Prácticas recomendadas de seguridad para instancias de Windows - Amazon Elastic Compute Cloud

Prácticas recomendadas de seguridad para instancias de Windows

Recomendamos que siga estas prácticas recomendadas de seguridad para las instancias de Windows.

Prácticas recomendadas de seguridad de alto nivel

Debe cumplir las siguientes prácticas recomendadas de seguridad de alto nivel en sus instancias de Windows:

  • Acceso mínimo: otorgue acceso solo a los sistemas y ubicaciones de confianza y esperados. Esto se aplica a todos los productos de Microsoft, por ejemplo, Active Directory, servidores de productividad empresarial de Microsoft y servicios de infraestructura como servicios de Escritorio remoto, servidores proxy inverso, servidores web IIS, entre otros. Utilice las capacidades de AWS tales como los grupos de seguridad de instancias de Amazon EC2, las listas de control de acceso (ACL) a la red y las subredes públicas/privadas de Amazon VPC para separar la seguridad en capas en varias ubicaciones de una arquitectura. Dentro de una instancia de Windows, los clientes pueden usar el Firewall de Windows para aplicar una estrategia de defensa en profundidad dentro de su implementación. Instale solo los componentes del sistema operativo y las aplicaciones que sean necesarios para que el sistema funcione según el diseño. Configure servicios de infraestructura como IIS para que se ejecuten en cuentas de servicio o para que utilicen características como identidades del grupo de aplicaciones que permitan acceder a los recursos de forma local y remota en toda la infraestructura.

  • Privilegio mínimo: determine el conjunto mínimo de privilegios que las instancias y las cuentas necesitan para realizar sus funciones. Limite estos servidores y usuarios para que permitan únicamente dichos permisos definidos. Utilice técnicas como Controles de acceso basados en roles para reducir el área superficial de las cuentas administrativas y crear los roles más limitados para realizar una tarea. Utilice características del sistema operativo como el sistema de archivos cifrados (EFS) dentro de NTFS para cifrar información confidencial en reposo y controlar el acceso de aplicaciones y usuarios a ella.

  • Administración de configuración: cree una configuración de servidor de línea de base que incorpore parches de seguridad actualizados y conjuntos de protección basados en host que incluyan antivirus, antimalware, detección/prevención de intrusiones y monitoreo de la integridad de archivos. Evalúe cada servidor con respecto a la referencia registrada actual para identificar y marcar cualquier desviación. Asegúrese de que cada servidor esté configurado para generar y almacenar de forma segura los datos adecuados de registro y auditoría.

  • Administración de cambios: cree procesos para controlar los cambios en las referencias de configuración del servidor y trabaje en procesos de cambio totalmente automatizados. Además, aproveche Just Enough Administration (JEA) con Windows PowerShell DSC para limitar el acceso administrativo a las funciones mínimas requeridas.

  • Gestión de parches: implemente procesos que corrigen, actualizan y protegen con regularidad el sistema operativo y las aplicaciones de sus instancias EC2.

  • Registros de auditoría: audite el acceso y todos los cambios en las instancias de Amazon EC2 para verificar la integridad del servidor y asegurarse de que solo se realicen los cambios autorizados. Aproveche características como el Registro mejorado para IIS para mejorar las capacidades de registro predeterminadas. Capacidades de AWS como los registros de flujo de VPC y también AWS CloudTrail están disponibles para auditar el acceso a la red, incluidas las solicitudes permitidas/denegadas y las llamadas a la API, respectivamente.

Administración de actualizaciones

Se recomienda llevar a cabo las siguientes prácticas recomendadas si desea obtener los mejores resultados al ejecutar Windows Server en Amazon EC2:

Para obtener información acerca de cómo actualizar o migrar una instancia de Windows a una versión más reciente de Windows Server, consulte Actualizar una instancia de Windows de EC2 a una versión más reciente de Windows Server.

Configuración de Windows Update

De forma predeterminada, las instancias que se inician desde las AMI de Windows Server de AWS no reciben actualizaciones a través de Windows Update.

Actualización de los controladores de Windows

Mantenga actualizados los controladores en todas las instancias de EC2 de Windows para asegurarse de aplicar las correcciones de problemas y mejoras de rendimiento más recientes en toda la flota. Según el tipo de instancia, debe actualizar los controladores de AWS PV, Amazon ENA y AWS NVMe.

  • Utilice los temas de SNS para recibir las actualizaciones de las nuevas versiones de los controladores.

  • Use el manual de procedimientos de Automation AWS Systems Manager AWSSupport-UpgradeWindowsAWSDrivers para poder aplicar las actualizaciones fácilmente en sus instancias.

Lanzamiento de instancias con las últimas AMI de Windows

AWS publica nuevas AMI de Windows todos los meses, que contienen los últimos parches del sistema operativo, controladores y agentes de lanzamiento. Aproveche las AMI más recientes al lanzar nuevas instancias o al crear sus propias imágenes personalizadas.

Prueba del rendimiento del sistema o de la aplicación antes de la migración

La migración de aplicaciones empresariales a AWS puede implicar numerosas variables y configuraciones. Realice siempre una prueba de rendimiento de la solución de EC2 para asegurarse de que:

  • Los tipos de instancias están bien configurados, incluido el tamaño de la instancia, las redes mejoradas y la tenencia (compartida o dedicada).

  • La topología de la instancia es adecuada para la carga de trabajo y aprovecha las características de alto rendimiento cuando es necesario, como la tenencia dedicada, los grupos de ubicación, los volúmenes del almacén de instancias, los bare metal.

Actualización de los agentes de lanzamiento

Actualice al agente de EC2Launch v2 más reciente para asegurarse de que las últimas mejoras se apliquen en toda la flota. Para obtener más información, consulte Migración a EC2Launch v2 para instancias de Windows.

Si tiene una flota mixta o si desea seguir usando los agentes de EC2Launch (Windows Server 2016 y 2019) o de EC2 Config (solo sistema operativo heredado), actualice a las versiones más recientes de los respectivos agentes.

Las siguientes combinaciones de agentes de lanzamiento y versión de Windows Server admiten actualizaciones automáticas. Puede optar por las actualizaciones automáticas en la consola de administración de host con Quick Setup de SSM, en Agentes de lanzamiento de Amazon EC2.

Versión de Windows EC2Launch v1 EC2Launch v2
2016
2019
2022

Administración de la configuración

Las Imágenes de máquina de Amazon (AMI) proporcionan una configuración inicial para una instancia Amazon EC2, que incluye el sistema operativo Windows y personalizaciones opcionales específicas del cliente, como aplicaciones y controles de seguridad. Cree un catálogo de AMI que contenga líneas de base de configuración de seguridad personalizadas para garantizar que todas las instancias de Windows se inicien con controles de seguridad estándar. Las líneas de base de seguridad se pueden convertir en una AMI, arrancar de forma dinámica cuando se lanza una instancia de EC2 o empaquetar como producto para una distribución uniforme a través de las carteras de AWS Service Catalog. Para obtener más información sobre cómo proteger una AMI, consulte las prácticas recomendadas para crear una AMI.

Cada instancia Amazon EC2 debe cumplir con los estándares de seguridad de la organización. No instale roles y características de Windows que no sean necesarias, e instale software para protegerse contra código malintencionado (antivirus, antimalware, mitigación de vulnerabilidades), monitorear la integridad del host y detectar intrusiones. Configure el software de seguridad para monitorear y mantener la configuración de seguridad del sistema operativo, proteger la integridad de los archivos críticos del sistema operativo y alertar sobre las desviaciones de la línea de base de seguridad. Considere la posibilidad de implementar los parámetros de configuración de seguridad recomendados publicados por Microsoft, el Center for Internet Security (CIS) o el Instituto Nacional de Normalización y Tecnología (NIST). Considere la posibilidad de utilizar otras herramientas de Microsoft para determinados servidores de aplicaciones, como el Analizador de prácticas recomendadas para SQL Server.

Los clientes de AWS también pueden ejecutar evaluaciones de Amazon Inspector para mejorar la seguridad y la conformidad de las aplicaciones implementadas en instancias de Amazon EC2. Amazon Inspector evalúa automáticamente las aplicaciones en busca de vulnerabilidades o desviaciones de las prácticas recomendadas e incluye una base de conocimientos de cientos de reglas mapeadas a estándares comunes de conformidad de seguridad (por ejemplo, PCI DSS) y definiciones de vulnerabilidades. Entre los ejemplos de reglas integradas se incluye comprobar si el inicio de sesión raíz remoto está habilitado o si hay versiones de software vulnerables instaladas. Los investigadores de seguridad de AWS actualizan estas reglas con regularidad.

Al proteger instancias de Windows, se recomienda implementar los servicios de dominio de Active Directory para habilitar una infraestructura escalable, segura y administrable para ubicaciones distribuidas. Además, después de lanzar instancias a través de la consola de Amazon EC2 o mediante una herramienta de aprovisionamiento de Amazon EC2, como AWS CloudFormation, es recomendable utilizar características nativas del sistema operativo, como Microsoft Windows PowerShell DSC para mantener el estado de configuración en caso de que se produzca una desviación de esta.

Administración de cambios

Después de aplicar las líneas base de seguridad iniciales a las instancias Amazon EC2 en el lanzamiento, controle los cambios en curso en Amazon EC2 para mantener la seguridad de las máquinas virtuales. Establezca un proceso de administración de cambios para autorizar e incorporar cambios en los recursos de AWS (como grupos de seguridad, tablas de enrutamiento y ACL de red), así como en las configuraciones del SO y las aplicaciones (como la aplicación de parches de Windows o aplicaciones, actualizaciones de software o actualizaciones de archivos de configuración).

AWS proporciona varias herramientas para ayudar a administrar los cambios en los recursos de AWS, incluidos AWS CloudTrail, AWS Config, AWS CloudFormation y AWS Elastic Beanstalk, así como paquetes de administración para Systems Center Operations Manager y System Center Virtual Machine Manager. Tenga en cuenta que Microsoft publica revisiones de Windows el segundo martes (o más si es necesario) y AWS actualiza todas las AMI de Windows administradas por AWS dentro de los cinco días siguientes a que Microsoft publique un parche. Por lo tanto, es importante aplicar parches continuamente a todas las AMI de línea de base, actualizar las plantillas de AWS CloudFormation y las configuraciones de grupo de Auto Scaling con los últimos ID de AMI e implementar herramientas para automatizar la administración de parches de instancia en ejecución.

Microsoft proporciona varias opciones para administrar el sistema operativo Windows y los cambios en las aplicaciones. SCCM, por ejemplo, proporciona una cobertura completa del ciclo de vida de las modificaciones del entorno. Seleccione herramientas que aborden los requisitos empresariales y controlen cómo los cambios afectarán los SLA de las aplicaciones, la capacidad, la seguridad y los procedimientos de recuperación de desastres. Evite los cambios manuales y, en su lugar, aproveche el software de administración de configuración automatizada o las herramientas de línea de comandos, como EC2 Run Command o Windows PowerShell para implementar procesos de cambio repetibles y con secuencias de comandos. Para facilitar este requisito, utilice hosts de bastión con registro mejorado para todas las interacciones con las instancias de Windows para asegurarse de que todos los eventos y tareas se graben automáticamente.

Auditoría y rendición de cuentas para instancias de Windows de Amazon EC2

AWS CloudTrail, AWS Config y Reglas de AWS Config proporcionar características de auditoría y seguimiento de cambios para auditar los cambios de recursos de AWS. Configure los registros de eventos de Windows para enviar archivos de registro locales a un sistema de administración de registros centralizado para conservar los datos de registro para el análisis de seguridad y comportamiento operativo. Microsoft System Center Operations Manager (SCOM) agrega información acerca de las aplicaciones de Microsoft implementadas en instancias de Windows y aplica conjuntos de reglas preconfigurados y personalizados basados en roles y servicios de aplicaciones. Los System Center Management Packs se basan en SCOM para proporcionar monitoreo y orientación de configuración específicos de las aplicaciones. Estos paquetes de administración admiten Windows Server Active Directory, SharePoint Server 2013, Exchange Server 2013, Lync Server 2013, SQL Server 2014 y muchos otros servidores y tecnologías.

Además de las herramientas de administración de sistemas de Microsoft, los clientes pueden utilizar Amazon CloudWatch para monitorear la utilización de la CPU de instancias, el rendimiento del disco, la E/S de red y realizar comprobaciones de estado de hosts e instancias. Los agentes de lanzamiento EC2Config, EC2Launch y EC2Launch v2 proporcionan acceso a características avanzadas adicionales para las instancias de Windows. Por ejemplo, pueden exportar registros de sistemas, seguridad, aplicaciones e Internet Information Services (IIS) de Windows a CloudWatch Logs que se pueden integrar con métricas y alarmas de Amazon CloudWatch. Los clientes también pueden crear scripts que exporten contadores de rendimiento de Windows a métricas personalizadas de Amazon CloudWatch.