 *snapshot-1*을 `base` 리소스라고 합니다. 이 용어는 문서의 나머지 부분에서 사용됩니다. 이 증분 스캔은 *스냅샷-1과 스냅샷-**2* 간에 변경된 파일을 스캔합니다.
### 증분 스캔에서 이전에 감염된 파일 재스캔
증분 스캔의 일부로 GuardDuty는 최대 365일 동안 기본 스캔에서 이전에 감염된 파일도 다시 스캔합니다.
### 증분 스캔 요구 사항
GuardDuty가 증분 스캔을 수행하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항 중 하나라도 충족되지 않으면 GuardDuty는 스캔을 건너뜁니다.
+ 기본 리소스는 지난 365일 이내에 스캔해야 하며 스캔 결과는 `COMPLETED` 또는에 있어야 합니다`COMPLETED_WITH_ISSUES`.
+ 기본 리소스의 생성 날짜가 대상 리소스의 생성 날짜보다 이전이어야 합니다.
+ 스냅샷의 경우 기본 리소스와 대상 리소스의 암호화 유형이 동일해야 합니다.
+ 기본 리소스와 대상 리소스는 동일한 계보에서 가져와야 합니다.
+ EBS 스냅샷 및 EBS 복구 시점의 경우 암호화 유형을 변경하지 않고 동일한 볼륨 또는 동일한 볼륨의 복사본에서 가져온다는 의미입니다.
+ S3 복구 시점의 경우 동일한 기본 S3 버킷에서 기본 및 대상 리소스 ARNs을 생성해야 합니다.
+ AMIs의 경우 기본 AMI와 대상 AMI 간에 스냅샷 쌍을 비교하여 증분 스캔의 스냅샷을 식별합니다. 각 스냅샷 페어는 위에서 언급한 조건을 충족해야 합니다. 기본 AMI에 일치하는 해당 스냅샷이 없는 대상 AMI 내의 모든 스냅샷은 건너뜁니다.
### 이전에 스캔한 백업 리소스 재스캔
이전 맬웨어 스캔 시작 시간으로부터 10분 후에 동일한 리소스에서 새 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 이전 맬웨어 스캔을 시작한 후 10분 이내에 새 맬웨어 스캔이 시작되면 요청에 다음 오류가 발생하고이 요청에 대한 스캔 ID가 생성되지 않습니다. 인스턴스를 다시 스캔하는 단계는 온디맨드 맬웨어 스캔을 처음 시작하는 단계와 동일합니다.
## 스캔에 필요한 IAM 역할
전체 또는 증분 스캔을 시작하려면 IAM 역할을 전달해야 합니다. 이 역할은 스캔 작업을 수행하는 데 필요한 권한을 제공합니다.는 스캔을 수행하는 데 필요한 관련 신뢰 정책과 함께 필요한 정확한 권한 목록을 [백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한](malware-protection-backup-iam-permissions.md) 제공합니다.
## 리소스 스캔 상태 및 결과 검토
GuardDuty는 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty는 at-least-once 전송을 사용하므로 동일한 객체에 대해 여러 스캔 결과를 받을 수 있습니다. 중복 결과를 처리하도록 애플리케이션을 설계하는 것이 좋습니다. 스캔한 각 객체에 요금은 한 번만 청구됩니다.
자세한 내용은 [백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링](monitoring-malware-protection-backup-scans.md) 단원을 참조하십시오.
## 생성된 조사 결과 검토
조사 결과 검토는 GuardDuty에서 백업용 맬웨어 보호를 사용하는지 여부에 따라 달라집니다. 다음 시나리오를 고려해 보세요.
**GuardDuty 서비스가 활성화된 경우 백업용 맬웨어 보호 사용(감지기 ID)**
맬웨어 스캔이 스캔한 백업 리소스에서 잠재적으로 악성인 파일을 감지하면 GuardDuty가 관련 결과를 생성합니다. 조사 결과를 자세히 보고 권장 단계를 사용하여 조사 결과를 잠재적으로 수정할 수 있습니다. [결과 내보내기 빈도](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency)에 따라 생성된 결과는 S3 버킷 및 Amazon EventBridge 이벤트 버스로 내보내집니다.
생성되는 결과 유형에 대한 자세한 내용은 백업용 맬웨어 보호의 [백업 조사 결과 유형에 대한 맬웨어 보호](findings-malware-protection-backup.md) 결과 유형을 참조하세요.
**백업용 맬웨어 보호를 독립적인 기능으로 사용(감지기 ID 없음)**
연결된 감지기의 ID가 없기 때문에 GuardDuty가 조사 결과를 생성할 수 없습니다. 백업 리소스의 스캔 상태를 확인하려면 GuardDuty가 기본 이벤트 버스에 자동으로 게시하는 스캔 결과를 볼 수 있습니다.
스캔 상태 및 결과에 대한 자세한 내용은 섹션을 참조하세요[백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링](monitoring-malware-protection-backup-scans.md).
**참고**
S3용 맬웨어 보호도 사용하는 경우 S3 파일에 이전에 NO\$1THREATS\$1FOUND 태그가 지정되었지만 객체가 속한 백업 복구 시점의 위협 목록에 동일한 파일이 표시될 수 있습니다. 이는 서비스가 맬웨어 서명을 자주 업데이트하여 파일 상태를 변경했을 수 있기 때문입니다. 이러한 경우 GuardDuty는 원래 S3 버킷의 파일에서 뒤로 돌아가서 태그를 업데이트하지 않습니다. 파일에 업데이트된 태그를 적용하는 유일한 방법은 객체를 버킷에 다시 업로드하거나 S3에 대한 온디맨드 스캔 기능을 사용하는 것입니다.
# 백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한
## 맬웨어 스캔을 위해 제공된 고객 역할
GuardDuty 맬웨어 보호는 백업 리소스, 즉 스냅샷, AMIs 및 EBS/EC2/S3 복구 시점에서 스캔을 시작할 때 고객 역할(스캐너 역할)이 제공될 것으로 예상합니다. 이 역할은 GuardDuty가 특정 리소스에 대한 스캔을 수행하는 데 필요한 권한을 제공합니다. 이 역할에 대한 권한 정책 및 신뢰 정책은에서 확인할 수 있습니다[역할에 대한 권한 및 신뢰 정책](#malware-protection-backup-permissions-trust-policy). 아래 섹션에서는 이러한 각 권한이 필요한 이유를 설명합니다.
## 권한에 대한 세부 정보
+ `ModifySnapshotAttribute` - GuardDuty 맬웨어 보호 서비스 계정에서 암호화되지 않은 고객 관리형 키 암호화된 스냅샷에 액세스할 수 있도록 허용합니다.
+ `CreateGrant` - GuardDuty 맬웨어 보호가 GuardDuty 서비스 계정에 액세스 권한이 제공된 고객 관리형 키 암호화 스냅샷에서 고객 관리형 키 암호화 EBS 볼륨을 생성하고 액세스할 수 있도록 허용합니다.
+ `RetireGrant` - GuardDuty 맬웨어 보호가 암호화된 스냅샷을 읽기 위해 고객 관리형 키에 생성된 권한 부여를 사용 중지하도록 허용
+ `ReEncryptTo` 및 `ReEncryptFrom` - EBS에서 고객 관리형 키로 암호화된 스냅샷에 대한 액세스 권한을 GuardDuty에 부여하고이 스냅샷에서 암호화된 볼륨을 생성하는 데 필요합니다. 고객은 공유 중에 스냅샷의 ReEncryption을 키 전환으로 간주할 수 있지만 스냅샷은 일단 생성되면 고객 관점에서 변경할 수 없습니다.
+ `ListSnapshotBlocks` 및 `GetSnapshotBlock` - EBS Direct APIs는 AWS Managed Key 암호화된 스냅샷의 스냅샷 블록에 액세스하는 데 사용됩니다. 이는 AWS Managed Key 암호화된 스냅샷에 교차 계정으로 액세스할 수 없기 때문입니다.
+ `Decrypt` - 증분 스캔의 일부로 EBS Direct APIs를 사용하여 메모리에 다운로드할 때 고객 관리형 키로 암호화된 기본 스냅샷을 복호화할 수 있습니다.
+ `ListChangedBlocks` - 증분 스냅샷 스캔에 사용되는 EBS Direct API를 사용하여 두 스냅샷 간에 변경된 블록 목록을 가져옵니다.
+ `DescribeKey` - GuardDuty 맬웨어 보호가 고객 계정에서 AWS 관리형 키의 keyId를 확인할 수 있도록 허용합니다.
+ `DescribeImages` - AMI에 속하는 스냅샷 목록을 가져오기 위해 AMI를 설명할 수 있습니다.
+ `DescribeRecoveryPoint` - 서비스가 복구 시점 세부 정보를 가져오고 복구 시점의 리소스 유형을 확인할 수 있도록 허용합니다.
+ `CreateBackupAccessPoint`, `DescribeBackupAccessPoint`, `DeleteBackupAccessPoint` - 서비스가 복구 포인트에 액세스하는 데 필요한 액세스 포인트를 생성, 설명 및 삭제할 수 있도록 허용합니다.
+ `kms:Decrypt` - 서비스가 S3 복구 시점 스캔 중에 S3 복구 시점의 객체에 액세스할 수 있도록 허용합니다.
## 역할 보안
역할은 GuardDuty 맬웨어 보호 서비스 보안 주체를 신뢰하는 신뢰 정책으로 구성되어야 합니다. 이렇게 하면 GuardDuty 서비스 이외의 보안 주체가이 역할을 수임할 수 없습니다. 또한 정책 범위를 대신 특정 리소스로 줄이는 것이 좋습니다`*`. 여기에는 스냅샷 ID와 키 ID가 포함됩니다. 이렇게 하면 역할이 특정 리소스에만 액세스할 수 있습니다.
**중요**
구성이 잘못되면 권한이 부족하여 스캔에 실패할 수 있습니다.
## GuardDuty 맬웨어 보호가 AWS KMS에서 권한 부여를 사용하는 방법
KMS 키를 사용하려면 GuardDuty 맬웨어 보호에 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)가 필요합니다.
암호화된 스냅샷 또는 암호화된 스냅샷으로 구성된 EC2 AMI에서 스캔을 시작하면 GuardDuty 맬웨어 보호는 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 AWS KMS에 전송하여 사용자를 대신하여 권한 부여를 생성합니다. 이러한 권한 부여는 GuardDuty에 계정의 특정 키에 대한 액세스 권한을 부여합니다.
다음 내부 작업에 고객 관리형 키를 사용하려면 GuardDuty 맬웨어 보호에 권한 부여가 필요합니다.
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 요청을에 AWS 보내 맬웨어 스캔을 위해 제출된 리소스가 암호화된 대칭 고객 관리형 키에 대한 세부 정보를 가져옵니다.
+ [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html) API를 사용하여 암호화된 스냅샷에서 EBS 볼륨을 생성하고 동일한 키로 볼륨을 암호화합니다.
+ 증분 스캔 중에 [GetSnapshotBlock](https://docs.aws.amazon.com/ebs/latest/APIReference/API_GetSnapshotBlock.html) API를 통해 스냅샷의 스냅샷 블록에 액세스합니다.
+ AWS KMS에 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 보내 암호화된 데이터 키를 복호화하여 스캔 중에 스냅샷의 데이터를 읽는 데 사용할 수 있도록 합니다.
생성된 권한 부여를 취소하거나 언제든지 고객 관리형 키에 대한 서비스의 액세스를 제거할 수 있습니다. 이렇게 하면 GuardDuty는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다.
## GuardDuty 맬웨어 보호 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.
데이터 암호화 요청에 암호화 컨텍스트를 포함하면 AWS KMS;는 암호화 컨텍스트를 암호화된 데이터에 바인딩합니다. 요청에 동일한 암호화 컨텍스트를 포함해야 이 데이터를 해독할 수 있습니다.
GuardDuty 맬웨어 보호는 두 암호화 컨텍스트 중 하나를 사용합니다.
**암호화 컨텍스트 1:** 키는 입니다`aws:guardduty:id`.
```
"encryptionContext": {
"aws:guardduty:id": "snap-11112222333344"
}
```
이 암호화 컨텍스트는 CreateGrant, Decrypt, GenerateDataKeyWithoutPlaintext, ReEncryptTo, RetireGrant, DescribeKey 권한 부여 작업에 사용됩니다.
이 암호화 컨텍스트 및 권한 부여 작업을 사용하여 현재 리소스에 하나의 권한 부여가 생성됩니다.
**암호화 컨텍스트 2:** 키는 입니다. `aws:ebs:id`
```
"encryptionContext": {
"aws:ebs:id": "snap-11112222333344"
}
```
이 암호화 컨텍스트는 ReEncryptFrom, Decrypt, RetireGrant, DescribeKey 권한 부여 작업에 사용됩니다.
이러한 암호화 컨텍스트 및 권한 부여 작업을 사용하여 세 가지 권한 부여가 생성됩니다. `ReEncryptFrom` 권한 부여 작업이 있는 대상 스냅샷에 하나씩 있습니다. `Decrypt, RetireGrant, DescribeKey` 작업이 있는 대상 스냅샷의 두 번째 스냅샷입니다. 그리고 두 번째 권한 부여와 동일한 권한 부여 작업을 가진 기본 스냅샷의 세 번째 권한 부여입니다.
## 역할에 대한 권한 및 신뢰 정책
**권한 정책**
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "CreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:guardduty:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"CreateGrant",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:ebs:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"ReEncryptTo",
"ReEncryptFrom",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "ShareSnapshotPermission",
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Sid": "ShareSnapshotKMSPermission",
"Effect": "Allow",
"Action": [
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "DescribeKeyPermission",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "DescribeRecoveryPointPermission",
"Effect": "Allow",
"Action": [
"backup:DescribeRecoveryPoint"
],
"Resource": "*"
},
{
"Sid": "CreateBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:CreateBackupAccessPoint"
],
"Resource": "arn:aws:backup:*:*:recovery-point:*"
},
{
"Sid": "ReadAndDeleteBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:DescribeBackupAccessPoint",
"backup:DeleteBackupAccessPoint"
],
"Resource": "*"
},
{
"Sid": "KMSKeyPermissionsForInstantAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
**신뢰 정책**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
# **(선택 사항) 백업을 위한 맬웨어 보호를 독립적으로 시작하기(콘솔만 해당)**
AWS 계정의 GuardDuty 상태와 관계없이 백업용 맬웨어 보호 위협 탐지 옵션을 시작하려면이 선택적 단계를 사용합니다.
GuardDuty에서 다른 전용 보호 요금제도 사용하려면 Amazon GuardDuty 서비스를 시작해야 합니다. GuardDuty 보호 계획에 대한 자세한 내용은 [GuardDuty의 기능을](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) 참조하세요.
## **백업용 맬웨어 보호를 시작하는 단계**
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔을 엽니다[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. **맬웨어 보호 기능 검색을** 선택하고 **시작하기**를 클릭합니다.
1. **시작하기**를 클릭하면 AWS 백업 및 S3 맬웨어 보호 기능을 포함한 옵션 중에서 선택할 수 있습니다.
![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/malware_protection_backup_new_feature_console.png)
1. 백업용 맬웨어 보호 페이지로 이동하면 **온디맨드 스캔 시작 또는 ****맬웨어 스캔 보기를** 선택할 수 있습니다.
![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/malware_protection_backup_console.png)
# 백업용 맬웨어 보호를 위한 온디맨드 스캔 시작
## 콘솔
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. **백업용 맬웨어 보호**로 이동하여 **온디맨드 스캔 시작**을 클릭합니다.
1. 전체 스캔과 증분 스캔 중에서 선택합니다.
1. 전체 스캔을 시작하려면 스캔할 리소스의 리소스 ARN을 입력합니다.
1. 증분 스캔의 경우 대상 리소스 ARN과 기준 리소스 ARN을 입력합니다.
1. 스캔 중인 리소스가 복구 시점인 경우 해당 리소스가 속한 AWS 백업 볼트의 이름도 입력해야 합니다.
1. 서비스 액세스 - 리소스에 액세스하고 스캔을 수행하는 데 필요한 권한이 있는 역할을 선택해야 합니다. **정책 보기를** 클릭하여 역할에 필요한 정확한 권한과 필요한 신뢰 정책을 확인합니다.
요구 사항에 따라 정책을 변경하거나 정확한 리소스로 권한 범위를 좁힐 수 있습니다. IAM 역할을 생성하거나 업데이트하는 방법에 대한 자세한 내용은 섹션을 참조하세요[백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한](malware-protection-backup-iam-permissions.md).
IAM 역할 권한 문제는 [IAM 역할 권한 오류 문제 해결을 참조하세요](https://docs.aws.amazon.com/guardduty/latest/ug/troubleshoot-malware-protection-s3-iam-role-permissions-error.html).
## API/CLI
온디맨드 맬웨어 스캔을 시작하려는 리소스`resourceArn`의를 수락하는 [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)을 호출합니다. 증분 스캔을 시작하려면에서 `baselineResourceArn`를 전달합니다`incrementalScanDetails`. 스캔 구성의 일부로 스캔을 시작하는 데 필요한 모든 권한이 있는 IAM 역할도 제공해야 합니다. 스캔을 성공적으로 시작하면 `StartMalwareScan`에서 `scanId`를 반환합니다. `GetMalwareScan` API를 호출하여 시작된 스캔의 진행 상황을 모니터링하고 스캔이 완료되면 스캔의 세부 정보를 가져옵니다.
# 백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링
맬웨어 스캔이 시작된 후 GuardDuty는 스캔의 상태와 결과를 모니터링할 수 있는 몇 가지 메커니즘을 제공합니다. 다음 표에는 맬웨어 스캔과 관련된 일부 값이 나와 있습니다.
| 카테고리 | 잠재적 가치 |
| --- | --- |
| 스캔 상태 | `RUNNING`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `FAILED` 또는 `SKIPPED` |
| 스캔 범주 | `FULL_SCAN` 또는 `INCREMENTAL_SCAN` |
| 스캔 유형 | `GUARDDUTY_INITIATED`, `ON_DEMAND` 또는 `BACKUP_INITIATED` |
| 스캔 결과 상태 | `NO_THREATS_FOUND` 또는 `THREATS_FOUND` |
\$1스캔이 완료되지 않은 경우 스캔 결과 상태가 표시되지 않을 수 있습니다. THREATS\$1FOUND의 스캔 결과 상태는 GuardDuty가 맬웨어의 존재를 감지했음을 나타냅니다.
S3 복구 시점의 경우 COMPLETED\$1WITH\$1ISSUES는 일부 파일을 건너뛰거나 실패했음을 나타냅니다. AMI의 경우 COMPLETED\$1WITH\$1ISSUES는 하나 이상의 스냅샷을 스캔할 수 없음을 나타냅니다. 건너뛴 이유 목록은 아래를 참조하세요.
다양한 이유로 스캔을 건너뛸 수도 있습니다. 아래 표에서는 스캔을 건너뛸 수 있는 이유를 설명합니다.
| 스캔 건너뛴 이유 | 이유 |
| --- | --- |
| ACCESS\$1DENIED | 고객 역할에 서비스가 스캔을 수행하는 데 필요한 권한이 없습니다. |
| RESOURCE\$1NOT\$1FOUND | 스캔하려는 리소스가 계정에 없거나 스캔 중에 삭제되었습니다. |
| 스냅샷\$1크기\$1한도\$1초과 | 스냅샷 크기가 현재 GuardDuty에서 지원하는 크기보다 큽니다. |
| INCREMENTAL\$1NO\$1DIFFERENCE | 증분 스캔 요청에 지정된 리소스에는 차이가 없습니다. |
| RESOURCE\$1UNAVAILABLE | 리소스가 예상 상태가 아닙니다. 스캔이 증분인 경우 기본 복구 시점이 AVAILABLE 또는 COMPLETED 상태가 아닙니다. |
| 관련 없음\$1리소스 | 증분 스캔의 경우 - 기본 리소스와 현재 리소스가 동일한 계보에 속하지 않음 |
| BASE\$1RESOURCE\$1NOT\$1SCANNED | 증분 스캔의 경우 - 기본 리소스가 이전에 스캔되지 않았거나 완료된 스캔을 찾을 수 없음 |
| BASE\$1CREATED\$1AFTER\$1TARGET | 증분 스캔의 경우 - 기본 리소스의 생성 날짜가 현재 리소스의 생성 날짜보다 큽니다. |
| UNSUPPORTED\$1FOR\$1INCREMENTAL | 요청된 리소스 유형은 증분 스캔을 지원하지 않습니다. |
| UNSUPPORTED\$1AMI | 퍼블릭 AMI, 임시 스토리지만 있는 AMI 및 사용 가능한 상태가 아닌 AMI는 스캔할 수 없습니다. |
| UNSUPPORTED\$1SNAPSHOT | 콜드 스토리지 스냅샷은 스캔할 수 없습니다. |
| UNSUPPORTED\$1COMPOSITE\$1RP | 복합 리소스 유형에는 스캔이 지원되지 않습니다. |
| 지원되지 않는\$1PRODUCT\$1CODE\$1TYPE | 요청된 리소스에는 스캔을 지원하지 않는 Amazon Marketplace 제품 코드가 포함되어 있습니다. |
| AMI\$1SNAPSHOT\$1LIMIT\$1EXCEEDED | AMI는 40개 이상의 스냅샷 스캔을 지원하지 않습니다. |
| NO\$1EBS\$1VOLUMES\$1FOUND | 요청된 리소스에 대한 Ebs 블록 디바이스 매핑을 찾을 수 없음 |
| 관련 없음\$1리소스 | 증분 스캔의 경우 - 기본 리소스의 ARN이 예상 리소스의 ARN과 다름 |
| ALL\$1FILES\$1SKIPPED\$1OR\$1FAILED | 스캔 중인 모든 파일을 건너뛰거나 실패했습니다. |
스캔 결과의 보존 기간은 90일입니다. 선호하는 액세스 방법을 선택하여 맬웨어 스캔 상태를 추적합니다.
**콘솔을 사용하여 스캔 모니터링**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **맬웨어 스캔**을 선택합니다.
1. *필터 검색창*에서 사용할 수 있는 다음 **속성**을 기준으로 맬웨어 스캔을 필터링할 수 있습니다.
+ **스캔 ID** - 맬웨어 스캔과 연결된 고유 식별자입니다.
+ **계정 ID** - 맬웨어 스캔이 시작된 계정입니다.
+ **리소스 ARN** - 스캔과 연결된 Amazon 리소스와 연결된 Amazon 리소스 이름(ARN)입니다.
+ **리소스 유형** - EC2 인스턴스, EBS 스냅샷 \$1 EC2 AMI, EBS 복구 시점, EC2 복구 시점 또는 S3 복구 시점과 같이 스캔과 연결된 리소스 유형입니다.
+ **상태** - 실행 중, 건너뜀, 완료됨, 문제로 완료됨 또는 실패와 같은 스캔의 스캔 상태입니다.
+ **스캔 유형** - 온디맨드, GuardDuty 시작 또는 백업 시작 맬웨어 스캔인지 여부를 나타냅니다.
**API/CLI를 사용하여 스캔 모니터링**
+ ListMalwareScans를 호출하여 `RESOURCE_ARN`, , , `SCAN_ID`, `ACCOUNT_ID``SCAN_TYPE GUARDDUTY_FINDING_ID`, `RESOURCE_TYPE`, `SCAN_STATUS`별로 맬웨어 스캔을 필터링할 수 있습니다`SCAN_START_TIME`. 또한 GetMalwareScan을 호출하여 scan-id를 입력으로 제공하여 스캔의 더 자세한 메타데이터를 검색할 수 있습니다. `GUARDDUTY_FINDING_ID` 필터 기준은 `SCAN_TYPE`이 GuardDuty initiated일 때 제공됩니다.
+ 아래 명령에서 예제 *filter-criteria*를 변경할 수 있으며 한 `CriterionKey` 번에 하나씩 기준으로 필터링할 수 있습니다. 의 옵션은 `Resource_ARN`, , `SCAN_ID`, `ACCOUNT_ID`, `SCAN_TYPE`, `GUARDDUTY_FINDING_ID``SCAN_STATUS`, 및 `RESOURCE_TYPE``CriterionKey`입니다`SCAN_START_TIME`. *max-results*(최대 50) 및 *sort-criteria*를 변경할 수 있습니다. `AttributeName` 필드는에 필수`sort-criteria`이며 로 설정해야 합니다`scanStartTime`. 다음 예제에서 *빨간색*으로 된 값은 자리 표시자입니다. 이를 계정에 적합한 값으로 바꿉니다. ListMalwareScans에 대해 아래와 `CriterionKey` 동일한를 사용하는 경우 예제를 필터링하려는 *리소스 유형*`EqualsValue`으로 바꿔야 합니다.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
+ ListMalwareScans에 대한 위의 명령에 대한 응답은 영향을 받는 리소스(들)에 대한 일부 세부 정보와 함께 최대 25개의 스캔을 반환합니다. GetMalwareScan에 대한 위의 명령에 대한 응답은 스캔에 대한 자세한 메타데이터가 포함된 단일 스캔을 반환합니다.
**EventBridge를 사용하여 스캔 모니터링**
Amazon EventBridge: 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 자체 애플리케이션, Software-as-a-Service(SaaS) 애플리케이션 및 Amazon 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 Lambda와 같은 대상으로 라우팅합니다. 이를 통해 서비스에서 발생하는 이벤트를 모니터링하고 이벤트 기반 아키텍처를 구축할 수 있습니다. 자세한 내용은 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/)를 참조하세요.
GuardDuty는 스캔 상태가 확인되면 EventBridge 알림을 기본 이벤트 버스에 게시합니다. 계정에서 EventBridge 규칙을 설정하여 Amazon EventBridge와 통합된 다른 서비스로 이벤트를 보낼 수 있습니다. 표준 EventBridge 요금이 적용됩니다. 자세한 내용은 [Amazon EventBridge 요금](https://aws.amazon.com/eventbridge/pricing/)을 참조하세요.
아래 표시된 대부분의 값은 예제의 자리 표시자이며 스캔에 따라 달라집니다.
**맬웨어 스캔 결과 이벤트**
Backup의 잠재적 세부 정보 유형 값:
+ “GuardDuty 맬웨어 보호 EBS 스냅샷 스캔 결과”
+ “GuardDuty 맬웨어 보호 EC2 AMI 스캔 결과”
+ “GuardDuty 맬웨어 보호 S3 복구 시점 스캔 결과”
+ “GuardDuty 맬웨어 보호 EBS 복구 시점 스캔 결과”
+ “GuardDuty 맬웨어 보호 EC2 복구 시점 스캔 결과”
**샘플 이벤트 패턴:**
```
{
"detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
"source": ["aws.guardduty"]
}
```
**위협이 발견되지 않은 EC2 AMI 스캔에 대한 샘플 알림 스키마:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"uniqueThreatCount": null
}
}
}
```
**위협이 발견된 EC2 AMI 스캔에 대한 샘플 알림 스키마:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"uniqueThreatCount": 1,
"threats": {
"name": "EICAR-Test-File (not a virus)",
"source": "AMAZON",
"count": 2,
"itemDetails": [{
"resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
"hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"itemPath": "/eicar.txt",
"additionalInfo": {
"versionId": null,
"deviceName": "/dev/sdf"
}
}]
}
}
}
}
```
**건너뛴 EC2 AMI 스캔에 대한 샘플 알림 스키마:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": "UNSUPPORTED_AMI",
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"uniqueThreatCount": null,
"threats": null
}
}
}
```
# 백업용 맬웨어 보호 할당량
**백업 할당량에 대한 맬웨어 보호**
| 할당량 이름 | AWS 기본 할당량 값 | 조정이 가능한가요? | 설명 |
| --- | --- | --- | --- |
| 모든 리소스 유형에 대한 StartMalwareScan TPS 제한 | 10 | 아니요 | |
| 지원되는 최대 스냅샷 크기 | 2TB | 아니요 | |
| 스냅샷 및 AMI 스캔에 지원되는 파일 시스템 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/malware-protection-backup-quotas.html) | 아니요 | |
| 맬웨어 스캔에 지원되는 AMI 내 최대 스냅샷 수 | 전체 스캔의 경우 40. 40개를 초과하는 경우 GuardDuty는 모든 스냅샷 중에서 40개만 스캔합니다. 증분 스캔의 경우 스캔을 건너뜁니다. | 아니요 | |
| S3 복구 시점 내 객체의 최대 크기 | 100GB | 아니요 | GuardDuty가 맬웨어를 스캔하려고 시도하는 최대 S3 객체 크기입니다. 이 할당량은 조정할 수 없지만 더 큰 객체를 스캔해야 하는 경우 Support에 문의하여 GuardDuty가 사용 사례에 대한 할당량을 늘릴 수 있는지 확인하세요. |
| 추출된 아카이브 바이트 | 100GB | 아니요 | GuardDuty가 아카이브 파일에서 추출하고 분석할 수 있는 최대 데이터 용량입니다. GuardDuty는 아카이브 파일 추출을 100GB 이상으로 건너뜁니다. |
| 추출된 아카이브 파일 | 10,000 | 아니요 | GuardDuty가 아카이브 파일에서 추출 및 분석할 수 있는 최대 파일 수. 아카이브에 10,000개가 넘는 파일이 포함되어 있는 경우 GuardDuty는 보관된 파일을 건너뛰어야 합니다. 복합 파일 유형에는 이러한 제한이 적용될 수 있습니다. 파일 유형에는 다목적 인터넷 메일 확장(MIME) 인코딩 이메일 메시지, 컴파일된 Python(PYC) 파일, 컴파일된 HTML 도움말(CHM) 파일, 모든 설치 관리자 및 OpenDocument 형식(ODF) 문서가 포함되지만 이에 국한되지 않습니다. |
| 최대 아카이브 깊이 수준 | 5 | 아니요 | GuardDuty가 추출할 수 있는 중첩 아카이브의 최대 수준입니다. 아카이브에 이 값 이상으로 중첩된 파일이 포함된 경우 GuardDuty는 중첩된 파일을 건너뜁니다. |