Les bonnes pratiques de sécurité pour les instances Windows

Nous vous recommandons de suivre ces bonnes pratiques de sécurité pour vos instances Windows.

Les bonnes pratiques en matière de sécurité de haut niveau

Vous devez respecter les bonnes pratiques de sécurité de haut niveau suivantes pour vos instances Windows :

• Accès minimal : accordez l’accès uniquement aux systèmes et aux emplacements approuvés et attendus. Cela s’applique à tous les produits Microsoft tels que Active Directory, les serveurs de productivité professionnelle Microsoft et les services d’infrastructure, notamment les services de Bureau à distance, les serveurs proxy inversés, les serveurs Web IIS, etc. Utilisez AWS des fonctionnalités telles que les groupes de sécurité des EC2 instances Amazon, les listes de contrôle d'accès réseau (ACLs) et les sous-réseaux publics/privés Amazon VPC pour renforcer la sécurité sur plusieurs sites d'une architecture. Au sein d'une instance Windows, les clients peuvent utiliser le pare-feu Windows pour renforcer defense-in-depth la stratégie de leur déploiement. Installez uniquement les composants du système d’exploitation et les applications nécessaires au fonctionnement du système aux fins pour lesquelles il a été conçu. Configurez les services d’infrastructure, notamment IIS, pour qu’ils s’exécutent sous des comptes de service ou pour utiliser des fonctionnalités telles que les identités de groupe d’applications pour accéder aux ressources localement et à distance dans votre infrastructure.

• Principe de moindre privilège : déterminez l’ensemble minimal de privilèges dont les instances et les comptes ont besoin pour exécuter leurs fonctions. Restreindre ces serveurs et utilisateurs pour autoriser uniquement ces autorisations définies. Utilisez des techniques telles que les contrôles d’accès basés sur les rôles pour réduire la surface des comptes d’administration et créer les rôles les plus limités pour accomplir une tâche. Utilisez les fonctionnalités du système d’exploitation telles que le système de cryptage de fichiers EFS (Encrypting File System) dans NTFS pour chiffrer les données sensibles au repos et contrôler l’accès de l’application et de l’utilisateur à ces dernières.

• Gestion de la configuration : créez une configuration de serveur de base qui intègre des correctifs de up-to-date sécurité et des suites de protection basées sur l'hôte qui incluent un antivirus, un anti-malware, une détection/prévention des intrusions et une surveillance de l'intégrité des fichiers. Évaluez chaque serveur par rapport à la référence enregistrée actuelle pour identifier et signaler les écarts éventuels. Assurez-vous que chaque serveur est configuré pour générer et stocker en toute sécurité les données de journal et d’audit appropriées.

• Gestion des modifications : créez des processus pour contrôler les modifications apportées aux références de configuration du serveur et avancer vers des processus de modification entièrement automatisés. Tirez également parti de Just Enough Administration (JEA) avec Windows PowerShell DSC pour limiter l'accès administratif aux fonctions minimales requises.

• Gestion des correctifs : implémentez des processus qui corrigent, mettent à jour et sécurisent régulièrement le système d'exploitation et les applications de vos EC2 instances.

• Journaux d'audit : auditez l'accès et toutes les modifications apportées aux EC2 instances Amazon afin de vérifier l'intégrité du serveur et de vous assurer que seules les modifications autorisées sont apportées. Tirez parti de fonctionnalités telles que la journalisation améliorée pour IIS afin d'améliorer les fonctionnalités de journalisation par défaut. AWS des fonctionnalités telles que les journaux de flux VPC AWS CloudTrail sont également disponibles pour auditer l'accès au réseau, y compris les demandes autorisées/refusées et les appels d'API, respectivement.

Gestion des mises à jour

Pour garantir les meilleurs résultats lorsque vous exécutez Windows Server sur Amazon EC2, nous vous recommandons de mettre en œuvre les meilleures pratiques suivantes :

• Configure Windows Update

• Update drivers

• Use the latest Windows AMIs

• Test performance before migration

• Update launch agents

• redémarrez votre instance Windows après avoir installé les mises à jour. Pour de plus amples informations, veuillez consulter Redémarrer votre instance.

Pour savoir comment mettre à niveau ou migrer une instance Windows vers une version plus récente de Windows Server, voir Mettre à niveau une instance EC2 Windows vers une nouvelle version de Windows Server.

Configuration de Windows Update

Par défaut, les instances lancées depuis AWS Windows Server AMIs ne reçoivent pas de mises à jour via Windows Update.

Mettre à jour les pilotes Windows

Conservez les pilotes les plus récents sur toutes les EC2 instances Windows afin de garantir que les dernières corrections de problèmes et améliorations de performances sont appliquées à l'ensemble de votre parc. En fonction de votre type d'instance, vous devez mettre à jour le AWS PV, Amazon ENA et AWS NVMe les pilotes.

• Utilisez les rubriques SNS afin de recevoir les mises à jour des nouvelles versions de pilotes.

• Utilisez le manuel AWS Systems Manager d'automatisation AWSSupport-UpgradeWindowsAWSDriverspour appliquer facilement les mises à jour à toutes vos instances.

Lancer des instances à l'aide de la dernière version de Windows AMIs

AWS publie AMIs chaque mois un nouveau Windows, qui contient les derniers correctifs, pilotes et agents de lancement du système d'exploitation. Utilisez l’AMI la plus récente lorsque vous lancez de nouvelles instances ou que vous créez vos propres images personnalisées.

• Pour consulter les mises à jour de chaque version de AWS Windows AMIs, consultez l'historique des versions de l'AMI AWS Windows.

• Pour créer à l'aide de la dernière version disponible AMIs, voir Requête de la dernière AMI Windows à l'aide du magasin de paramètres Systems Manager.

• Pour plus d'informations sur Windows spécialisé AMIs que vous pouvez utiliser pour lancer des instances pour votre base de données et sur les cas d'utilisation du renforcement de la conformité, consultez la section Windows spécialisés AMIs dans le manuel AWS Windows AMI Reference.

Tester les performances du système/des applications avant la migration

La migration des applications d'entreprise vers AWS peut impliquer de nombreuses variables et configurations. Testez toujours les performances de la EC2 solution pour vous assurer que :

• Les types d’instances sont correctement configurés, y compris la taille des instances, la mise en réseau améliorée et la location (partagée ou dédiée).

• La topologie des instances est appropriée pour la charge de travail et exploite si nécessaire les fonctions hautes performances, telles que la location dédiée, les groupes de placement, les volumes de stockage d’instance et le matériel nu.

Mise à jour des agents de lancement

Passez à la dernière version de l'agent EC2 Launch v2 pour vous assurer que les dernières améliorations sont appliquées à l'ensemble de votre flotte. Pour de plus amples informations, veuillez consulter Migrer vers la EC2Launch version v2 pour les instances Windows.

Si vous disposez d'un parc mixte ou si vous souhaitez continuer à utiliser les agents EC2 Launch (Windows Server 2016 et 2019) ou EC2 Config (ancien système d'exploitation uniquement), effectuez la mise à jour vers les dernières versions des agents respectifs.

Les mises à jour automatiques sont prises en charge sur les combinaisons suivantes de version de Windows Server et d’agents de lancement. Vous pouvez activer les mises à jour automatiques dans la console SSM Quick Setup Host Management sous Amazon EC2 Launch Agents.

Version Windows	EC2Lancer la v1	EC2Lancer la v2
2016	✓	✓
2019	✓	✓
2022		✓

• Pour plus d'informations sur la mise à jour vers EC2 Launch v2, consultezInstallez la dernière version de EC2Launch v2.

• Pour plus d'informations sur la mise à jour manuelle de EC2 Config, consultezInstallez la dernière version de EC2 Config.

• Pour plus d'informations sur la mise à jour manuelle de EC2 Launch, consultezInstallez la dernière version de EC2 Launch.

Gestion de la configuration

Amazon Machine Images (AMIs) fournit une configuration initiale pour une EC2 instance Amazon, qui inclut le système d'exploitation Windows et des personnalisations facultatives spécifiques au client, telles que les applications et les contrôles de sécurité. Créez un catalogue AMI contenant des références de configuration de sécurité personnalisées afin de s'assurer que toutes les instances Windows sont lancées avec des contrôles de sécurité standard. Les bases de sécurité peuvent être intégrées dans une AMI, amorcées dynamiquement lorsqu'une EC2 instance est lancée ou packagées sous forme de produit pour une distribution uniforme via les portefeuilles AWS Service Catalog. Pour plus d’informations sur la sécurisation d’une AMI, consultez Bonnes pratiques de création d’AMI.

Chaque EC2 instance Amazon doit respecter les normes de sécurité de l'organisation. N’installez pas de rôles et de fonctionnalités Windows qui ne sont pas requis, et installez des logiciels pour vous protéger contre les codes malveillants (antivirus, antimalware, réduction de l’exploitation), surveiller l’intégrité de l’hôte et effectuer la détection des intrusions. Configurez le logiciel de sécurité pour surveiller et maintenir les paramètres de sécurité du système d’exploitation, protéger l’intégrité des fichiers critiques de ce dernier et signaler les écarts par rapport à la référence de sécurité. Envisagez de mettre en œuvre les benchmarks de configuration de sécurité recommandés publiés par Microsoft, le Center for Internet Security (CIS) ou le National Institute of Standards and Technology (NIST). Pensez à utiliser d’autres outils Microsoft pour des serveurs d’applications particuliers, tels que Best Practice Analyzer for SQL Server.

AWS les clients peuvent également exécuter des évaluations Amazon Inspector afin d'améliorer la sécurité et la conformité des applications déployées sur des EC2 instances Amazon. Amazon Inspector évalue automatiquement les applications à la recherche de vulnérabilités ou d’écarts par rapport aux bonnes pratiques et inclut une base de connaissances de centaines de règles mappées aux normes de conformité de sécurité communes (par exemple, PCI DSS) et aux définitions de vulnérabilité. Les règles préintégrées prévoient, par exemple, la vérification de l’activation de la connexion distante à la racine ou la détection des versions de logiciels vulnérables installées. Ces règles sont régulièrement mises à jour par les chercheurs en AWS sécurité.

Lors de la sécurisation des instances Windows, nous vous recommandons d’implémenter les services de domaine Active Directory afin d’activer une infrastructure évolutive, sécurisée et gérable pour les emplacements distribués. En outre, après avoir lancé des instances depuis la EC2 console Amazon ou à l'aide d'un outil de EC2 provisionnement Amazon, par exemple AWS CloudFormation, il est recommandé d'utiliser les fonctionnalités natives du système d'exploitation, telles que Microsoft Windows PowerShell DSC, pour maintenir l'état de la configuration en cas de dérive de configuration.

Gestion des modifications

Une fois que les bases de sécurité initiales ont été appliquées aux EC2 instances Amazon au lancement, contrôlez les EC2 modifications continues apportées par Amazon afin de garantir la sécurité de vos machines virtuelles. Établissez un processus de gestion des modifications pour autoriser et intégrer les modifications apportées aux AWS ressources (telles que les groupes de sécurité, les tables de routage et le réseau ACLs) ainsi qu'aux configurations du système d'exploitation et des applications (telles que Windows ou l'application de correctifs, les mises à niveau logicielles ou les mises à jour des fichiers de configuration).

AWS fournit plusieurs outils pour aider à gérer les modifications apportées aux AWS ressources AWS CloudTrail, notamment AWS Config, AWS CloudFormation AWS Elastic Beanstalk, et des packs d'administration pour Systems Center Operations Manager et System Center Virtual Machine Manager. Notez que Microsoft publie des correctifs Windows le deuxième mardi de chaque mois (ou selon les besoins) et AWS met à jour tous les systèmes Windows AMIs administrés dans les cinq jours AWS suivant la publication d'un correctif par Microsoft. Il est donc important de corriger en permanence toutes les configurations de base AMIs, de mettre à jour les AWS CloudFormation modèles et les configurations de groupes Auto Scaling avec la dernière AMI IDs, et de mettre en œuvre des outils pour automatiser la gestion des correctifs d'instance en cours d'exécution.

Microsoft fournit plusieurs options pour gérer les modifications du système d’exploitation Windows et des applications. SCCM, par exemple, fournit une couverture complète du cycle de vie des modifications de l’environnement. Sélectionnez des outils qui répondent aux exigences de l'entreprise et contrôlent l'impact des modifications sur les applications SLAs, la capacité, la sécurité et les procédures de reprise après sinistre. Évitez les modifications manuelles et utilisez plutôt un logiciel de gestion de configuration automatisé ou des outils de ligne de commande tels que EC2 Run Command ou Windows PowerShell pour mettre en œuvre des processus de modification scriptés et répétables. Pour répondre à cette exigence, utilisez des hôtes bastion avec journalisation améliorée pour toutes les interactions avec vos instances Windows, afin de vous assurer que tous les événements et toutes les tâches sont automatiquement enregistrés.

Audit et responsabilité pour les instances Amazon EC2 Windows

AWS CloudTrail AWS Config, et AWS Config Rules fournissent des fonctionnalités d'audit et de suivi des modifications pour auditer les modifications AWS des ressources. Configurez les journaux d’événements Windows pour envoyer des fichiers journaux locaux à un système de gestion centralisée des journaux, afin de préserver les données des journaux à des fins d’analyse de la sécurité et du comportement opérationnel. Microsoft System Center Operations Manager (SCOM) regroupe les informations concernant les applications Microsoft déployées sur des instances Windows et applique des jeux de règles préconfigurés et personnalisés basés sur les rôles et services d’application. System Center Management Packs s’appuie sur SCOM pour fournir des conseils de configuration et de surveillance spécifiques aux applications. Ces packs d'administration prennent en charge Windows Server Active Directory, SharePoint Server 2013, Exchange Server 2013, Lync Server 2013, SQL Server 2014 et de nombreux autres serveurs et technologies.

Outre les outils de gestion des systèmes Microsoft, les clients peuvent utiliser Amazon CloudWatch pour surveiller l'utilisation du processeur des instances, les performances du disque, les E/S réseau et effectuer des vérifications de l'état de l'hôte et de l'instance. Les agents de EC2 lancement EC2 Config, EC2 Launch et Launch v2 donnent accès à des fonctionnalités avancées supplémentaires pour les instances Windows. Par exemple, ils peuvent exporter les journaux du système Windows, de la sécurité, des applications et des services Internet (IIS) vers CloudWatch des journaux qui peuvent ensuite être intégrés aux CloudWatch métriques et aux alarmes Amazon. Les clients peuvent également créer des scripts qui exportent les compteurs de performance Windows vers des métriques CloudWatch personnalisées Amazon.