Bonnes pratiques de sécurité pour les instances Windows

Nous vous recommandons de suivre ces bonnes pratiques de sécurité pour vos instances Windows.

Bonnes pratiques de sécurité de haut niveau

Vous devez respecter les meilleures pratiques de sécurité de haut niveau suivantes pour vos instances Windows :

• Accès minimal : accordez l'accès uniquement aux systèmes et aux emplacements fiables et attendus. Cela s'applique à tous les produits Microsoft tels qu'Active Directory, les serveurs de productivité professionnels Microsoft et les services d'infrastructure tels que les services de bureau à distance, les serveurs proxy inverses, les serveurs IIS Web, etc. Utilisez AWS des fonctionnalités telles que les groupes de sécurité des EC2 instances Amazon, les listes de contrôle d'accès au réseau (ACLs) et les sous-réseaux VPC publics/privés Amazon pour renforcer la sécurité sur plusieurs sites d'une architecture. Au sein d'une instance Windows, les clients peuvent utiliser le pare-feu Windows pour renforcer defense-in-depth la stratégie de leur déploiement. Installez uniquement les composants du système d’exploitation et les applications nécessaires au fonctionnement du système aux fins pour lesquelles il a été conçu. Configurez les services d'infrastructure, par exemple IIS pour qu'ils s'exécutent sous des comptes de service ou pour utiliser des fonctionnalités telles que les identités des pools d'applications pour accéder aux ressources localement et à distance sur l'ensemble de votre infrastructure.

• Privilège minimal : déterminez l'ensemble minimal de privilèges dont les instances et les comptes ont besoin pour exécuter leurs fonctions. Restreindre ces serveurs et utilisateurs pour autoriser uniquement ces autorisations définies. Utilisez des techniques telles que les contrôles d’accès basés sur les rôles pour réduire la surface des comptes d’administration et créer les rôles les plus limités pour accomplir une tâche. Utilisez les fonctionnalités du système d'exploitation telles que le chiffrement du système de fichiers (EFS) NTFS pour chiffrer les données sensibles au repos et contrôler l'accès des applications et des utilisateurs à ces données.

• Gestion de la configuration : créez une configuration de serveur de base qui intègre des correctifs de up-to-date sécurité et des suites de protection basées sur l'hôte qui incluent un antivirus, un anti-malware, une détection/prévention des intrusions et une surveillance de l'intégrité des fichiers. Évaluez chaque serveur par rapport à la référence enregistrée actuelle pour identifier et signaler les écarts éventuels. Assurez-vous que chaque serveur est configuré pour générer et stocker en toute sécurité les données de journal et d’audit appropriées.

• Gestion des modifications : créez des processus pour contrôler les modifications apportées aux lignes de base de configuration des serveurs et optez pour des processus de modification entièrement automatisés. Tirez également parti de Just Enough Administration (JEA) avec Windows PowerShell DSC pour limiter l'accès administratif aux fonctions minimales requises.

• Gestion des correctifs : implémentez des processus qui corrigent, mettent à jour et sécurisent régulièrement le système d'exploitation et les applications de vos EC2 instances.

• Journaux d'audit : auditez l'accès et toutes les modifications apportées aux EC2 instances Amazon afin de vérifier l'intégrité du serveur et de vous assurer que seules les modifications autorisées sont apportées. Tirez parti de fonctionnalités telles que la journalisation améliorée IIS pour améliorer les fonctionnalités de journalisation par défaut. AWS des fonctionnalités telles que les journaux de VPC flux AWS CloudTrail sont également disponibles pour auditer l'accès au réseau, y compris les demandes et les API appels autorisés/refusés, respectivement.

Gestion des mises à jour

Pour garantir les meilleurs résultats lorsque vous exécutez Windows Server sur AmazonEC2, nous vous recommandons de mettre en œuvre les meilleures pratiques suivantes :

• Configure Windows Update

• Update drivers

• Use the latest Windows AMIs

• Test performance before migration

• Update launch agents

• Redémarrez votre instance Windows après avoir installé les mises à jour. Pour de plus amples informations, veuillez consulter Redémarrer votre instance.

Pour savoir comment mettre à niveau ou migrer une instance Windows vers une version plus récente de Windows Server, voir Mettre à niveau une instance EC2 Windows vers une version plus récente de Windows Server.

Configuration de Windows Update

Par défaut, les instances lancées depuis AWS Windows Server AMIs ne reçoivent pas de mises à jour via Windows Update.

Mettre à jour les pilotes Windows

Conservez les pilotes les plus récents sur toutes les EC2 instances Windows afin de garantir que les dernières corrections de problèmes et améliorations de performances sont appliquées à l'ensemble de votre parc. En fonction de votre type d'instance, vous devez mettre à jour le AWS PVENA, Amazon et AWS NVMe les pilotes.

• Utilisez SNSles rubriques pour recevoir des mises à jour concernant les nouvelles versions de pilotes.

• Utilisez le manuel AWS Systems Manager d'automatisation AWSSupport pour appliquer facilement UpgradeWindows AWSDrivers les mises à jour à toutes vos instances.

Lancer des instances à l'aide de la dernière version de Windows AMIs

AWS publie AMIs chaque mois un nouveau Windows, qui contient les derniers correctifs, pilotes et agents de lancement du système d'exploitation. Vous devez tirer parti des dernières nouveautés AMI lorsque vous lancez de nouvelles instances ou lorsque vous créez vos propres images personnalisées.

• Pour consulter les mises à jour de chaque version de AWS WindowsAMIs, consultez l'historique des AMI versions de AWS Windows.

• Pour créer avec la dernière version disponibleAMIs, voir Query for the Latest Windows AMI Using Systems Manager Parameter Store.

• Pour plus d'informations sur Windows spécialisé AMIs que vous pouvez utiliser pour lancer des instances pour votre base de données et sur les cas d'utilisation du renforcement de la conformité, consultez la section Windows spécialisés AMIs dans le Guide de AMIréférence AWS Windows.

Tester les performances du système/des applications avant la migration

La migration des applications d'entreprise vers AWS peut impliquer de nombreuses variables et configurations. Testez toujours les performances de la EC2 solution pour vous assurer que :

• Les types d’instances sont correctement configurés, y compris la taille des instances, la mise en réseau améliorée et la location (partagée ou dédiée).

• La topologie des instances est appropriée pour la charge de travail et exploite si nécessaire les fonctions hautes performances, telles que la location dédiée, les groupes de placement, les volumes de stockage d’instance et le matériel nu.

Mise à jour des agents de lancement

Passez à la dernière version de l'agent EC2Launch v2 pour vous assurer que les dernières améliorations sont appliquées à l'ensemble de votre flotte. Pour de plus amples informations, veuillez consulter Migrer vers la EC2Launch version v2 pour les instances Windows.

Si vous disposez d'un parc mixte ou si vous souhaitez continuer à utiliser les agents EC2Launch (Windows Server 2016 et 2019) ou EC2 Config (ancien système d'exploitation uniquement), effectuez la mise à jour vers les dernières versions des agents respectifs.

Les mises à jour automatiques sont prises en charge sur les combinaisons suivantes de version de Windows Server et d’agents de lancement. Vous pouvez activer les mises à jour automatiques dans la console SSMQuick Setup Host Management sous Amazon EC2 Launch Agents.

Version Windows	EC2Launch v1	EC2Launch v2
2016	✓	✓
2019	✓	✓
2022		✓

• Pour plus d'informations sur la mise à jour vers la EC2Launch version v2, consultezInstallez la dernière version de EC2Launch v2.

• Pour plus d'informations sur la mise à jour manuelleEC2Config, consultezInstallez la dernière version de EC2Config.

• Pour plus d'informations sur la mise à jour manuelleEC2Launch, consultezInstallez la dernière version de EC2Launch.

Gestion de la configuration

Amazon Machine Images (AMIs) fournit une configuration initiale pour une EC2 instance Amazon, qui inclut le système d'exploitation Windows et des personnalisations facultatives spécifiques au client, telles que les applications et les contrôles de sécurité. Créez un AMI catalogue contenant des lignes de base de configuration de sécurité personnalisées pour garantir que toutes les instances Windows sont lancées avec des contrôles de sécurité standard. Les bases de sécurité peuvent être intégrées à unAMI, amorcées dynamiquement lors du lancement d'une EC2 instance, ou packagées sous forme de produit pour une distribution uniforme via les portefeuilles AWS Service Catalog. Pour plus d'informations sur la sécurisation d'unAMI, consultez Bonnes pratiques pour créer un AMI.

Chaque EC2 instance Amazon doit respecter les normes de sécurité de l'organisation. N’installez pas de rôles et de fonctionnalités Windows qui ne sont pas requis, et installez des logiciels pour vous protéger contre les codes malveillants (antivirus, antimalware, réduction de l’exploitation), surveiller l’intégrité de l’hôte et effectuer la détection des intrusions. Configurez le logiciel de sécurité pour surveiller et maintenir les paramètres de sécurité du système d’exploitation, protéger l’intégrité des fichiers critiques de ce dernier et signaler les écarts par rapport à la référence de sécurité. Envisagez de mettre en œuvre des tests de configuration de sécurité recommandés publiés par Microsoft, le Center for Internet Security (CIS) ou le National Institute of Standards and Technology (NIST). Envisagez d'utiliser d'autres outils Microsoft pour des serveurs d'applications spécifiques, tels que le Best Practice Analyzer for SQL Server.

AWS les clients peuvent également exécuter des évaluations Amazon Inspector afin d'améliorer la sécurité et la conformité des applications déployées sur des EC2 instances Amazon. Amazon Inspector évalue automatiquement les applications pour détecter les vulnérabilités ou les écarts par rapport aux meilleures pratiques et inclut une base de connaissances contenant des centaines de règles mappées selon les normes de sécurité communes (par exemple, PCIDSS) et des définitions de vulnérabilités. Les règles préintégrées prévoient, par exemple, la vérification de l’activation de la connexion distante à la racine ou la détection des versions de logiciels vulnérables installées. Ces règles sont régulièrement mises à jour par les chercheurs en AWS sécurité.

Lors de la sécurisation des instances Windows, nous vous recommandons d’implémenter les services de domaine Active Directory afin d’activer une infrastructure évolutive, sécurisée et gérable pour les emplacements distribués. En outre, après avoir lancé des instances depuis la EC2 console Amazon ou à l'aide d'un outil de EC2 provisionnement Amazon AWS CloudFormation, il est recommandé d'utiliser les fonctionnalités natives du système d'exploitation, telles que Microsoft Windows, PowerShell DSC pour maintenir l'état de la configuration en cas de dérive de configuration.

Gestion des modifications

Une fois que les bases de sécurité initiales ont été appliquées aux EC2 instances Amazon au lancement, contrôlez les EC2 modifications continues apportées par Amazon afin de garantir la sécurité de vos machines virtuelles. Établissez un processus de gestion des modifications pour autoriser et intégrer les modifications apportées aux AWS ressources (telles que les groupes de sécurité, les tables de routage et le réseauACLs) ainsi qu'aux configurations du système d'exploitation et des applications (telles que Windows ou l'application de correctifs, les mises à niveau logicielles ou les mises à jour des fichiers de configuration).

AWS fournit plusieurs outils pour aider à gérer les modifications apportées aux AWS ressources AWS CloudTrail, notamment AWS Config, AWS CloudFormation, AWS Elastic Beanstalk AWS OpsWorks, et des packs d'administration pour Systems Center Operations Manager et System Center Virtual Machine Manager. Notez que Microsoft publie des correctifs Windows le deuxième mardi de chaque mois (ou selon les besoins) et AWS met à jour tous les systèmes Windows AMIs administrés dans les cinq jours AWS suivant la publication d'un correctif par Microsoft. Il est donc important de corriger en permanence toutes les configurations de référenceAMIs, de mettre à jour les AWS CloudFormation modèles et les configurations de groupe Auto Scaling avec les dernières nouveautés AMIIDs, et de mettre en œuvre des outils pour automatiser la gestion des correctifs d'instance en cours d'exécution.

Microsoft fournit plusieurs options pour gérer les modifications du système d’exploitation Windows et des applications. SCCM, par exemple, fournit une couverture complète du cycle de vie des modifications de l'environnement. Sélectionnez des outils qui répondent aux exigences de l'entreprise et contrôlent l'impact des modifications sur les applicationsSLAs, la capacité, la sécurité et les procédures de reprise après sinistre. Évitez les modifications manuelles et utilisez plutôt un logiciel de gestion de configuration automatisé ou des outils de ligne de commande tels que EC2 Run Command ou Windows PowerShell pour mettre en œuvre des processus de modification scriptés et répétables. Pour répondre à cette exigence, utilisez des hôtes bastion avec journalisation améliorée pour toutes les interactions avec vos instances Windows, afin de vous assurer que tous les événements et toutes les tâches sont automatiquement enregistrés.

Audit et responsabilité pour les instances Amazon EC2 Windows

AWS CloudTrail AWS Config, et AWS Config Rules fournissent des fonctionnalités d'audit et de suivi des modifications pour auditer les modifications AWS des ressources. Configurez les journaux d’événements Windows pour envoyer des fichiers journaux locaux à un système de gestion centralisée des journaux, afin de préserver les données des journaux à des fins d’analyse de la sécurité et du comportement opérationnel. Microsoft System Center Operations Manager (SCOM) regroupe les informations relatives aux applications Microsoft déployées sur des instances Windows et applique des ensembles de règles préconfigurés et personnalisés en fonction des rôles et services des applications. Les packs d'administration de System Center s'appuient sur SCOM des fonctionnalités de surveillance et de configuration spécifiques aux applications. Ces packs d'administration prennent en charge Windows Server Active Directory, SharePoint Server 2013, Exchange Server 2013, Lync Server 2013, SQL Server 2014, ainsi que de nombreux autres serveurs et technologies.

Outre les outils de gestion des systèmes Microsoft, les clients peuvent utiliser Amazon CloudWatch pour surveiller CPU l'utilisation des instances, les performances des disques, les E/S réseau et effectuer des vérifications de l'état des hôtes et des instances. Les agents de lancement EC2ConfigEC2Launch,, et EC2Launch v2 donnent accès à des fonctionnalités avancées supplémentaires pour les instances Windows. Par exemple, ils peuvent exporter les journaux du système Windows, de la sécurité, des applications et des services Internet (IIS) vers CloudWatch des journaux qui peuvent ensuite être intégrés aux CloudWatch métriques et aux alarmes Amazon. Les clients peuvent également créer des scripts qui exportent les compteurs de performance Windows vers des métriques CloudWatch personnalisées Amazon.