Bewährte Methoden für die Sicherheit in Windows-Instances
Es wird empfohlen, die folgenden bewährten Methoden für die Sicherheit in Ihren Windows-Instances zu befolgen.
Inhalt
Bewährte Methoden für die Sicherheit auf hohem Niveau
Für Ihre Windows Instances sollten Sie die folgenden bewährten Methoden für die Sicherheit auf hohem Niveau einhalten:
-
Geringster Zugriff – Gewähren Sie Zugriff nur auf vertrauenswürdige und erwartete Systeme und Speicherorte. Dies gilt für alle Microsoft-Produkte wie Active Directory, Microsoft-Geschäftsproduktivitätsserver und Infrastruktur-Services wie Remote Desktop-Dienste, Reverse-Proxy-Server, IIS-Webserver usw. Verwenden Sie AWS-Funktionen wie Amazon EC2-Instance-Sicherheitsgruppen, Netzwerk-Zugriffskontrolllisten (Access Control Lists, ACLs) und öffentliche/private Amazon VPC-Subnetze, um die Sicherheit in einer Architektur standortübergreifend zu schichten. Innerhalb einer Windows-Instance können Kunden die Windows-Firewall verwenden, um eine tiefgreifende Verteidigungsstrategie innerhalb ihrer Bereitstellung zu entwickeln. Installieren Sie nur die Betriebssystemkomponenten und -anwendungen, die für die gewünschte Funktion des Systems erforderlich sind. Konfigurieren Sie Infrastruktur-Services wie IIS für die Ausführung unter Servicekonten oder für die Verwendung von Funktionen wie Anwendungspool-Identitäten, um lokal und remote auf Ressourcen in Ihrer gesamten Infrastruktur zuzugreifen.
-
Geringste Berechtigung – Bestimmen Sie die Mindestberechtigungen, die Instances und Konten benötigen, um ihre Funktionen auszuführen. Schränken Sie diese Server und Benutzer so ein, dass nur diese definierten Berechtigungen gewährt werden. Verwenden Sie Techniken wie rollenbasierte Zugriffskontrollen, um die Angriffsfläche von Administratorkonten zu reduzieren, und erstellen Sie maximal eingeschränkte Rollen für die Ausführung einer Aufgabe. Verwenden Sie Betriebssystemfunktionen wie Encrypting File System (EFS) in NTFS, um sensible Daten im Ruhezustand zu verschlüsseln und den Anwendungs- und Benutzerzugriff darauf zu kontrollieren.
-
Konfigurationsverwaltung – Erstellen Sie eine Basis-Serverkonfiguration, die aktuelle Sicherheits-Patches und Host-basierte Schutz-Suites enthält, die Virenschutz, Anti-Malware, Intrusion Detection/Prevention und Dateiintegritätsüberwachung umfassen. Bewerten Sie jeden Server anhand der aktuell aufgezeichneten Basislinie, um Abweichungen zu identifizieren und zu kennzeichnen. Stellen Sie sicher, dass jeder Server so konfiguriert ist, dass entsprechende Protokoll- und Prüfungsdaten generiert und sicher gespeichert werden.
-
Änderungsmanagement – Erstellen Sie Prozesse zur Steuerung von Änderungen an Serverkonfigurationsbasislinien und arbeiten Sie an vollautomatisierten Änderungsprozessen. Nutzen Sie auch JEA (Just Enough Administration) mit Windows PowerShell DSC, um den administrativen Zugriff auf die minimal erforderlichen Funktionen zu beschränken.
-
Patch-Management – Implementieren Sie Prozesse, mit denen das Betriebssystem und die Anwendungen auf Ihren EC2-Instances regelmäßig gepatcht, aktualisiert und gesichert werden.
-
Prüfungsprotokolle – Prüfen Sie den Zugriff und alle Änderungen an Amazon EC2-Instances, um die Serverintegrität zu verifizieren und sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden. Nutzen Sie Funktionen wie die erweiterte Protokollierung für IIS
, um die Standardprotokollierungsfunktionen zu verbessern. AWS-Funktionen wie VPC-Ablaufprotokolle und AWS CloudTrail sind auch für die Prüfung des Netzwerkzugriffs verfügbar, einschließlich erlaubter bzw. abgelehnter Anforderungen bzw. API-Aufrufe.
Update-Management
Um optimale Ergebnisse beim Ausführen von Windows Server in Amazon EC2 sicherzustellen, empfehlen wir Ihnen die Implementierung der folgenden bewährten Methoden:
-
Sie können eine Windows-Instance nach der Installation von Updates neu starten. Weitere Informationen finden Sie unter Durchführen eines Neustarts Ihrer Instance.
Weitere Informationen über den Upgrade oder die Migration einer Windows-Instance auf eine neuere Version von Windows Server finden Sie unter EC2–Windows-Instance auf eine neuere Version von Windows Server aktualisieren.
Windows Update konfigurieren
Standardmäßig erhalten Instances, die von AWS-Windows-Server-AMIs gestartet werden, keine Updates über Windows Update.
Aktualisieren von Windows-Treibern
Verwenden Sie auf allen Windows-EC2-Instances die neuesten Treiber, damit auf allen Systemen die neuesten Fehlerbehebungen und Leistungsverbesserungen angewendet werden. Je nach Instance-Typ sollten Sie die AWS-PV-, Amazon-ENA- und AWS-NVMe-Treiber aktualisieren.
-
Verwenden Sie SNS-Themen, um Informationen über neue Treiber-Releases zu erhalten.
-
Nutzen Sie das Automation-Runbook AWSSupport-UpgradeWindowsAWSDrivers von AWS Systems Manager, um die Aktualisierungen mühelos auf all Ihre Instances anzuwenden.
Instances mit den neuesten Windows-AMIs starten
AWS veröffentlicht jeden Monat neue Windows-AMIs mit den aktuellen Betriebssystem-Patches, Treibern und Start-Agenten. Nutzen Sie das neueste AMI, wenn Sie neue Instances starten oder eigene, benutzerdefinierte Images erstellen.
-
Informationen zum Anzeigen von Aktualisierungen für jede Version der AWS-Windows-AMIs finden Sie unter Versionsverlauf für AWS-Windows-AMIs.
-
Weitere Informationen zur Verwendung der neuesten verfügbaren AMIs finden Sie unter Query for the Latest Windows AMI Using Systems Manager Parameter Store
. -
Weitere Informationen zu speziellen Windows-AMIs, mit denen Sie Instances für Ihre Datenbank starten können, und Anwendungsfällen zur Compliance-Hardening finden Sie unter Spezialisierte Windows-AMIs in der AWS-Windows-AMI-Referenz.
Testen der System-/Anwendungsleistung vor der Migration
Die Migration von Unternehmensanwendungen zu AWS kann viele Variablen und Konfigurationen betreffen. Führen Sie immer Tests für die Leistung der EC2-Lösung durch, um Folgendes zu gewährleisten:
-
Die Instance-Typen müssen ordnungsgemäß konfiguriert sein, inklusive Instance-Größe, Enhanced Networking und Tenancy (geteilte oder Dedicated).
-
Die Instance-Topologie muss für die Workload geeignet sein und bei Bedarf Hochleistungsfunktionen wie Dedicated Tenancy, Platzierungsgruppen, Instance-Speicher-Volumes und Bare-Metal-Instances nutzen.
Aktualisieren von Launch-Agenten
Aktualisieren Sie auf die neueste Launch-Agent-Version von EC2Launch V2, um sicherzustellen, dass aktuelle Verbesserungen auf die gesamte Flotte angewendet werden. Weitere Informationen finden Sie unter Zu EC2Launch v2 für Windows-Instances migrieren.
Wenn Sie über eine gemischte Flotte verfügen oder wenn Sie die Agenten EC2Launch (Windows Server 2016 und 2019) oder EC2 Config (nur ältere Betriebssysteme) weiterhin verwenden möchten, aktualisieren Sie auf die neuesten Versionen der entsprechenden Agenten.
Automatische Aktualisierungen werden auf den folgenden Kombinationen von Windows-Server-Version und Launch-Agenten unterstützt. Sie können sich in der SSM-Quick Setup des Host-Managements-Konsole unter Amazon-EC2-Launch-Agenten für automatische Updates anmelden.
| Windows-Version | EC2Launch v1 | EC2Launch v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Weitere Informationen über das Update zu EC2Launch v2 finden Sie unter Installieren der neuesten Version von EC2Launch v2.
-
Anleitungen für manuelle EC2Config-Aktualisierungen finden Sie unter Installieren der neuesten Version von EC2Config.
-
Anleitungen für manuelle EC2Launch-Aktualisierungen finden Sie unter Installieren der neuesten Version von EC2Launch.
Konfigurationsmanagement
Amazon Machine Images (AMIs) bieten eine Erstkonfiguration für eine Amazon EC2-Instance, die das Windows-Betriebssystem und optionale kundenspezifische Anpassungen wie Anwendungen und Sicherheitskontrollen beinhaltet. Erstellen Sie einen AMI-Katalog mit benutzerdefinierten Basislinien für die Sicherheitskonfiguration, um sicherzustellen, dass alle Windows-Instances mit Standardsicherheitskontrollen gestartet werden. Sicherheitsbasislinien können in ein AMI integriert, beim Starten einer EC2-Instance dynamisch per Bootstrapping behandelt oder als Produkt für die einheitliche Verteilung über AWS Service Catalog-Portfolios verpackt werden. Weitere Informationen zum Sichern eines AMIs finden Sie unter Bewährte Methoden für die Erstellung eines AMIs.
Jede Amazon EC2-Instance sollte die organisatorischen Sicherheitsstandards einhalten. Installieren Sie keine Windows-Rollen und -Features, die nicht erforderlich sind, und installieren Sie Software zum Schutz vor bösartigem Code (Antivirus-, Antischadsoftware, Exploit-Begrenzung), überwachen Sie die Host-Integrität und führen Sie Angriffserkennungsmaßnahmen durch. Konfigurieren Sie Sicherheitssoftware, um Betriebssystem-Sicherheitseinstellungen zu überwachen und zu verwalten, die Integrität kritischer Betriebssystemdateien zu schützen und Warnungen zu Abweichungen von der Sicherheitsbasis zu erhalten. Erwägen Sie, empfohlene Sicherheitskonfigurations-Benchmarks zu implementieren, die von Microsoft, dem Center for Internet Security (CIS) oder dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. Erwägen Sie, andere Microsoft-Tools für bestimmte Anwendungsserver zu verwenden, z. B. Best Practice Analyzer for SQL Server
AWS-Kunden können auch Amazon-Inspector-Bewertungen ausführen, um die Sicherheit und Compliance von Anwendungen zu verbessern, die auf Amazon-EC2-Instances bereitgestellt werden. Amazon Inspector prüft Anwendungen automatisch auf Schwachstellen oder Abweichungen von bewährten Methoden und enthält eine Wissensdatenbank aus Hunderten von Regeln, die den gängigen Standards der Sicherheits-Compliance (z. B. PCI DSS) und Schwachstellendefinitionen zugeordnet sind. Beispiele für integrierte Regeln sind die Überprüfung, ob die Remote-Root-Anmeldung aktiviert ist oder, ob anfällige Softwareversionen installiert sind. Diese Regeln werden von AWS-Sicherheitsmitarbeitern regelmäßig aktualisiert.
Beim Sichern von Windows-Instances wird empfohlen, Active-Directory-Domain-Services zu implementieren, um eine skalierbare, sichere und verwaltbare Infrastruktur für verteilte Standorte zu ermöglichen. Darüber hinaus empfiehlt es sich, nach dem Starten von Instances über die Amazon-EC2-Konsole oder mit einem Amazon-EC2-Bereitstellungstool wie AWS CloudFormation native Betriebssystemfunktionen wie Microsoft Windows PowerShell DSC
Änderungsmanagement
Nachdem beim Start anfängliche Sicherheits-Baselines auf Amazon EC2-Instances angewendet wurden, kontrollieren Sie fortlaufende Amazon EC2-Änderungen, um die Sicherheit Ihrer virtuellen Maschinen zu wahren. Richten Sie einen Änderungsmanagementprozess ein, um Änderungen an AWS-Ressourcen (wie Sicherheitsgruppen, Routing-Tabellen und Netzwerk-ACLs) sowie an Betriebssystem- und Anwendungskonfigurationen (z. B. Windows oder Anwendungs-Patching, Software-Upgrades oder Konfigurationsdatei-Updates) zu autorisieren und zu integrieren.
AWS bietet verschiedene Tools zum Verwalten von Änderungen an AWS-Ressourcen, einschließlich AWS CloudTrail, AWS Config, AWS CloudFormation und AWS Elastic Beanstalk, sowie Management Packs für Systems Center Operations Manager und System Center Virtual Machine Manager. Beachten Sie, dass Microsoft jeden Dienstag (manchmal sogar täglich) Windows-Patches veröffentlicht und AWS alle von AWS verwalteten Windows-AMIs innerhalb von fünf Tagen aktualisiert, nachdem Microsoft einen Patch veröffentlicht hat. Daher ist es wichtig, ständig alle Basislinien-AMIs zu patchen, AWS CloudFormation-Vorlagen und Auto Scaling-Gruppenkonfigurationen mit den neuesten AMI-IDs zu aktualisieren sowie Tools zu implementieren, um das laufende Instance-Patch-Management zu automatisieren.
Microsoft bietet verschiedene Optionen zum Verwalten von Windows-Betriebssystem- und Anwendungsänderungen. SCCM bietet beispielsweise eine vollständige Lebenszyklusabdeckung von Umgebungsänderungen. Wählen Sie Tools aus, die geschäftliche Anforderungen erfüllen und steuern, wie sich Änderungen auf Anwendungs-SLAs, Kapazität, Sicherheit und Notfallwiederherstellungsverfahren auswirken. Vermeiden Sie manuelle Änderungen und nutzen Sie stattdessen die automatisierte Konfigurationsverwaltungssoftware oder Befehlszeilen-Tools wie EC2 Run Command oder Windows PowerShell, um skriptbasierte, wiederholbare Änderungsprozesse zu implementieren. Um diese Anforderung zu erfüllen, verwenden Sie Bastion-Hosts mit erweiterter Protokollierung für alle Interaktionen mit Ihren Windows-Instances, um sicherzustellen, dass alle Ereignisse und Aufgaben automatisch aufgezeichnet werden.
Prüfung und Rechenschaftspflicht für Amazon-EC2-Windows-Instances
AWS CloudTrail, AWS Config und AWS-Config-Regeln stellen Audit- und Änderungsverfolgungsfeatures für die Prüfung von AWS-Ressourcenänderungen bereit. Konfigurieren Sie Windows-Ereignisprotokolle, um lokale Protokolldateien an ein zentrales Protokollverwaltungssystem zu senden, um Protokolldaten für die Sicherheits- und Betriebsverhaltensanalyse zu führen. Microsoft System Center Operations Manager (SCOM) aggregiert Informationen zu Microsoft-Anwendungen, die auf Windows-Instances bereitgestellt werden, und wendet vorkonfigurierte und benutzerdefinierte Regelsätze basierend auf Anwendungsrollen und -services an. System Center Management Packs bauen auf SCOM auf, um anwendungsspezifische Überwachungs- und Konfigurationsrichtlinien bereitzustellen. Diese Management Packs
Zusätzlich zu den Microsoft-Systemverwaltungstools können Kunden mit Amazon CloudWatch die CPU-Auslastung der Instance, die Festplattenleistung und die Netzwerk-I/O überwachen und Host- und Instance-Statusprüfungen durchführen. Die Services EC2Config und EC2Launch, und EC2Launch v2 bieten Zugriff auf zusätzliche, erweiterte Features für Windows-Instances. Beispielsweise können sie Windows-System-, Sicherheits-, Anwendungs- und Internetinformationsdienste (IIS) -Protokolle in CloudWatch Logs exportieren, die dann in Amazon CloudWatch-Metriken und Alarme integriert werden können. Kunden können auch Skripts erstellen, die Windows-Leistungsindikatoren in benutzerdefinierte Amazon CloudWatch-Metriken exportieren.
