Windows 執行個體的安全性最佳做法 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Windows 執行個體的安全性最佳做法

我們建議您遵循 Windows 執行個體的這些安全性最佳做法。

高階安全性最佳做法

您應該遵守下列適用於 Windows 執行個體的高階安全性最佳做法:

  • 最少存取權 — 僅授予對受信任且預期的系統和位置的存取權。這適用於所有 Microsoft 產品,例如 Active Directory、Microsoft 企業生產力伺服器,以及基礎結構服務,例如遠端桌面服務、反向代理伺服器、IIS網頁伺服器等。使用 Amazon EC2 執行個體安全群組、網路存取控制清單 (ACLs) 和 Amazon VPC 公有/私有子網路等 AWS 功能,將架構中多個位置的安全性分層。在 Windows 執行個體中,客戶可以使用 Windows 防火牆在部署中進一步分層 defense-in-depth 策略。僅安裝系統依設計運作所需的作業系統元件和應用程式。設定基礎結構服務,例如IIS在服務帳戶下執行,或使用應用程式集區識別等功能,在您的基礎結構本機和遠端存取資源。

  • 最小權限 — 決定執行個體和帳戶執行其功能所需的最低權限集。限制這些伺服器和使用者只允許這些已定義的許可。使用角色型存取控制這類技術來減少管理帳戶的表面區域,並建立最受限的角色來完成任務。使用作業系統功能,例如加密檔案系統 (EFS) NTFS 來加密靜態的敏感資料,並控制應用程式和使用者存取。

  • 組態管理 — 建立基準伺服器組態,其中包含 up-to-date 安全性修補程式和主機型保護套件,其中包括防毒、反惡意程式碼、入侵偵測/預防,以及檔案完整性監控。根據目前記錄的基準來評定每部伺服器,以識別並標示任何偏差。確保每部伺服器都已設定為產生並安全地存放適當的日誌和稽核資料。

  • 變更管理 — 建立程序以控制伺服器組態基準的變更,並朝著完全自動化的變更流程進行。此外,利用 Windows 的「剛夠管理」(JEA), PowerShellDSC將系統管理存取限制為最低限度的必要功能。

  • 修補程式管理 — 實作可定期修補、更新及保護EC2執行個體上作業系統和應用程式的程序。

  • 稽核日誌 — 稽核 Amazon EC2 執行個體的存取和所有變更,以驗證伺服器完整性並確保僅進行授權的變更。利用增強型記錄等功能IIS來增強預設記錄功能。 AWS 諸如VPC流程記錄等功能, AWS CloudTrail 也可用於稽核網路存取,包括分別允許/拒絕的要求和API呼叫。

更新管理

為了確保在 Amazon 上執行 Windows 伺服器時獲得最佳結果EC2,我們建議您實作下列最佳實務:

如需如何將 Windows 執行個體升級或遷移至較新版 Windows Server 的資訊,請參閱將EC2視窗執行個體升級至較新版本的視窗伺服器

設定視窗更新

根據預設,從 AWS Windows 伺服器啟動的執行個體AMIs不會透過 Windows 更新接收更新。

更新 Windows 驅動程式

維護所有 Windows EC2 執行個體上的最新驅動程式,以確保在您的叢集中套用最新的問題修正和效能增強功能。根據您的執行個體類型,您應該更新 AWS PV ENA、Amazon 和 AWS NVMe驅動程式。

  • 使用SNS主題接收新驅動程式版本的更新。

  • 使用 AWS Systems Manager 自動化手冊 AWSSupport- 輕鬆地UpgradeWindowsAWSDrivers將更新套用到您的執行個體。

使用最新的視窗啟動執行個體 AMIs

AWS AMIs每個月都會發佈新的 Windows,其中包含最新的作業系統修補程式、驅動程式和啟動代理程式。AMI當您啟動新執行個體或建立自己的自訂映像檔時,您應該利用最新版本。

在遷移前測試系統/應用程式效能

將企業應用程式移轉至 AWS 可能涉及許多變數和組態。始終測試EC2解決方案的性能以確保:

  • 已正確配置執行個體類型,包括執行個體大小、增強型聯網和租用 (共用或專用)。

  • 執行個體拓撲適用於工作負載,並在必要時運用高效能功能,例如專用租用、置放群組、執行個體存放區磁碟區、裸機。

更新啟動代理程式

更新至最新的 EC2Launch v2 代理程式,以確保在您的叢集中套用最新的增強功能。如需詳細資訊,請參閱針對視窗執行個體遷移至 EC2Launch v2

如果您有混合的叢集,或者想要繼續使用 EC2Launch (Windows Server 2016 和 2019) 或 EC2 Config (僅限舊版作業系統) 代理程式,請更新為相應代理程式的最新版本。

下列 Windows Server 版本和啟動代理程式組合支援自動更新。您可以在 Amazon EC2 Launch 代理程式下的SSM快速設定主機管理主控台中選擇加入自動更新。

Windows 版本 EC2Launch v1 EC2Launch v2
2016
2019
2022

組態管理

Amazon Machine Image (AMIs) 提供 Amazon EC2 執行個體的初始組態,其中包括 Windows 作業系統和選用的客戶特定自訂項目,例如應用程式和安全控制。建立包含自訂安全性組態基準的AMI目錄,以確保所有 Windows 執行個體都以標準安全性控制項啟動。安全性基準可在EC2執行個AMI體啟動時進行動態啟動載入,或封裝為產品,以便透過 AWS Service Catalog 產品組合進行統一發佈。如需有關保護安全的詳細資訊AMI,請參閱建置AMI.

每個 Amazon EC2 執行個體都應遵守組織安全標準。不要勿安裝任何不需要的 Windows 角色和功能,並安裝軟體以防範惡意程式碼 (防毒、反惡意軟體、漏洞防護)、監控主機完整性,以及執行入侵偵測。設定安全軟體以監控和維護作業系統安全設定、保護重要作業系統檔案的完整性,以及在偏離安全基準時發出提醒。請考慮實作 Microsoft、網際網路安全中心 () 或美國國家標準與技術研究所 (CIS) 所發行的建議安全性設定效能標竿。NIST請考慮針對特定的應用程式伺服器使用其他 Microsoft 工具,例如伺服SQL器的最佳作法分析程式。

AWS 客戶也可以執行 Amazon Inspector 評估,以改善 Amazon 執行EC2個體上部署之應用程式的安全性和合規性。Amazon Inspector 會自動評估應用程式的弱點或偏離最佳實務,並包含數百個與常見安全合規標準 (例如 PCIDSS) 和弱點定義對應的規則的知識庫。內建規則的範例包括檢查是否已啟用遠端根登入,或是否已安裝易受攻擊的軟體版本。這些規則由 AWS 安全研究人員定期更新。

保護 Windows 執行個體時,我們建議您實作 Active Directory Domain Services,為分散式位置啟用可擴展、安全且可管理的基礎設施。此外,從 Amazon EC2 主控台啟動執行個體或使用 Amazon EC2 佈建工具 (例如) 後 AWS CloudFormation,最好在發生組態偏移時利用原生作業系統功能 (例如 Microsoft Windows) PowerShell DSC 來維護組態狀態。

變更管理

在啟動時將初始安全基準套用至 Amazon EC2 執行個體後,請控制進行中的 Amazon EC2 變更以維護虛擬機器的安全性。建立變更管理程序,以授權並納入 AWS 資源 (例如安全性群組、路由表和網路ACLs) 的變更,以及作業系統和應用程式組態 (例如 Windows 或應用程式修補、軟體升級或組態檔案更新)。

AWS 提供數種工具來協助管理 AWS 資源的變更 AWS CloudTrail AWS Config AWS CloudFormation AWS Elastic Beanstalk,包括系統中心作業管理員和系統中心虛擬機器管理員的管理組件 AWS OpsWorks、、和管理組件。請注意,Microsoft 在每個月的第二個星期二(或根據需要)發布 Windows 修補程序,並在 Microsoft 發布修補程序後的五天 AWS 內 AWS 更新所有AMIs管理的 Windows。因此,請務必使用最新版本持續修補所有基準AMIs、更新 AWS CloudFormation 範本和 Auto Scaling 群組組態 AMIIDs,並實作工具以自動執行執行的執行個體修補程式管理。

Microsoft 提供了數個選項,用於管理 Windows 作業系統和應用程式變更。SCCM例如,提供環境修改的完整生命週期涵蓋範圍。選擇可滿足業務需求並控制變更對應用程式SLAs、容量、安全性和災難復原程序的影響方式的工具。避免手動變更,而是利用自動化組態管理軟體或命令列工具 (例如EC2執行命令或 Windows) PowerShell 來實作可重複指令碼的變更程序。為了協助滿足此需求,請將具有增強記錄功能的堡壘主機用於與 Windows 執行個體的所有互動,以確保自動記錄所有事件和任務。

Amazon EC2 視窗執行個體的稽核與責任

AWS CloudTrail、 AWS Config,並 AWS Config 規則 提供稽核與變更追蹤功能,以便稽核 AWS 資源變更。將 Windows 事件日誌設定為將本機日誌檔傳送至集中式日誌管理系統,來保留日誌資料以進行安全性和操作行為分析。Microsoft 系統中心作業管理員 (SCOM) 彙總部署到 Windows 執行個體的 Microsoft 應用程式的相關資訊,並根據應用程式角色和服務套用預先設定和自訂規則集。以系統中心管理組件為基礎,SCOM提供應用程式特定的監視和組態指引。這些管理組件支援視窗伺服器作用中目錄、 SharePoint 伺服器 2013 年、交換伺服器 2013 年、Lync 伺服器 2013 年、SQL伺服器 2014 年,以及更多的伺服器和技術。

除了 Microsoft 系統管理工具之外,客戶還可以使用 Amazon CloudWatch 監控執行個體使用CPU率、磁碟效能、網路 I/O,以及執行主機和執行個體狀態檢查。EC2ConfigEC2Launch、和 EC2Launch v2 啟動代理程式可讓您存取 Windows 執行個體的其他進階功能。例如,他們可以將 Windows 系統、安全性、應用程式和網際網路資訊服務 (IIS) 記錄匯出到 CloudWatch 日誌,然後可與 Amazon CloudWatch 指標和警示整合。客戶也可以建立將 Windows 效能計數器匯出至 Amazon CloudWatch 自訂指標的指令碼。