Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
bonnes pratiques de sécurité pour les instances Windows
Nous vous recommandons de suivre ces bonnes pratiques de sécurité pour vos instances Windows.
Table des matières
bonnes pratiques de sécurité de haut niveau
Vous devez respecter les bonnes pratiques de sécurité de haut niveau suivantes pour vos instances Windows :
-
Accès minimal — accordez l'accès uniquement aux systèmes et aux emplacements approuvés et attendus. Cela s'applique à tous les produits Microsoft tels que Active Directory, les serveurs de productivité professionnelle Microsoft et les services d'infrastructure, notamment les services de Bureau à distance, les serveurs proxy inversés, les serveurs IIS Web, etc. Utilisez AWS des fonctionnalités telles que des groupes de sécurité d'EC2instance Amazon, des listes de contrôle d'accès réseau (ACLs) et des sous-réseaux Amazon VPC publics/privés pour assurer la sécurité de couche sur plusieurs emplacements d'une même architecture. Au sein d'une instance Windows, les clients peuvent utiliser le Pare-feu Windows pour ajouter une defense-in-depth stratégie à leur déploiement. Installez uniquement les composants du système d’exploitation et les applications nécessaires au fonctionnement du système aux fins pour lesquelles il a été conçu. Configurez les services d'infrastructure, notamment IIS pour qu'ils s'exécutent sous des comptes de service ou pour utiliser des fonctionnalités telles que les identités de pool d'applications pour accéder aux ressources localement et à distance dans votre infrastructure.
-
Principe de moindre privilège : déterminez l'ensemble minimal de privilèges dont les instances et les comptes ont besoin pour exécuter leurs fonctions. Restreindre ces serveurs et utilisateurs pour autoriser uniquement ces autorisations définies. Utilisez des techniques telles que les contrôles d’accès basés sur les rôles pour réduire la surface des comptes d’administration et créer les rôles les plus limités pour accomplir une tâche. Utilisez les fonctionnalités du système d'exploitation telles que le système de cryptage de fichiers (Encrypting File SystemEFS) NTFS pour chiffrer les données sensibles au repos et contrôler l'accès de l'application et de l'utilisateur à ces dernières.
-
Gestion de la configuration : créez une configuration de serveur de référence qui intègre des correctifs up-to-date de sécurité et des suites de protection basées sur l'hôte qui incluent antivirus, anti-malware, détection/prévention des intrusions et surveillance de l'intégrité des fichiers. Évaluez chaque serveur par rapport à la référence enregistrée actuelle pour identifier et signaler les écarts éventuels. Assurez-vous que chaque serveur est configuré pour générer et stocker en toute sécurité les données de journal et d’audit appropriées.
-
Gestion des modifications : créez des processus pour contrôler les modifications apportées aux références de configuration du serveur et avancer vers des processus de modification entièrement automatisés. En outre, utilisez Just Enough Administration (JEA) avec Windows PowerShell DSC pour limiter l'accès administratif aux fonctions minimales requises.
-
Gestion des correctifs : mettez en place des processus qui permettent de régulièrement appliquer les correctifs, procéder aux mises à jours et sécuriser le système d'exploitation et les applications de vos EC2 instances.
-
Journaux d'audit : contrôlez l'accès et toutes les modifications apportées aux EC2 instances Amazon afin de vérifier l'intégrité du serveur et de vous assurer que seules les modifications autorisées sont apportées. Tirez parti de fonctionnalités telles que la journalisation améliorée IIS pour
améliorer les fonctionnalités de journalisation par défaut. AWS fonctionnalités telles que les journaux de VPC flux et AWS CloudTrail sont également disponibles pour contrôler l'accès au réseau, y compris les demandes et les API appels autorisés/refusés, respectivement.
Gestion des mises à jour
Pour garantir les meilleurs résultats lorsque vous exécutez Windows Server sur AmazonEC2, nous vous recommandons de mettre en place les bonnes pratiques suivantes :
-
Redémarrez votre instance Windows après avoir installé les mises à jour. Pour de plus amples informations, veuillez consulter Redémarrer votre instance.
Pour savoir comment mettre à niveau ou migrer une instance Windows vers une version plus récente de Windows Server, voir Mettre à niveau une instance EC2 Windows vers une nouvelle version de Windows Server.
Configuration de Windows Update
Par défaut, les instances lancées depuis AWS Windows Server AMIs ne reçoivent pas de mises à jour via Windows Update.
Mettre à jour les pilotes Windows
Faites en sorte que les pilotes soient à jour sur toutes les EC2 instances Windows afin d'appliquer les correctifs de problèmes et les améliorations de performances les plus récents à l'échelle de votre flotte d'instances. Selon le type d'instance, mettez à jour le AWS PVENA, Amazon et AWS NVMe les pilotes.
-
Utilisez SNSles rubriques pour recevoir les mises à jour des nouvelles versions de pilotes.
Lancer des instances à l'aide de la dernière version de Windows AMIs
AWS publie AMIs chaque mois un nouveau Windows, qui contient les correctifs de système d'exploitation, les pilotes et les agents de lancement les plus récents. Utilisez les dernières nouvelles instances AMI lorsque vous lancez de nouvelles instances ou que vous créez vos propres images personnalisées.
-
Pour consulter les mises à jour de chaque version de AWS WindowsAMIs, consultez l'historique des AMI versions de AWS Windows.
-
Afin d'utiliser la dernière version disponibleAMIs, consultez Requête portant sur la dernière version de Windows AMI à l'aide de Systems Manager Store
. -
Pour plus d'informations sur Windows spécialisé AMIs que vous pouvez utiliser pour lancer des instances pour votre base de données et sur les cas d'utilisation du renforcement de la conformité, consultez la section Fenêtres spécialisées AMIs dans le Guide de AMIréférence AWS Windows.
Tester les performances du système/des applications avant la migration
La migration des applications d'entreprise vers AWS peut impliquer différentes variables et configurations. Il convient de toujours tester les performances de la EC2 solution pour vous assurer ce qui suit :
-
Les types d’instances sont correctement configurés, y compris la taille des instances, la mise en réseau améliorée et la location (partagée ou dédiée).
-
La topologie des instances est appropriée pour la charge de travail et exploite si nécessaire les fonctions hautes performances, telles que la location dédiée, les groupes de placement, les volumes de stockage d’instance et le matériel nu.
Mise à jour des agents de lancement
Effectuez une mise à jour vers la dernière version de l'agent EC2Launch v2 pour vous assurer que les dernières améliorations sont appliquées à l'ensemble de votre flotte. Pour de plus amples informations, veuillez consulter Migrer vers la EC2Launch version v2 pour les instances Windows.
Si vous disposez d'une flotte mixte, ou si vous voulez continuer à utiliser les agents EC2Launch (Windows Server 2016 et 2019) ou EC2 Config (système d'exploitation hérité uniquement), mettez à jour vers les dernières versions des agents respectifs.
Les mises à jour automatiques sont prises en charge sur les combinaisons suivantes de version de Windows Server et d’agents de lancement. Vous pouvez opter pour les mises à jour automatiques dans la console SSMQuick Setup Host Management sous Amazon EC2 Launch Agents.
| Version Windows | EC2Launch v1 | EC2Launch v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Pour de plus amples informations sur la mise à jour vers la EC2Launch v2, veuillez consulterInstaller la dernière version de EC2Launch v2 x x x 2 x x x.
-
Pour plus d'informations sur la mise à jour manuelleEC2Config, consultezInstallez la dernière version de EC2Config.
-
Pour plus d'informations sur la mise à jour manuelleEC2Launch, consultezInstallez la dernière version de EC2Launch.
Gestion de la configuration
Amazon Machine Images (AMIs) fournit une configuration initiale pour une EC2 instance Amazon, qui inclut le système d'exploitation Windows et les personnalisations facultatives spécifiques au client, notamment les applications et les contrôles de sécurité. Créez un AMI catalogue contenant des références de configuration de sécurité personnalisées pour vous assurer que toutes les instances Windows sont lancées avec des contrôles de sécurité standard. Les références de sécurité peuvent être intégrées dans unAMI, amorcées dynamiquement lors du lancement d'une EC2 instance, ou empaquetées en tant que produit pour une distribution uniforme via les portefeuilles AWS Service Catalog. Pour de plus amples informations sur la sécurisation d'unAMI, consultez Bonnes pratiques de création d'AMI.
Chaque EC2 instance Amazon doit respecter les normes de sécurité de l'organisation. N’installez pas de rôles et de fonctionnalités Windows qui ne sont pas requis, et installez des logiciels pour vous protéger contre les codes malveillants (antivirus, antimalware, réduction de l’exploitation), surveiller l’intégrité de l’hôte et effectuer la détection des intrusions. Configurez le logiciel de sécurité pour surveiller et maintenir les paramètres de sécurité du système d’exploitation, protéger l’intégrité des fichiers critiques de ce dernier et signaler les écarts par rapport à la référence de sécurité. Envisagez de mettre en œuvre les benchmarks de configuration de sécurité recommandés publiés par Microsoft, le Center for Internet Security (CIS) ou le National Institute of Standards and Technology (NIST). Pensez à utiliser d'autres outils Microsoft pour des serveurs d'applications particuliers, tels que Best Practice Analyzer for SQL Server
AWS Les clients peuvent également exécuter des évaluations Amazon Inspector pour améliorer la sécurité et la conformité des applications déployées sur les EC2 instances Amazon Inspector. Amazon Inspector évalue automatiquement les applications à la recherche de vulnérabilités ou d'écarts par rapport aux bonnes pratiques et inclut une base de connaissances de centaines de règles mappées aux normes de conformité de sécurité communes (par exemple, PCIDSS) et aux définitions de vulnérabilité. Les règles préintégrées prévoient, par exemple, la vérification de l’activation de la connexion distante à la racine ou la détection des versions de logiciels vulnérables installées. Ces règles sont régulièrement mises à jour par les AWS experts en sécurité.
Lors de la sécurisation des instances Windows, nous vous recommandons d’implémenter les services de domaine Active Directory afin d’activer une infrastructure évolutive, sécurisée et gérable pour les emplacements distribués. En outre, après le lancement d'instances via la EC2 console Amazon ou à l'aide d'un outil de EC2 provisionnement Amazon, tel que AWS CloudFormation, il est recommandé d'utiliser des fonctionnalités natives du système d'exploitation, telles que Microsoft Windows
Gestion des modifications
Une fois les références de sécurité initiales appliquées aux EC2 instances Amazon au lancement, contrôlez les EC2 modifications d'Amazon en cours pour maintenir la sécurité de vos machines virtuelles. Établissez un processus de gestion des modifications pour autoriser et incorporer des modifications aux AWS ressources (telles que les groupes de sécurité, les tables de routage et le réseauACLs), ainsi qu'aux configurations du système d'exploitation et des applications (telles que les correctifs pour Windows ou l'application, les mises à niveau logicielles ou les mises à jour des fichiers de configuration).
AWS fournit plusieurs outils qui aident à gérer les modifications apportées aux AWS ressources AWS CloudTrail, y compris AWS Config AWS CloudFormation, AWS Elastic Beanstalk, et les packs de gestion pour Systems Center Operations Manager et System Center Virtual Machine Manager. Notez que Microsoft publie des correctifs Windows le deuxième mardi de chaque mois (ou selon les besoins) et AWS met à jour tous les programmes Windows AMIs gérés par AWS dans les cinq jours suivant la publication d'un correctif par Microsoft. Par conséquent, il est important de mettre continuellement à jour toutes les référencesAMIs, les AWS CloudFormation modèles et les configurations de groupe Auto Scaling avec les programmes les plus récents AMIIDs, et de mettre en œuvre des outils pour automatiser la gestion des correctifs d'instance en cours d'exécution.
Microsoft fournit plusieurs options pour gérer les modifications du système d’exploitation Windows et des applications. SCCM, par exemple, fournit une couverture complète du cycle de vie des modifications de l'environnement. Sélectionnez des outils qui répondent aux exigences de l'entreprise et contrôlez la manière dont les modifications affecteront les applicationsSLAs, la capacité, la sécurité et les procédures de reprise après sinistre. Évitez les modifications manuelles et utilisez plutôt un logiciel de gestion automatisée de la configuration ou des outils de ligne de commande tels que EC2 Run Command ou Windows PowerShell pour implémenter des processus de modification répétables et scriptés. Pour répondre à cette exigence, utilisez des hôtes bastion avec journalisation améliorée pour toutes les interactions avec vos instances Windows, afin de vous assurer que tous les événements et toutes les tâches sont automatiquement enregistrés.
Audit et responsabilité pour les instances Amazon EC2 Windows
AWS CloudTrail AWS Config, et AWS Config Rules fournissent des fonctionnalités de vérification et de suivi des modifications pour auditer les modifications de AWS
ressources. Configurez les journaux d’événements Windows pour envoyer des fichiers journaux locaux à un système de gestion centralisée des journaux, afin de préserver les données des journaux à des fins d’analyse de la sécurité et du comportement opérationnel. Microsoft System Center Operations Manager (SCOM) regroupe les informations concernant les applications Microsoft déployées sur des instances Windows et applique des jeux de règles préconfigurés et personnalisés basés sur les rôles et services d'application. System Center Management Packs s'appuie sur SCOM pour fournir des conseils de configuration et de surveillance spécifiques aux applications. Ces Management Packs
Outre les outils de gestion des systèmes Microsoft, les clients peuvent utiliser Amazon CloudWatch pour surveiller CPU l'utilisation des instances, les performances du disque, les E/S réseau et effectuer des vérifications de l'état de l'hôte et de l'instance. Les agents de lancement EC2ConfigEC2Launch, et EC2Launch v2 permettent d'accéder à des fonctionnalités avancées supplémentaires pour les instances Windows. Par exemple, ils peuvent exporter les journaux du système Windows, de la sécurité, des applications et des services Internet (IIS) vers des CloudWatch journaux qui peuvent ensuite être intégrés avec des CloudWatch mesures et des alarmes Amazon. Les clients peuvent également créer des scripts qui exportent les compteurs de performances Windows vers des mesures Amazon CloudWatch personnalisées.
