Best practice per Windows su Amazon EC2 - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice per Windows su Amazon EC2

Per garantire i migliori risultati dall'esecuzione di Windows su Amazon EC2, ti consigliamo di eseguire le seguenti best practice.

Aggiornamento dei driver Windows

Mantieni aggiornati i driver su tutte le istanze di Windows EC2 per accertarti che le correzioni più recenti e i miglioramenti di prestazioni siano applicati a tutta la tua serie di istanze. A seconda del tipo di istanza, devi aggiornare i driver AWS PV, Amazon ENA e AWS NVMe.

Avvio di nuove istanze con le AMI Windows più recenti

AWS rilascia nuove AMI Windows ogni mese, che contengono le patch, i driver e gli agenti di lancio più recenti del sistema operativo. Quando avvii nuove istanze o quando crei immagini personalizzate, devi utilizzare le AMI più recenti.

Test delle prestazioni del sistema/delle applicazioni prima di eseguire la migrazione

La migrazione delle applicazioni aziendali a AWS può comportare molte variabili e configurazioni. È opportuno testare sempre le prestazioni della soluzione EC2 per assicurarsi di quanto segue:

  • I tipi di istanza sono configurati correttamente, incluse la dimensione dell'istanza, le reti migliorate e la tenancy (condivisa o dedicata).

  • La topologia dell'istanza è idonea per il carico di lavoro e, laddove necessario, impiega caratteristiche ad alte prestazioni (tenancy dedicata, gruppi di collocamento, volumi archivio dell'istanza, bare metal).

Aggiornamento degli agenti di avvio

Esegui l'aggiornamento all'agente EC2Launch v2 più recente per assicurarti che le ultime correzioni vengano applicate a tutto il parco istanze. Per ulteriori informazioni, consulta Migrazione a EC2Launch v2.

Se si utilizza un parco istanze misto o si desidera continuare a utilizzare gli agenti EC2Launch (Windows Server 2016 e 2019) o EC2 Config (solo sistemi operativi legacy), eseguire l'aggiornamento alle versioni più recenti dei rispettivi agenti.

Gli aggiornamenti automatici sono supportati nelle seguenti combinazioni di versioni di Windows Server e agenti di avvio. Puoi attivare gli aggiornamenti automatici nella console SSM Quick Setup Host Management in Agenti di avvio Amazon EC2.

Versione Windows EC2Launch v1 EC2Launch v2
2016
2019
2022
Sicurezza

Quando si proteggono le istanze di Windows, si consiglia di implementare Servizi di dominio Active Directory per abilitare un'infrastruttura scalabile, sicura e gestibile per i percorsi distribuiti. Inoltre, dopo aver avviato le istanze dalla console Amazon EC2 o utilizzando uno strumento di provisioning Amazon EC2, ad esempio, è buona norma utilizzare le funzionalità native del sistema operativo, AWS CloudFormationcome Microsoft PowerShell Windows DSC, per mantenere lo stato della configurazione nel caso in cui si verifichi una variazione della configurazione.

Le istanze Windows AWS devono rispettare le seguenti best practice di sicurezza di alto livello:

  • Accesso minimo: Viene concesso l'accesso solo a sistemi e percorsi attendibili e previsti. Questo vale per tutti i prodotti Microsoft, ad esempio Active Directory, server di produttività aziendale Microsoft e servizi infrastrutturali quali Servizi di desktop remoto, server proxy inverso, server Web IIS e altri. Utilizza AWS funzionalità come i gruppi di sicurezza delle istanze Amazon EC2, le liste di controllo degli accessi alla rete (ACL) e le sottoreti pubbliche/private di Amazon VPC per stratificare la sicurezza in più posizioni in un'architettura. All'interno di un'istanza Windows, i clienti possono utilizzare Windows Firewall per migliorare ulteriormente la strategia all'interno della loro distribuzione. defense-in-depth Installare solo i componenti e le applicazioni del sistema operativo necessari per il funzionamento del sistema come progettato. Configurare i servizi infrastrutturali, ad esempio IIS, per l'esecuzione con account di servizio o per l'utilizzo di funzionalità quali le identità del pool di applicazioni per accedere alle risorse localmente e in remoto all'intera infrastruttura.

  • Privilegio minimo: Determina l'insieme minimo di privilegi necessari per le istanze e gli account per svolgere le loro funzioni. Limita tali server e utenti in modo da consentire solo queste autorizzazioni definite. Utilizza tecniche quali i controlli di accesso basati sui ruoli per ridurre l'area di superficie degli account amministrativi e creare i ruoli più limitati per eseguire un'attività. Utilizza le funzionalità del sistema operativo, ad esempio Encrypting File System (EFS) all'interno di NTFS per crittografare i dati sensibili inattivi e controllare l'accesso dell'applicazione e dell'utente ad esso.

  • Gestione della configurazione: crea una configurazione server di base che incorpori patch di up-to-date sicurezza e suite di protezione basate su host che includono antivirus, antimalware, rilevamento/prevenzione delle intrusioni e monitoraggio dell'integrità dei file. Valuta ogni server rispetto alla linea di base registrata corrente per identificare e contrassegnare eventuali deviazioni. Assicura che ogni server sia configurato per generare e archiviare in modo sicuro i dati di log e di controllo appropriati. Per ulteriori informazioni, consulta Ami WindowsAWS.

  • Gestione delle modifiche: Crea processi per controllare le modifiche alle linee di base della configurazione del server e lavora verso processi di modifica completamente automatizzati. Inoltre, sfrutta Just Enough Administration (JEA) con Windows DSC per limitare l'accesso amministrativo alle funzioni minime richieste. PowerShell

  • Gestione patch: implementa processi che applicano patch, aggiornano e proteggono regolarmente il sistema operativo e le applicazioni nelle istanze EC2. Per ulteriori informazioni, consulta Aggiornamento dell'istanza Windows.

  • Log di controllo: Controlla l'accesso e tutte le modifiche apportate alle istanze Amazon EC2 per verificare l'integrità del server e garantire che vengano apportate solo le modifiche autorizzate. Sfrutta funzionalità come Enhanced Logging for IIS per migliorare le funzionalità di registrazione predefinite. AWS funzionalità come VPC Flow Logs e AWS CloudTrail sono disponibili anche per controllare l'accesso alla rete, incluse rispettivamente le richieste consentite/negate e le chiamate API.

Usa AWS Security Hub i controlli per monitorare le tue risorse Amazon EC2 rispetto alle best practice e agli standard di sicurezza. Per ulteriori informazioni sull'utilizzo di Security Hub, consulta Controlli Amazon Elastic Compute Cloud nella Guida per l'utente diAWS Security Hub .

Archiviazione

  • Utilizza volumi Amazon EBS distinti per il sistema operativo e per i dati. Assicurati che il volume contenente i dati sia persistente dopo l'interruzione dell'istanza. Per ulteriori informazioni, consulta Conservare i dati quando un'istanza viene terminata.

  • Utilizza l'instance store disponibile per l'istanza per archiviare i dati temporanei. Ricorda che i dati archiviati nell'instance store vengono eliminati quando arresti o interrompi l'istanza. Se utilizzi un instance store per lo storage dei database, assicurati di disporre di un cluster con un fattore di replica che garantisca la tolleranza ai guasti.

  • Crittografare volumi e snapshot EBS. Per ulteriori informazioni, consulta Amazon EBS encryption nella Amazon EBS User Guide.

Gestione delle risorse

  • Utilizza i metadati dell'istanza e i tag di risorsa personalizzati per monitorare e identificare le risorse AWS . Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente e Tagging delle risorse Amazon EC2..

  • Visualizza le restrizioni correnti valide per Amazon EC2. Pianifica le richieste di incremento dei limiti con un certo anticipo rispetto a quando ne avrai effettivamente bisogno. Per ulteriori informazioni, consulta Service Quotas di Amazon EC2.

  • Utilizzala AWS Trusted Advisor per ispezionare il tuo AWS ambiente e poi formulare raccomandazioni quando esistono opportunità per risparmiare denaro, migliorare la disponibilità e le prestazioni del sistema o contribuire a colmare le lacune di sicurezza. Per ulteriori informazioni, consulta AWS Trusted Advisor nella Guida per l'utente diAWS Support .

Backup e ripristino

  • Esegui regolarmente il backup dei volumi EBS utilizzando gli snapshot Amazon EBS e crea un' Amazon Machine Image (AMI) dall'istanza per salvare la configurazione come modello per l'avvio delle istanze future. Per ulteriori informazioni sui AWS servizi che aiutano a raggiungere questo caso d'uso, consulta AWS BackupAmazon Data Lifecycle Manager.

  • Distribuisci i componenti di importanza critica dell'applicazione in più zone di disponibilità e replica i dati di conseguenza.

  • Progetta le applicazioni in modo che siano in grado di gestire l'indirizzamento IP dinamico quando l'istanza viene riavviata. Per ulteriori informazioni, consulta Indirizzamento IP per le istanze Amazon EC2.

  • Esegui il monitoraggio degli eventi e rispondi agli eventi. Per ulteriori informazioni, consulta Monitoraggio di Amazon EC2.

  • Assicurati di essere preparato a gestire situazioni di failover. Come soluzione di base puoi collegare manualmente un'interfaccia di rete o un indirizzo IP elastico a un'istanza di sostituzione. Per ulteriori informazioni, consulta Interfacce di rete elastiche. Per una soluzione automatizzata, puoi utilizzare Amazon EC2 Auto Scaling. Per ulteriori informazioni, consulta Guida per l'utente di Amazon EC2 Auto Scaling.

  • Esegui regolarmente dei test del processo di recupero di istanze e volumi Amazon EBS per garantire che i dati e i servizi vengano ripristinati correttamente.

Reti

  • Imposta il valore time-to-live (TTL) per le tue applicazioni su 255, per IPv4 e IPv6. Se si utilizza un valore inferiore, esiste il rischio che il TTL scada mentre il traffico dell'applicazione è in transito, causando problemi di raggiungibilità per le istanze.