Procedure ottimali relative alla sicurezza di alto livello Gestione degli aggiornamenti Gestione della configurazione Gestione delle modifiche Controllo e responsabilità per le istanze Amazon EC2 Windows

Procedure ottimali relative alla sicurezza delle istanze Windows

Si consiglia di seguire queste procedure ottimali relative alla sicurezza delle istanze Windows.

Indice

Procedure ottimali relative alla sicurezza di alto livello
Gestione degli aggiornamenti
Gestione della configurazione
Gestione delle modifiche
Controllo e responsabilità per le istanze Amazon EC2 Windows

Procedure ottimali relative alla sicurezza di alto livello

Devi rispettare le seguenti procedure ottimali di sicurezza di alto livello per le tue istanze di Windows:

Accesso minimo: viene concesso l'accesso solo a sistemi e percorsi attendibili e previsti. Questo vale per tutti i prodotti Microsoft, ad esempio Active Directory, server di produttività aziendale Microsoft e servizi infrastrutturali quali Servizi di desktop remoto, server proxy inverso, server Web IIS e altri. Utilizza AWS funzionalità come i gruppi di sicurezza delle EC2 istanze Amazon, le liste di controllo degli accessi alla rete (ACLs) e le sottoreti pubbliche/private di Amazon VPC per stratificare la sicurezza in più posizioni in un'architettura. All'interno di un'istanza Windows, i clienti possono utilizzare Windows Firewall per ampliare ulteriormente la strategia all'interno della loro distribuzione. defense-in-depth Installare solo i componenti e le applicazioni del sistema operativo necessari per il funzionamento del sistema come progettato. Configurare i servizi infrastrutturali, ad esempio IIS, per l'esecuzione con account di servizio o per l'utilizzo di funzionalità quali le identità del pool di applicazioni per accedere alle risorse localmente e in remoto all'intera infrastruttura.
Privilegio minimo: determina l'insieme minimo di privilegi necessari per le istanze e gli account per svolgere le loro funzioni. Limita tali server e utenti in modo da consentire solo queste autorizzazioni definite. Utilizza tecniche quali i controlli di accesso basati sui ruoli per ridurre l'area di superficie degli account amministrativi e creare i ruoli più limitati per eseguire un'attività. Utilizza le funzionalità del sistema operativo, ad esempio Encrypting File System (EFS) all'interno di NTFS per crittografare i dati sensibili inattivi e controllare l'accesso dell'applicazione e dell'utente ad esso.
Gestione della configurazione: crea una configurazione server di base che incorpori patch di up-to-date sicurezza e suite di protezione basate su host che includono antivirus, antimalware, rilevamento/prevenzione delle intrusioni e monitoraggio dell'integrità dei file. Valuta ogni server rispetto alla linea di base registrata corrente per identificare e contrassegnare eventuali deviazioni. Assicura che ogni server sia configurato per generare e archiviare in modo sicuro i dati di log e di controllo appropriati.
Gestione delle modifiche: crea processi per controllare le modifiche alle linee di base della configurazione del server e lavora verso processi di modifica completamente automatizzati. Inoltre, sfrutta Just Enough Administration (JEA) con Windows DSC per limitare l'accesso amministrativo alle funzioni minime richieste. PowerShell
Gestione delle patch: implementa processi che applichino, aggiornino e proteggano regolarmente il sistema operativo e le applicazioni sulle istanze. EC2
Registri di controllo: verifica l'accesso e tutte le modifiche alle EC2 istanze Amazon per verificare l'integrità del server e garantire che vengano apportate solo modifiche autorizzate. Sfrutta funzionalità come Enhanced Logging for IIS per migliorare le funzionalità di registrazione predefinite. AWS funzionalità come VPC Flow Logs e AWS CloudTrail sono disponibili anche per controllare l'accesso alla rete, incluse rispettivamente le richieste consentite/negate e le chiamate API.

Gestione degli aggiornamenti

Per garantire i migliori risultati quando esegui Windows Server su Amazon EC2, ti consigliamo di implementare le seguenti best practice:

Configure Windows Update
Update drivers
Use the latest Windows AMIs
Test performance before migration
Update launch agents
Riavvia un'istanza Windows dopo avere installato gli aggiornamenti. Per ulteriori informazioni, consulta Riavvio dell'istanza.

Per informazioni su come aggiornare o migrare un'istanza Windows a una nuova versione di Windows Server, consultare Aggiornamento di un'istanza di EC2 Windows a una versione più recente di Windows Server.

Configura Windows Update

Per impostazione predefinita, le istanze avviate da AWS Windows Server AMIs non ricevono aggiornamenti tramite Windows Update.

Aggiornamento dei driver Windows

Mantieni i driver più recenti su tutte le EC2 istanze di Windows per garantire che le correzioni dei problemi e i miglioramenti delle prestazioni più recenti vengano applicati a tutto il parco istanze. A seconda del tipo di istanza, è necessario aggiornare AWS PV, Amazon ENA e AWS NVMe i driver.

Utilizza gli argomenti su SNS per ottenere gli aggiornamenti per le ultime versioni dei driver.
Usa l' AWS Systems Manager Automation runbook AWSSupport-UpgradeWindowsAWSDriversper applicare facilmente gli aggiornamenti a tutte le tue istanze.

Avvia le istanze utilizzando la versione più recente di Windows AMIs

AWS rilascia nuovi Windows AMIs ogni mese, che contengono le patch, i driver e gli agenti di avvio più recenti del sistema operativo. Quando avvii nuove istanze o quando crei immagini personalizzate, devi utilizzare le AMI più recenti.

Per visualizzare gli aggiornamenti di ogni versione di AWS Windows AMIs, consulta la cronologia delle versioni dell'AMI AWS Windows.
Per creare con la versione più recente disponibile AMIs, vedi Interrogare l'AMI Windows più recente utilizzando Systems Manager Parameter Store.
Per ulteriori informazioni su Windows specializzati AMIs che è possibile utilizzare per avviare istanze per il database e sui casi d'uso relativi al rafforzamento della conformità, vedere Specialized Windows AMIs in the Windows AWS AMI Reference.

Test delle prestazioni del sistema/delle applicazioni prima di eseguire la migrazione

La migrazione delle applicazioni aziendali a AWS può coinvolgere molte variabili e configurazioni. Verifica sempre le prestazioni della EC2 soluzione per assicurarti che:

I tipi di istanza sono configurati correttamente, incluse la dimensione dell'istanza, le reti migliorate e la tenancy (condivisa o dedicata).
La topologia dell'istanza è idonea per il carico di lavoro e, laddove necessario, impiega caratteristiche ad alte prestazioni (tenancy dedicata, gruppi di collocamento, volumi archivio dell'istanza, bare metal).

Aggiornamento degli agenti di avvio

Effettua l'aggiornamento all'ultimo agente EC2 Launch v2 per assicurarti che i miglioramenti più recenti vengano applicati a tutta la tua flotta. Per ulteriori informazioni, consulta Esegui la migrazione a EC2 Launch v2 per istanze Windows.

Se disponi di una flotta mista o se desideri continuare a utilizzare gli agenti EC2 Launch (Windows Server 2016 e 2019) o EC2 Config (solo sistemi operativi precedenti), esegui l'aggiornamento alle versioni più recenti dei rispettivi agenti.

Gli aggiornamenti automatici sono supportati nelle seguenti combinazioni di versioni di Windows Server e agenti di avvio. Puoi attivare gli aggiornamenti automatici nella console di gestione dell'host SSM Quick Setup in Amazon EC2 Launch Agents.

Versione Windows	EC2Avvia v1	EC2Avvia v2
2016	✓	✓
2019	✓	✓
2022		✓

Per ulteriori informazioni sull'aggiornamento a EC2 Launch v2, consultaInstalla la versione più recente di EC2 Launch v2.
Per informazioni sull'aggiornamento manuale di EC2 Config, vedere. Installa l'ultima versione di EC2 Config
Per informazioni sull'aggiornamento manuale di EC2 Launch, consultaInstalla la versione più recente di EC2 Launch.

Gestione della configurazione

Amazon Machine Images (AMIs) fornisce una configurazione iniziale per un' EC2 istanza Amazon, che include il sistema operativo Windows e personalizzazioni opzionali specifiche del cliente, come applicazioni e controlli di sicurezza. Crea un catalogo AMI contenente linee di base di configurazione di sicurezza personalizzate per garantire che tutte le istanze di Windows vengano avviate con controlli di sicurezza standard. Le linee di base di sicurezza possono essere inserite in un'AMI, avviate dinamicamente all'avvio di un' EC2 istanza o impacchettate come prodotto per una distribuzione uniforme attraverso i portafogli di Service Catalog. AWS Per ulteriori informazioni sulla protezione di un'AMI, consulta Best Practices for Building an AMI.

Ogni EC2 istanza Amazon deve rispettare gli standard di sicurezza organizzativi. Non installare ruoli e funzionalità di Windows che non sono necessari e installa software per la protezione da codice dannoso (antivirus, antimalware, attenuazione degli exploit), monitora l'integrità dell'host ed esegui il rilevamento delle intrusioni. Configura il software di sicurezza per monitorare e mantenere le impostazioni di sicurezza del sistema operativo, proteggere l'integrità dei file operativi critici e avvisare eventuali deviazioni dalla linea di base di sicurezza. Considera di implementare i benchmark della configurazione di sicurezza pubblicati da Microsoft, dal Center for Internet Security (CIS) o dal National Institute of Standards and Technology (NIST). Prendi in considerazione l'utilizzo di altri strumenti Microsoft per server di applicazioni particolari, ad esempio il Best Practice Analyzer per SQL Server.

AWS i clienti possono anche eseguire valutazioni Amazon Inspector per migliorare la sicurezza e la conformità delle applicazioni distribuite su istanze Amazon. EC2 Amazon Inspector valuta automaticamente le applicazioni per individuare vulnerabilità o deviazioni dalle procedure consigliate e include una base di conoscenze di centinaia di regole mappate a standard di conformità di sicurezza comuni (ad esempio, PCI DSS) e definizioni di vulnerabilità. Esempi di regole incorporate includono la verifica se l'accesso remoto root è abilitato o se sono installate versioni software vulnerabili. Queste regole vengono aggiornate regolarmente dai ricercatori di sicurezza. AWS

Quando si proteggono le istanze di Windows, si consiglia di implementare Servizi di dominio Active Directory per abilitare un'infrastruttura scalabile, sicura e gestibile per i percorsi distribuiti. Inoltre, dopo aver avviato le istanze dalla EC2 console Amazon o utilizzando uno strumento di EC2 provisioning di Amazon, ad esempio AWS CloudFormation, è buona norma utilizzare le funzionalità native del sistema operativo, come Microsoft Windows PowerShell DSC per mantenere lo stato della configurazione nel caso in cui si verifichi una variazione della configurazione.

Gestione delle modifiche

Dopo aver applicato le linee di base di sicurezza iniziali alle EC2 istanze Amazon al momento del lancio, controlla le EC2 modifiche in corso ad Amazon per mantenere la sicurezza delle tue macchine virtuali. Stabilisci un processo di gestione delle modifiche per autorizzare e incorporare le modifiche alle AWS risorse (come gruppi di sicurezza, tabelle di routing e rete ACLs) nonché alle configurazioni del sistema operativo e delle applicazioni (ad esempio patch di Windows o delle applicazioni, aggiornamenti software o aggiornamenti dei file di configurazione).

AWS fornisce diversi strumenti per aiutare a gestire le modifiche alle AWS risorse, tra cui AWS CloudTrail AWS Config AWS CloudFormation AWS Elastic Beanstalk, e pacchetti di gestione per Systems Center Operations Manager e System Center Virtual Machine Manager. Tieni presente che Microsoft rilascia le patch di Windows il secondo martedì di ogni mese (o secondo necessità) e AWS aggiorna tutti i sistemi Windows AMIs gestiti da AWS entro cinque giorni dal rilascio di una patch da parte di Microsoft. Pertanto è importante applicare continuamente patch a tutte le configurazioni di base AMIs, aggiornare i AWS CloudFormation modelli e le configurazioni dei gruppi Auto Scaling con l' IDsAMI più recente e implementare strumenti per automatizzare la gestione delle patch delle istanze in esecuzione.

Microsoft fornisce diverse opzioni per la gestione delle modifiche al sistema operativo Windows e alle applicazioni. SCCM, ad esempio, fornisce una copertura completa del ciclo di vita delle modifiche dell'ambiente. Seleziona strumenti che soddisfino i requisiti aziendali e controllino in che modo le modifiche influiranno sulle applicazioni SLAs, sulla capacità, sulla sicurezza e sulle procedure di disaster recovery. Evita le modifiche manuali e sfrutta invece software di gestione automatizzata della configurazione o strumenti da riga di comando come EC2 Run Command o Windows PowerShell per implementare processi di modifica ripetibili e basati su script. Per rispondere a questo requisito, utilizza bastion host con logging avanzato per tutte le interazioni con le istanze di Windows per garantire che tutti gli eventi e le attività vengano registrati automaticamente.

Controllo e responsabilità per le istanze Amazon EC2 Windows

AWS CloudTrail e Regole di AWS Config fornisci funzionalità di controllo e tracciamento delle modifiche per controllare le modifiche alle risorse AWS . AWS Config Configura i log di eventi di Windows per inviare file di log locali a un sistema centralizzato di gestione dei log per conservare i dati di log per l'analisi del comportamento operativo e di sicurezza. Microsoft System Center Operations Manager (SCOM) aggrega informazioni sulle applicazioni Microsoft distribuite nelle istanze Windows e applica set di regole preconfigurati e personalizzati in base ai ruoli e ai servizi dell'applicazione. I System Center Management Pack si basano su SCOM per fornire indicazioni sulla configurazione e monitoraggio specifiche delle applicazioni. Questi Management Pack supportano Windows Server Active Directory, SharePoint Server 2013, Exchange Server 2013, Lync Server 2013, SQL Server 2014 e molti altri server e tecnologie.

Oltre agli strumenti di gestione dei sistemi Microsoft, i clienti possono utilizzare Amazon CloudWatch per monitorare l'utilizzo della CPU dell'istanza, le prestazioni del disco, l'I/O di rete ed eseguire controlli dello stato di host e istanze. Gli agenti di avvio EC2 Config, EC2 Launch e EC2 Launch v2 forniscono l'accesso a funzionalità avanzate aggiuntive per le istanze di Windows. Ad esempio, possono esportare i log di sistema, sicurezza, applicazioni e Internet Information Services (IIS) di Windows in CloudWatch log che possono quindi essere integrati con i CloudWatch parametri e gli allarmi di Amazon. I clienti possono anche creare script che esportano i contatori delle prestazioni di Windows in metriche CloudWatch personalizzate di Amazon.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione degli aggiornamenti

Key pairs (Coppie di chiavi)