Amazon EC2 中的組態管理 - Amazon Elastic Compute Cloud

Amazon EC2 中的組態管理

Amazon Machine Image (AMI) 為 Amazon EC2 執行個體提供初始配置,其中包括 Windows 作業系統和選用的客戶特定自訂,例如應用程式和安全控制。建立包含自訂安全組態基準的 AMI 目錄,以確保所有 Windows 執行個體都搭配標準安全控制來啟動。安全基準可以製作成 AMI,以在 EC2 執行個體啟動時進行動態引導,或者將其封裝為透過 AWS Service Catalog 產品組合進行統一分發的產品。如需保護 AMI 的詳細資訊,請參閱建置 AMI 的最佳實務

每個 Amazon EC2 執行個體都應該遵守組織安全標準。不要勿安裝任何不需要的 Windows 角色和功能,並安裝軟體以防範惡意程式碼 (防毒、反惡意軟體、漏洞防護)、監控主機完整性,以及執行入侵偵測。設定安全軟體以監控和維護作業系統安全設定、保護重要作業系統檔案的完整性,以及在偏離安全基準時發出提醒。考慮實作由 Microsoft、網際網路安全中心 (CIS) 或國家標準技術研究所 (NIST) 所發佈的建議安全組態基準。考慮使用其他適用於特定應用程式伺服器的 Microsoft 工具,例如 Best Practice Analyzer for SQL Server

AWS 客戶也可以執行 Amazon Inspector 評定,以提升 Amazon EC2 執行個體上所部署應用程式的安全性或合規性。Amazon Inspector 會自動評定應用程式是否有漏洞或偏離最佳實務,並包含一個知識庫,其中有數百個映射至常見安全合規性標準 (例如 PCI DSS) 和漏洞定義的規則。內建規則的範例包括檢查是否已啟用遠端根登入,或是否已安裝易受攻擊的軟體版本。AWS 安全研究人員會定期更新這些規則。