Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Sicherheit in Windows-Instances
Es wird empfohlen, die folgenden bewährten Methoden für die Sicherheit in Ihren Windows-Instances zu befolgen.
Inhalt
Bewährte Methoden für die Sicherheit auf hohem Niveau
Für Ihre Windows Instances sollten Sie die folgenden bewährten Methoden für die Sicherheit auf hohem Niveau einhalten:
-
Geringster Zugriff – Gewähren Sie Zugriff nur auf vertrauenswürdige und erwartete Systeme und Speicherorte. Dies gilt für alle Microsoft-Produkte wie Active Directory, Microsoft-Geschäftsproduktivitätsserver und Infrastruktur-Services wie Remote Desktop-Dienste, Reverse-Proxy-Server, IIS-Webserver usw. Verwenden Sie AWS Funktionen wie EC2 Amazon-Instance-Sicherheitsgruppen, Netzwerk-Zugriffskontrolllisten (ACLs) und öffentliche/private Amazon VPC-Subnetze, um die Sicherheit über mehrere Standorte in einer Architektur zu verteilen. Innerhalb einer Windows-Instance können Kunden die Windows-Firewall verwenden, um eine weitere defense-in-depth Strategie innerhalb ihrer Implementierung zu entwickeln. Installieren Sie nur die Betriebssystemkomponenten und -anwendungen, die für die gewünschte Funktion des Systems erforderlich sind. Konfigurieren Sie Infrastruktur-Services wie IIS für die Ausführung unter Servicekonten oder für die Verwendung von Funktionen wie Anwendungspool-Identitäten, um lokal und remote auf Ressourcen in Ihrer gesamten Infrastruktur zuzugreifen.
-
Geringste Berechtigung – Bestimmen Sie die Mindestberechtigungen, die Instances und Konten benötigen, um ihre Funktionen auszuführen. Schränken Sie diese Server und Benutzer so ein, dass nur diese definierten Berechtigungen gewährt werden. Verwenden Sie Techniken wie rollenbasierte Zugriffskontrollen, um die Angriffsfläche von Administratorkonten zu reduzieren, und erstellen Sie maximal eingeschränkte Rollen für die Ausführung einer Aufgabe. Verwenden Sie Betriebssystemfunktionen wie Encrypting File System (EFS) in NTFS, um sensible Daten im Ruhezustand zu verschlüsseln und den Anwendungs- und Benutzerzugriff darauf zu kontrollieren.
-
Konfigurationsmanagement — Erstellen Sie eine grundlegende Serverkonfiguration, die up-to-date Sicherheitspatches und hostbasierte Schutzpakete umfasst, zu denen Viren- und Malware-Schutz, Erkennung und Verhinderung von Eindringlingen und Überwachung der Dateiintegrität gehören. Bewerten Sie jeden Server anhand der aktuell aufgezeichneten Basislinie, um Abweichungen zu identifizieren und zu kennzeichnen. Stellen Sie sicher, dass jeder Server so konfiguriert ist, dass entsprechende Protokoll- und Prüfungsdaten generiert und sicher gespeichert werden.
-
Änderungsmanagement – Erstellen Sie Prozesse zur Steuerung von Änderungen an Serverkonfigurationsbasislinien und arbeiten Sie an vollautomatisierten Änderungsprozessen. Nutzen Sie außerdem Just Enough Administration (JEA) mit Windows PowerShell DSC, um den Administratorzugriff auf die minimal erforderlichen Funktionen zu beschränken.
-
Patch-Management — Implementieren Sie Prozesse, die das Betriebssystem und die Anwendungen auf Ihren EC2 Instanzen regelmäßig patchen, aktualisieren und sichern.
-
Audit-Logs — Überwachen Sie den Zugriff und alle Änderungen an EC2 Amazon-Instances, um die Serverintegrität zu überprüfen und sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden. Nutzen Sie Funktionen wie Enhanced Logging for IIS
, um die standardmäßigen Protokollierungsfunktionen zu verbessern. AWS Funktionen wie VPC Flow Logs AWS CloudTrail sind auch verfügbar, um den Netzwerkzugriff zu überprüfen, einschließlich erlaubter/verweigerter Anfragen und API-Aufrufe.
Update-Management
Um die besten Ergebnisse zu erzielen, wenn Sie Windows Server auf Amazon ausführen EC2, empfehlen wir Ihnen, die folgenden bewährten Methoden zu implementieren:
-
Sie können eine Windows-Instance nach der Installation von Updates neu starten. Weitere Informationen finden Sie unter Durchführen eines Neustarts Ihrer Instance.
Weitere Informationen über den Upgrade oder die Migration einer Windows-Instance auf eine neuere Version von Windows Server finden Sie unter Aktualisieren Sie eine EC2 Windows-Instanz auf eine neuere Version von Windows Server.
Windows Update konfigurieren
Standardmäßig erhalten Instances, die von AWS Windows Server aus gestartet werden, AMIs keine Updates über Windows Update.
Aktualisieren von Windows-Treibern
Sorgen Sie für die neuesten Treiber auf allen EC2 Windows-Instanzen, um sicherzustellen, dass die neuesten Problembehebungen und Leistungsverbesserungen in Ihrer gesamten Flotte angewendet werden. Abhängig von Ihrem Instance-Typ sollten Sie AWS PV, Amazon ENA und AWS NVMe Treiber aktualisieren.
-
Verwenden Sie SNS-Themen, um Informationen über neue Treiber-Releases zu erhalten.
-
Verwenden Sie das AWS Systems Manager Automation-Runbook AWSSupport-UpgradeWindowsAWSDrivers, um die Updates einfach auf Ihre Instances anzuwenden.
Starten Sie Instances mit dem neuesten Windows AMIs
AWS veröffentlicht AMIs jeden Monat ein neues Windows, das die neuesten Betriebssystem-Patches, Treiber und Launch-Agents enthält. Nutzen Sie das neueste AMI, wenn Sie neue Instances starten oder eigene, benutzerdefinierte Images erstellen.
-
Updates für die einzelnen Versionen von AWS Windows AMIs finden Sie im AWS Windows AMI-Versionsverlauf.
-
Informationen zum Erstellen mit den neuesten verfügbaren Versionen AMIs finden Sie unter Abfragen des neuesten Windows-AMI mithilfe des Systems Manager Manager-Parameterspeichers
. -
Weitere Informationen zu speziellen Windows-Betriebssystemen, mit AMIs denen Sie Instances für Ihre Datenbank starten können, und Anwendungsfällen zur Compliance-Härtung finden Sie unter Specialized Windows AMIs in der AWS Windows AMI-Referenz.
Testen der System-/Anwendungsleistung vor der Migration
Die Migration von Unternehmensanwendungen zu AWS kann viele Variablen und Konfigurationen beinhalten. Testen Sie die EC2 Lösung immer auf Leistung, um sicherzustellen, dass:
-
Die Instance-Typen müssen ordnungsgemäß konfiguriert sein, inklusive Instance-Größe, Enhanced Networking und Tenancy (geteilte oder Dedicated).
-
Die Instance-Topologie muss für die Workload geeignet sein und bei Bedarf Hochleistungsfunktionen wie Dedicated Tenancy, Platzierungsgruppen, Instance-Speicher-Volumes und Bare-Metal-Instances nutzen.
Aktualisieren von Launch-Agenten
Aktualisieren Sie auf den neuesten EC2 Launch v2-Agenten, um sicherzustellen, dass die neuesten Verbesserungen in Ihrer gesamten Flotte angewendet werden. Weitere Informationen finden Sie unter Migrieren EC2 Sie zu Launch v2 für Windows-Instances.
Wenn Sie über eine gemischte Flotte verfügen oder die Agents EC2 Launch (Windows Server 2016 und 2019) oder EC2 Config (nur ältere Betriebssysteme) weiterhin verwenden möchten, aktualisieren Sie auf die neuesten Versionen der jeweiligen Agenten.
Automatische Aktualisierungen werden auf den folgenden Kombinationen von Windows-Server-Version und Launch-Agenten unterstützt. Sie können automatische Updates in der SSM Quick Setup Host Management-Konsole unter Amazon EC2 Launch Agents aktivieren.
| Windows-Version | EC2Starten Sie Version 1 | EC2Starten Sie v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Weitere Informationen zur Aktualisierung auf EC2 Launch v2 finden Sie unterInstallieren Sie die neueste Version von EC2 Launch v2.
-
Informationen zur manuellen Aktualisierung von EC2 Config finden Sie unterInstallieren Sie die neueste Version von EC2 Config.
-
Informationen zur manuellen Aktualisierung von EC2 Launch finden Sie unterInstallieren Sie die neueste Version von EC2 Launch.
Konfigurationsmanagement
Amazon Machine Images (AMIs) bieten eine Erstkonfiguration für eine EC2 Amazon-Instance, die das Windows-Betriebssystem und optionale kundenspezifische Anpassungen wie Anwendungen und Sicherheitskontrollen umfasst. Erstellen Sie einen AMI-Katalog mit benutzerdefinierten Basislinien für die Sicherheitskonfiguration, um sicherzustellen, dass alle Windows-Instances mit Standardsicherheitskontrollen gestartet werden. Sicherheitsbasislinien können in ein AMI integriert, beim Start einer EC2 Instance dynamisch gebootet oder als Produkt für eine einheitliche Verteilung über AWS Service Catalog-Portfolios verpackt werden. Weitere Informationen zum Sichern eines AMIs finden Sie unter Bewährte Methoden für die Erstellung eines AMIs.
Jede EC2 Amazon-Instance sollte den organisatorischen Sicherheitsstandards entsprechen. Installieren Sie keine Windows-Rollen und -Features, die nicht erforderlich sind, und installieren Sie Software zum Schutz vor bösartigem Code (Antivirus-, Antischadsoftware, Exploit-Begrenzung), überwachen Sie die Host-Integrität und führen Sie Angriffserkennungsmaßnahmen durch. Konfigurieren Sie Sicherheitssoftware, um Betriebssystem-Sicherheitseinstellungen zu überwachen und zu verwalten, die Integrität kritischer Betriebssystemdateien zu schützen und Warnungen zu Abweichungen von der Sicherheitsbasis zu erhalten. Erwägen Sie, empfohlene Sicherheitskonfigurations-Benchmarks zu implementieren, die von Microsoft, dem Center for Internet Security (CIS) oder dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. Erwägen Sie, andere Microsoft-Tools für bestimmte Anwendungsserver zu verwenden, z. B. Best Practice Analyzer for SQL Server
AWS Kunden können auch Amazon Inspector-Assessments durchführen, um die Sicherheit und Konformität der auf EC2 Amazon-Instances bereitgestellten Anwendungen zu verbessern. Amazon Inspector prüft Anwendungen automatisch auf Schwachstellen oder Abweichungen von bewährten Methoden und enthält eine Wissensdatenbank aus Hunderten von Regeln, die den gängigen Standards der Sicherheits-Compliance (z. B. PCI DSS) und Schwachstellendefinitionen zugeordnet sind. Beispiele für integrierte Regeln sind die Überprüfung, ob die Remote-Root-Anmeldung aktiviert ist oder, ob anfällige Softwareversionen installiert sind. Diese Regeln werden regelmäßig von AWS Sicherheitsforschern aktualisiert.
Beim Sichern von Windows-Instances wird empfohlen, Active-Directory-Domain-Services zu implementieren, um eine skalierbare, sichere und verwaltbare Infrastruktur für verteilte Standorte zu ermöglichen. Darüber hinaus empfiehlt es sich, nach dem Starten von Instances über die EC2 Amazon-Konsole oder mithilfe eines EC2 Amazon-Bereitstellungstools AWS CloudFormation, native Betriebssystemfunktionen wie Microsoft Windows PowerShell DSC zu verwenden, um den Konfigurationsstatus aufrechtzuerhalten, falls es zu einer Konfigurationsabweichung kommt.
Änderungsmanagement
Nachdem die ersten Sicherheitsbaselines beim Start auf EC2 Amazon-Instances angewendet wurden, kontrollieren Sie die laufenden EC2 Amazon-Änderungen, um die Sicherheit Ihrer virtuellen Maschinen zu gewährleisten. Richten Sie einen Change-Management-Prozess ein, um Änderungen an AWS Ressourcen (wie Sicherheitsgruppen, Routing-Tabellen und Netzwerk ACLs) sowie an Betriebssystem- und Anwendungskonfigurationen (wie Windows- oder Anwendungspatching, Software-Upgrades oder Aktualisierungen von Konfigurationsdateien) zu autorisieren und zu integrieren.
AWS stellt mehrere Tools zur Verfügung, mit denen Sie Änderungen an AWS Ressourcen verwalten können AWS CloudTrail, darunter AWS Config AWS CloudFormation, AWS Elastic Beanstalk, und und Management Packs für Systems Center Operations Manager und System Center Virtual Machine Manager. Beachten Sie, dass Microsoft Windows-Patches am zweiten Dienstag im Monat (oder nach Bedarf) veröffentlicht und alle Windows, die von AMIs verwaltet werden, AWS innerhalb von fünf Tagen AWS aktualisiert, nachdem Microsoft einen Patch veröffentlicht hat. Daher ist es wichtig, alle Baseline- AMIs, AWS CloudFormation Aktualisierungs- und Auto Scaling Scaling-Gruppenkonfigurationen kontinuierlich mit dem neuesten AMI IDs zu patchen und Tools zur Automatisierung des laufenden Instance-Patch-Managements zu implementieren.
Microsoft bietet verschiedene Optionen zum Verwalten von Windows-Betriebssystem- und Anwendungsänderungen. SCCM bietet beispielsweise eine vollständige Lebenszyklusabdeckung von Umgebungsänderungen. Wählen Sie Tools aus, die auf Geschäftsanforderungen zugeschnitten sind, und kontrollieren Sie, wie sich Änderungen auf Anwendungen SLAs, Kapazität, Sicherheit und Disaster Recovery-Verfahren auswirken. Vermeiden Sie manuelle Änderungen und nutzen Sie stattdessen automatisierte Konfigurationsverwaltungssoftware oder Befehlszeilentools wie EC2 Run Command oder Windows, PowerShell um skriptbasierte, wiederholbare Änderungsprozesse zu implementieren. Um diese Anforderung zu erfüllen, verwenden Sie Bastion-Hosts mit erweiterter Protokollierung für alle Interaktionen mit Ihren Windows-Instances, um sicherzustellen, dass alle Ereignisse und Aufgaben automatisch aufgezeichnet werden.
Prüfung und Rechenschaftspflicht für Amazon EC2 Windows-Instances
AWS CloudTrail AWS Config, und AWS-Config-Regeln stellen Funktionen zur Prüfung und Nachverfolgung von Änderungen an AWS
Ressourcen bereit. Konfigurieren Sie Windows-Ereignisprotokolle, um lokale Protokolldateien an ein zentrales Protokollverwaltungssystem zu senden, um Protokolldaten für die Sicherheits- und Betriebsverhaltensanalyse zu führen. Microsoft System Center Operations Manager (SCOM) aggregiert Informationen zu Microsoft-Anwendungen, die auf Windows-Instances bereitgestellt werden, und wendet vorkonfigurierte und benutzerdefinierte Regelsätze basierend auf Anwendungsrollen und -services an. System Center Management Packs bauen auf SCOM auf, um anwendungsspezifische Überwachungs- und Konfigurationsrichtlinien bereitzustellen. Diese Management Packs
Zusätzlich zu den Systemverwaltungstools von Microsoft können Kunden Amazon verwenden, CloudWatch um die CPU-Auslastung, die Festplattenleistung und die Netzwerk-I/O von Instanzen zu überwachen und Host- und Instance-Statusprüfungen durchzuführen. Die EC2 Startagenten EC2 Config, EC2 Launch und Launch v2 bieten Zugriff auf zusätzliche, erweiterte Funktionen für Windows-Instances. Sie können beispielsweise Windows-System-, Sicherheits-, Anwendungs- und Internet Information Services (IIS) -Protokolle in Logs exportieren, die dann in CloudWatch Amazon-Metriken und -Alarme integriert werden können. CloudWatch Kunden können auch Skripts erstellen, die Windows-Leistungsindikatoren in CloudWatch benutzerdefinierte Amazon-Metriken exportieren.
