Práticas recomendadas de segurança para instâncias do Windows
Recomendamos seguir estas práticas recomendadas de segurança para as instâncias do Windows.
Conteúdo
Práticas recomendadas de segurança de alto nível
Você deve seguir as seguintes práticas recomendadas de segurança de alto nível para as instâncias do Windows:
-
Menos acesso: conceda acesso somente a sistemas e locais confiáveis e esperados. Isso se aplica a todos os produtos da Microsoft, como o Active Directory, servidores de produtividade empresarial da Microsoft e serviços de infraestrutura, como Serviços de área de trabalho remota, servidores de proxy reverso, servidores Web IIS e outros. Use os recursos da AWS, como os grupos de segurança da instância do Amazon EC2, listas de controle de acesso (ACLs) à rede e sub-redes públicas/privadas da Amazon VPC, para colocar a segurança em camadas em vários locais em uma arquitetura. Em uma instância do Windows, os clientes podem usar o Firewall do Windows para colocar mais uma camada na estratégia de defesa completa em sua implantação. Instale apenas os componentes e aplicativos do sistema operacional necessários para que o sistema funcione conforme projetado. Configure serviços de infraestrutura, como o IIS, para serem executados em contas de serviço ou para usar recursos como identidades de grupo de aplicações para acessar recursos local e remotamente na infraestrutura.
-
Privilégio mínimo: determine o conjunto mínimo de privilégios de que as instâncias e contas precisam para executar as funções. Restringir esses servidores e usuários para permitir apenas essas permissões definidas. Use técnicas, como controles de acesso baseados em função, para reduzir a área de superfície das contas administrativas e criar as funções mais limitadas para realizar uma tarefa. Use recursos do sistema operacional, como o Encrypting File System (EFS – Criptografia do sistema de arquivos) dentro do NTFS, para criptografar dados confidenciais em repouso e controlar o acesso de aplicações e de usuários a ele.
-
Gerenciamento de configuração: crie uma configuração de linha de base do servidor que incorpore a aplicação de patches de segurança atualizados e pacotes de proteção baseados em host que incluem antivírus, antimalware, detecção e prevenção de invasões, e monitoramento da integridade dos arquivos. Avalie cada servidor em relação à linha de base registrada atual para identificar e sinalizar quaisquer desvios. Verifique se cada servidor está configurado para gerar e armazenar com segurança os dados adequados de log e auditoria.
-
Gerenciamento de alterações: crie processos para controlar as alterações nas linhas de base da configuração do servidor e trabalhe em processos de alterações totalmente automatizados. Além disso, aproveite Just Enough Administration (JEA) com o Windows PowerShell DSC para limitar o acesso administrativo às funções mínimas necessárias.
-
Gerenciamento de patches: implemente processos que corrijam, atualizem e protejam o sistema operacional e as aplicações, regularmente, nas instâncias do EC2.
-
Logs de auditoria: audite o acesso e todas as alterações nas instâncias do Amazon EC2 para verificar a integridade do servidor e garantir que somente alterações autorizadas sejam feitas. Utilize funcionalidades como Enhanced Log for IIS (Log aprimorado para IIS)
para melhorar os recursos de registo de log padrão. Os recursos da AWS como Logs de fluxo da VPC e AWS CloudTrail também estão disponíveis para auditar o acesso à rede, incluindo solicitações permitidas/negadas e chamadas de API, respectivamente.
Gerenciamento de atualizações
Para garantir os melhores resultados ao executar o Windows Server no Amazon EC2, recomendamos implantar as seguintes práticas recomendadas:
-
Reiniciar a instância do Windows após instalar as atualizações. Para ter mais informações, consulte Reinicializar a instância.
Para obter informações sobre como atualizar ou migrar uma instância do Windows para uma versão mais recente do Windows Server, consulte Atualizar uma instância do Windows do EC2 para uma versão mais recente do Windows Server.
Configurar o Windows Update
Por padrão, as instâncias iniciadas usando AMIs do AWS Windows Server não recebem atualizações por meio do Windows Update.
Atualizar drivers do Windows
Mantenha os drivers mais recentes em todas as instâncias do EC2 do Windows para garantir que as correções de problemas e melhorias de performance mais recentes sejam aplicadas em toda a sua frota. Dependendo do tipo de instância, você deve atualizar os drivers PV da AWS, do Amazon ENA e do AWS NVMe.
-
Use tópicos do SNS para receber atualizações de novos lançamentos de driver.
-
Use o runbook do AWS Systems Manager Automation AWSSupport-UpgradeWindowsAWSDrivers para aplicar facilmente as atualizações em todas as instâncias.
Executar instâncias usando as AMIs mais recentes do Windows
A AWS realiza o lançamento de AMIs do Windows todos os meses. Essas AMIs contêm os patches, os drivers e os agentes de inicialização mais recentes para o sistema operacional. É necessário utilizar a AMI mais recente ao executar novas instâncias ou ao criar suas próprias imagens personalizadas.
-
Para visualizar atualizações para cada versão das AMIs do Windows na AWS, consulte Histórico de versões da AMI do Windows na AWS.
-
Para criar com as AMIs mais recentes disponíveis, consulte Consulta para a AMI mais recente do Windows usando o Systems Manager Parameter Store
. -
Para obter mais informações sobre as AMIs do Windows especializadas que você pode usar para executar instâncias para o seu banco de dados e casos de uso de proteção de conformidade, consulte Specialized Windows AMIs na Referência de AMI do Windows da AWS.
Testar a performance do sistema/aplicação antes da migração
Migrar aplicativos empresariais para a AWS pode envolver muitas variáveis e configurações. Sempre teste a performance da solução do EC2 para garantir que:
-
Os tipos de instância estão configurados corretamente, incluindo o tamanho da instância, as redes avançadas e a locação (compartilhada ou dedicada).
-
A topologia da instância é apropriada para a workload e utiliza recursos de alta performance quando necessário, com locação dedicada, grupos de alocação, volumes de armazenamento de instâncias e bare metal.
Atualizar agentes de inicialização
Atualize para o agente EC2Launch v2 mais recente para garantir que os aprimoramentos mais recentes sejam aplicados em toda a sua frota. Para ter mais informações, consulte Migrar para o EC2Launch v2 para instâncias do Windows.
Se você tiver uma frota mista ou quiser continuar usando os agentes EC2Launch (Windows Server 2016 e 2019) ou EC2 Config (somente SO herdado), atualize para as versões mais recentes dos respectivos agentes.
Há suporte para as atualizações automáticas nas seguintes combinações de agentes de execução e versão do Windows Server. É possível optar por receber atualizações automáticas no console SSM Quick Setup Host Management em Amazon EC2 Launch Agents.
| Versão do Windows | EC2Launch v1 | EC2Launch v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Para obter mais informações sobre a atualização para o EC2Launch v2, consulte Instalar a versão mais recente do EC2Launch v2.
-
Para obter informações sobre como atualizar manualmente o EC2Config, consulte Instalar a versão mais recente do EC2Config.
-
Para obter informações sobre como atualizar manualmente o EC2Launch, consulte Instalar a versão mais recente do EC2Launch.
Gerenciamento de configuração
As imagens de máquina da Amazon (AMIs) fornecem uma configuração inicial para uma instância do Amazon EC2, que inclui o sistema operacional Windows e personalizações opcionais específicas do cliente, como aplicações e controles de segurança. Crie um catálogo de AMI que contém linhas de base de configuração de segurança personalizadas para garantir que todas as instâncias do Windows sejam iniciadas com controles de segurança padrão. As linhas de base de segurança podem ser incorporadas em uma AMI, inicializadas dinamicamente quando uma instância do EC2 é executada ou empacotadas como um produto para distribuição uniforme por meio de portfólios do AWS Service Catalog. Para obter mais informações sobre como proteger uma AMI, consulte Práticas recomendadas para criar uma AMI.
Cada instância do Amazon EC2 deve aderir aos padrões de segurança organizacional. Não instale nenhuma função e recurso do Windows que não seja necessário e instale software (antivírus, antimalware, mitigação de vulnerabilidades) para proteger contra códigos mal-intencionados, monitore a integridade do host e execute a detecção de intrusões. Configure o software de segurança para monitorar e manter as configurações de segurança do SO, proteger a integridade de arquivos críticos do SO e alertar sobre desvios da linha de base de segurança. Considere implementar benchmarks recomendados de configuração de segurança publicados pela Microsoft, pelo Centro de Segurança da Internet (CIS) ou pelo National Institute of Standards and Technology (NIST). Considere usar outras ferramentas da Microsoft para servidores de aplicações específicos, como o Analisador de melhores práticas para SQL Server
Os clientes da AWS também podem executar avaliações do Amazon Inspector para aprimorar a segurança e a conformidade das aplicações implantadas nas instâncias do Amazon EC2. O Amazon Inspector avalia automaticamente as aplicações quanto a vulnerabilidades ou desvios das práticas recomendadas e inclui uma base de conhecimento de centenas de regras mapeadas para padrões comuns de conformidade de segurança (por exemplo, PCI DSS) e definições de vulnerabilidade. Exemplos de regras incorporadas incluem verificar se o início remoto de sessão raiz está habilitado ou se versões de software vulneráveis estão instaladas. Essas regras são atualizadas regularmente pelos pesquisadores de segurança da AWS.
Ao proteger instâncias do Windows, recomendamos que você implemente os Serviços de Domínio do Active Directory para habilitar uma infraestrutura escalável, segura e gerenciável para locais distribuídos. Além disso, depois de iniciar instâncias por meio do console do Amazon EC2 ou usar uma ferramenta de provisionamento do Amazon EC2, como AWS CloudFormation, é recomendável utilizar recursos nativos do SO, como o Microsoft Windows PowerShell DSC
Gerenciamento de alterações
Depois que as linhas de base de segurança iniciais forem aplicadas às instâncias do Amazon EC2 durante a execução, controle as alterações contínuas do Amazon EC2 para manter a segurança das máquinas virtuais. Estabeleça um processo de gerenciamento de alterações para autorizar e incorporar alterações aos recursos da AWS (como grupos de segurança, tabelas de rotas e ACLs de rede), bem como a configurações do SO e de aplicações (como aplicação de patches do Windows ou da aplicação, atualizações de software ou atualizações de arquivos de configuração).
A AWS fornece várias ferramentas para ajudar a gerenciar alterações nos recursos da AWS, incluindo o AWS CloudTrail, o AWS Config, o AWS CloudFormation, o AWS Elastic Beanstalk, o AWS OpsWorks, e pacotes de gerenciamento para o Systems Center Operations Manager e o System Center Virtual Machine Manager. Observe que a Microsoft lança patches do Windows na segunda terça-feira de cada mês (ou conforme necessário), e a AWS atualiza todas as AMIs do Windows gerenciadas pela AWS em até cinco dias após a Microsoft lançar um patch. Portanto, é importante corrigir continuamente todas as AMIs de linha de base, atualizar modelos do AWS CloudFormation e configurações de grupo de Auto Scaling com os IDs de AMI mais recentes e implementar ferramentas para automatizar o gerenciamento de patches de instâncias em execução.
A Microsoft fornece várias opções para gerenciar o sistema operacional Windows e as alterações de aplicações. O SCCM, por exemplo, fornece cobertura completa do ciclo de vida das modificações do ambiente. Selecione ferramentas que atendam aos requisitos comerciais e controlem como as alterações afetarão os SLAs de aplicações, a capacidade, a segurança e os procedimentos de recuperação de desastres. Evite alterações manuais e, em vez disso, utilize o software de gerenciamento de configuração automatizado ou ferramentas da linha de comando, como o Run Command do EC2 ou o Windows PowerShell, para implementar processos de alteração com script e repetíveis. Para ajudar com esse requisito, use bastion hosts com registro em log aprimorado para todas as interações com suas instâncias do Windows para garantir que todos os eventos e tarefas sejam gravados automaticamente.
Auditoria e responsabilidade para instâncias do Windows do Amazon EC2
O AWS CloudTrail, o AWS Config e o Regras do AWS Config fornecem recursos de auditoria e controle de alterações para a auditoria de alterações de recursos da AWS. Configure os logs de eventos do Windows para enviar arquivos de log locais a um sistema centralizado de gerenciamento de logs a fim de preservar os dados de log para a análise de comportamento operacional e de segurança. O Microsoft System Center Operations Manager (SCOM) agrega informações sobre aplicações da Microsoft implantadas em instâncias do Windows e aplica conjuntos de regras pré-configurados e personalizados com base em funções e serviços de aplicações. Os Pacotes de Gerenciamento do System Center são baseados no SCOM para fornecer monitoramento e orientações de configuração específicos da aplicação. Esses Pacotes de Gerenciamento
Além das ferramentas de gerenciamento de sistemas da Microsoft, os clientes podem usar o Amazon CloudWatch para monitorar a utilização da CPU da instância, a performance do disco, a E/S da rede e realizar verificações de status do host e da instância. Os agentes de inicialização EC2Config, EC2Launch e EC2Launch v2 fornecem acesso a recursos avançados adicionais para instâncias do Windows. Por exemplo, eles podem exportar logs do sistema, de segurança, de aplicações e de Serviços de Informações da Internet (IIS) do Windows para o CloudWatch Logs, os quais poderão ser integrados a métricas e alarmes do Amazon CloudWatch. Os clientes também podem criar scripts que exportam contadores de performance do Windows para métricas personalizadas do Amazon CloudWatch.
