こんにちは、小寺です。
Amazon GuardDuty Malware ProtectionでEBSマネージドキー暗号化ボリュームのスキャンができるようになりました!
https://aws.amazon.com/about-aws/whats-new/2024/02/amazon-guardduty-malware-protection-ebs-managed-key-encrypted-volumes/

止まらないGuardDutyのスキャン機能アップデート

今回のアップデートにより、EBSでは以下のスキャンがサポートされています。
・暗号化されていない EBS ボリューム
・AWS KMS カスタマー管理キー (CMK) で暗号化されたボリューム
・EC2インスタンスとコンテナのワークロードにアタッチされた EBS管理キーで暗号化された BS

潜在的なマルウェアをGuardDutyが特定し、脅威とファイル名、ファイル パス、Amazon EC2 インスタンス ID、リソース タグ、コンテナの場合は使用されたコンテナ ID とコンテナ イメージなどの情報を取得できるようになっています。
EBSのスキャンについてもエージェントのインストール等は不要とのことです。

オンデマンドマルウェアスキャンの動作について

マルウェアスキャンについてですが、Amazon EC2 インスタンスの Amazon リソースネーム (ARN) を指定することで、オンデマンドのマルウェア スキャンがスタートします!GuardDuty コンソールまたは APIから利用が可能です。
前提条件や動作については以下の通りです。

・スキャンの自動的開始後、GuardDutyからのマルウェア保護検出結果の種類に対して推奨される修復策に従った後、同じリソースに対して再スキャンする場合、前回のスキャン開始時刻から1時間の間隔を空ける必要ありです。1時間後に再スキャンが行えます。
・オンデマンド マルウェア スキャンでは、EC2インスタンスが起動中でも、対象インスタンスに対してマルウェア スキャン リクエストが投げられます
・GuardDuty は、オンデマンド マルウェア スキャンを開始した時点で Amazon EBS ボリュームに既に書き込まれているデータのスナップショットを自動的に作成されます
・マルウェアが検出され、スナップショット保持設定を有効化している場合、EBS ボリュームのスナップショットは自動的に保管されます
・マルウェアが検出されなかった場合、EBSスナップショットの保持設定に関係なく、EBS ボリュームのスナップショットは削除されます
・EBS ボリュームのスナップショットは GuardDutyScanIdで自動的にタグが振られます。このタグを削除してしまうと、GuardDutyからアクセスできなくなるので、要注意!!
・Malware Protectionでは、GuardDutyExcluded タグが true に設定されている Amazon EC2 インスタンスまたは Amazon EBS ボリュームはスキャン対象外です

確認してみる

(1)GuardDutyのコンソールから Malware Protection を確認します。

全般設定では「マルウェアが検出された場合、スキャンされたスナップショットを保持します」を有効化しておきます。

コンソールに注意書きがある通り、スナップショットの料金は別途かかります。

暗号化されたEBSを作成しておきます。

インスタンスARNを入力して、スキャンを開始します。

スキャンが開始された旨、メッセージが表示されます。

スキャンステータスが「runnning」であることが表示されます。

スキャンステータスが「Completed」で、結果も「Clean」で完了しました。

まとめ

今日はGuardDutyのMalware Protection機能が暗号化されたEBSのスキャンをサポートしたアップデートについてお伝えしました。EBSの暗号化はAWSの推奨事項でもあるので、本アップデートは便利になってうれしいですよね!