Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan untuk instans Windows
Kami menyarankan Anda mengikuti praktik terbaik keamanan ini untuk instans Windows Anda.
Daftar Isi
Praktik terbaik keamanan tingkat tinggi
Anda harus mematuhi praktik terbaik keamanan tingkat tinggi berikut untuk instance Windows Anda:
-
Akses paling sedikit — Berikan akses hanya ke sistem dan lokasi yang dipercaya dan diharapkan. Ini berlaku untuk semua produk Microsoft seperti Active Directory, server produktivitas bisnis Microsoft, dan layanan infrastruktur seperti Remote Desktop Services, reverse proxy server, IIS web server, dan banyak lagi. Gunakan AWS kemampuan seperti grup keamanan EC2 instans Amazon, daftar kontrol akses jaringan (ACLs), dan subnet VPC publik/pribadi Amazon untuk melapisi keamanan di beberapa lokasi dalam arsitektur. Dalam instance Windows, pelanggan dapat menggunakan Windows Firewall untuk lebih lanjut melapisi defense-in-depth strategi dalam penyebaran mereka. Cukup instal komponen dan aplikasi OS yang diperlukan agar sistem berfungsi sebagaimana peruntukannya. Konfigurasikan layanan infrastruktur seperti IIS berjalan di bawah akun layanan, atau menggunakan fitur seperti identitas kumpulan aplikasi untuk mengakses sumber daya secara lokal dan jarak jauh di seluruh infrastruktur Anda.
-
Keistimewaan terkecil — Tentukan kumpulan hak istimewa minimum yang dibutuhkan instance dan akun untuk menjalankan fungsinya. Batasi server dan pengguna tersebut agar hanya memperbolehkan izin yang ditentukan ini. Gunakan teknik, seperti Kontrol Akses Berbasis Peran, untuk mengurangi luas permukaan akun administratif dan membuat peran paling terbatas untuk menyelesaikan tugas. Gunakan fitur OS seperti Encrypting File System (EFS) di dalam NTFS untuk mengenkripsi data sensitif saat istirahat, dan mengontrol aplikasi dan akses pengguna ke sana.
-
Manajemen konfigurasi — Buat konfigurasi server dasar yang menggabungkan patch up-to-date keamanan dan suite perlindungan berbasis host yang mencakup anti-virus, anti-malware, deteksi/pencegahan intrusi, dan pemantauan integritas file. Nilai setiap server menurut data baseline yang tercatat saat ini untuk mengidentifikasi dan menandai setiap deviasi. Pastikan setiap server dikonfigurasi untuk menghasilkan serta menyimpan data log dan audit yang sesuai dengan aman.
-
Manajemen perubahan — Buat proses untuk mengontrol perubahan pada garis dasar konfigurasi server dan bekerja menuju proses perubahan yang sepenuhnya otomatis. Juga, manfaatkan Just Enough Administration (JEA) dengan Windows PowerShell DSC untuk membatasi akses administratif ke fungsi minimum yang diperlukan.
-
Manajemen Patch — Menerapkan proses yang secara teratur menambal, memperbarui, dan mengamankan sistem operasi dan aplikasi pada EC2 instans Anda.
-
Log audit — Akses audit dan semua perubahan pada EC2 instans Amazon untuk memverifikasi integritas server dan memastikan hanya perubahan resmi yang dibuat. Manfaatkan fitur seperti Enhanced Logging IIS untuk
meningkatkan kemampuan logging default. AWS kemampuan seperti VPC Flow Logs dan juga AWS CloudTrail tersedia untuk mengaudit akses jaringan, termasuk permintaan dan API panggilan yang diizinkan/ditolak, masing-masing.
Manajemen pembaruan
Untuk memastikan hasil terbaik saat menjalankan Windows Server di AmazonEC2, sebaiknya Anda menerapkan praktik terbaik berikut ini:
-
Reboot instance Windows Anda setelah Anda menginstal pembaruan. Untuk informasi selengkapnya, lihat Menyalakan ulang instans Anda.
Untuk informasi selengkapnya, tentang cara meningkatkan atau migrasi instans Windows ke versi Windows Server yang lebih baru, lihat Tingkatkan instance EC2 Windows ke versi Windows Server yang lebih baru.
Konfigurasikan Pembaruan Windows
Secara default, instance yang diluncurkan dari AWS Windows Server AMIs tidak menerima pembaruan melalui Pembaruan Windows.
Perbarui driver Windows
Pertahankan driver terbaru di semua EC2 instans Windows untuk memastikan bahwa perbaikan masalah terbaru dan peningkatan kinerja diterapkan di seluruh armada Anda. Bergantung pada jenis instans Anda, Anda harus memperbarui AWS PV, AmazonENA, dan AWS NVMe driver.
-
Gunakan SNStopik untuk menerima pembaruan untuk rilis driver baru.
-
Gunakan runbook AWS Systems Manager Otomasi AWSSupport- UpgradeWindows AWSDrivers untuk menerapkan pembaruan dengan mudah di seluruh instans Anda.
Luncurkan instance menggunakan Windows terbaru AMIs
AWS merilis Windows baru AMIs setiap bulan, yang berisi patch OS terbaru, driver, dan agen peluncuran. Anda harus memanfaatkan yang terbaru AMI saat meluncurkan instance baru atau saat Anda membuat gambar kustom Anda sendiri.
-
Untuk melihat pembaruan untuk setiap rilis AWS WindowsAMIs, lihat riwayat AMI versi AWS Windows.
-
Untuk membangun dengan yang terbaru yang tersediaAMIs, lihat Kueri untuk Windows Terbaru AMI Menggunakan Systems Manager Parameter Store
. -
Untuk informasi selengkapnya tentang Windows khusus AMIs yang dapat Anda gunakan untuk meluncurkan instans untuk database dan kasus penggunaan pengerasan kepatuhan, lihat Windows Khusus AMIs di Referensi AWS Windows AMI.
Menguji performa sistem/aplikasi sebelum migrasi
Migrasi aplikasi perusahaan untuk AWS dapat melibatkan banyak variabel dan konfigurasi. Selalu uji kinerja EC2 solusi untuk memastikan bahwa:
-
Tipe Instans dikonfigurasi dengan benar, termasuk ukuran instans, peningkatan jaringan, dan penghunian (bersama atau khusus).
-
Topologi instans sesuai untuk beban kerja dan memanfaatkan fitur berperforma tinggi bila diperlukan, seperti penghunian khusus, grup penempatan, volume penyimpanan instans, dan bare metal.
Memperbarui agen peluncuran
Perbarui ke agen EC2Launch v2 terbaru untuk memastikan bahwa peningkatan terbaru diterapkan di seluruh armada Anda. Untuk informasi selengkapnya, lihat Migrasi ke EC2Launch v2 untuk instance Windows.
Jika Anda memiliki armada campuran, atau jika Anda ingin terus menggunakan agen EC2Launch (Windows Server 2016 dan 2019) atau EC2 Config (hanya OS lama), perbarui ke versi terbaru dari masing-masing agen.
Pembaruan otomatis didukung pada kombinasi versi Windows Server dan agen peluncuran berikut. Anda dapat memilih pembaruan otomatis di konsol Manajemen Host Pengaturan SSM Cepat di bawah Agen EC2 Peluncuran Amazon.
| Versi Windows | EC2Launch v1 | EC2Launch v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Untuk informasi selengkapnya tentang memperbarui ke EC2Launch v2, lihatInstal versi terbaru EC2Launch v2.
-
Untuk informasi yang dapat diperbarui secara manualEC2Config, lihatInstal versi terbaru EC2Config.
-
Untuk informasi yang dapat diperbarui secara manualEC2Launch, lihatInstal versi terbaru EC2Launch.
Manajemen konfigurasi
Amazon Machine Images (AMIs) menyediakan konfigurasi awal untuk EC2 instans Amazon, yang mencakup OS Windows dan penyesuaian khusus pelanggan opsional, seperti aplikasi dan kontrol keamanan. Buat AMI katalog yang berisi garis dasar konfigurasi keamanan yang disesuaikan untuk memastikan bahwa semua instance Windows diluncurkan dengan kontrol keamanan standar. Baseline keamanan dapat dimasukkan ke dalam bootstrapped secara dinamis saat EC2 instance diluncurkan, atau dikemas sebagai produk untuk distribusi seragam melalui portofolio Service Catalog. AMI AWS Untuk informasi selengkapnya tentang mengamankanAMI, lihat Praktik Terbaik untuk Membangun. AMI
Setiap EC2 instans Amazon harus mematuhi standar keamanan organisasi. Jangan menginstal peran dan fitur Windows apa pun yang tidak diperlukan, dan instal perangkat lunak sebagai perlindungan terhadap kode berbahaya (mitigasi antivirus, antimalware, eksploitasi), pantau integritas host, dan lakukan deteksi intrusi. Lakukan konfigurasi pada perangkat lunak keamanan untuk memantau dan mempertahankan pengaturan keamanan OS, melindungi integritas file OS penting, dan mewaspadai penyimpangan dari garis dasar keamanan. Pertimbangkan untuk menerapkan tolok ukur konfigurasi keamanan yang direkomendasikan yang diterbitkan oleh Microsoft, Center for Internet Security (CIS), atau National Institute of Standards and Technology (NIST). Pertimbangkan untuk menggunakan alat Microsoft lainnya untuk server aplikasi tertentu, seperti Best Practice Analyzer for SQL Server
AWS Pelanggan juga dapat menjalankan penilaian Amazon Inspector untuk meningkatkan keamanan dan kepatuhan aplikasi yang diterapkan pada instans Amazon. EC2 Amazon Inspector secara otomatis menilai aplikasi untuk kerentanan atau penyimpangan dari praktik terbaik dan menyertakan basis pengetahuan ratusan aturan yang dipetakan ke standar kepatuhan keamanan umum (misalnya,) dan definisi kerentanan. PCI DSS Contoh-contoh aturan bawaan termasuk pemeriksaan apakah cara masuk dari root jarak jauh diaktifkan, atau apakah ada versi perangkat lunak yang lemah yang sudah diinstal. Aturan-aturan ini diperbarui secara berkala oleh peneliti AWS keamanan.
Saat mengamankan instans Windows, kami menyarankan Anda untuk menerapkan Layanan Domain Direktori Aktif agar dapat mengaktifkan infrastruktur yang dapat diskalakan, aman, dan dapat dikelola untuk lokasi yang didistribusikan. Selain itu, setelah meluncurkan instance dari EC2 konsol Amazon atau dengan menggunakan alat EC2 penyediaan Amazon, seperti AWS CloudFormation, adalah praktik yang baik untuk menggunakan fitur OS asli, seperti Microsoft Windows PowerShell DSC
Manajemen perubahan
Setelah garis dasar keamanan awal diterapkan ke EC2 instans Amazon saat diluncurkan, kendalikan EC2 perubahan Amazon yang sedang berlangsung untuk menjaga keamanan mesin virtual Anda. Menetapkan proses manajemen perubahan untuk mengotorisasi dan menggabungkan perubahan pada AWS sumber daya (seperti grup keamanan, tabel rute, dan jaringanACLs) serta konfigurasi OS dan aplikasi (seperti Windows atau patching aplikasi, upgrade perangkat lunak, atau pembaruan file konfigurasi).
AWS menyediakan beberapa alat untuk membantu mengelola perubahan pada AWS sumber daya, termasuk AWS CloudTrail,, AWS Config, AWS CloudFormation AWS Elastic Beanstalk, dan AWS OpsWorks, dan paket manajemen untuk Manajer Operasi Pusat Sistem dan Manajer Mesin Virtual Pusat Sistem. Perhatikan bahwa Microsoft merilis patch Windows pada hari Selasa kedua setiap bulan (atau sesuai kebutuhan) dan AWS memperbarui semua Windows yang AMIs dikelola oleh AWS dalam waktu lima hari setelah Microsoft merilis patch. Oleh karena itu, penting untuk terus menambal semua baselineAMIs, memperbarui AWS CloudFormation template, dan konfigurasi grup Auto Scaling dengan yang terbaru AMIIDs, dan menerapkan alat untuk mengotomatiskan manajemen patch instance yang sedang berjalan.
Microsoft menyediakan beberapa opsi untuk mengelola perubahan OS Windows dan aplikasi. SCCM, misalnya, menyediakan cakupan siklus hidup penuh modifikasi lingkungan. Pilih alat yang memenuhi persyaratan bisnis dan mengontrol bagaimana perubahan akan memengaruhi aplikasiSLAs, kapasitas, keamanan, dan prosedur pemulihan bencana. Hindari perubahan manual dan sebagai gantinya manfaatkan perangkat lunak manajemen konfigurasi otomatis atau alat baris perintah seperti EC2 Run Command atau Windows PowerShell untuk mengimplementasikan proses perubahan skrip dan berulang. Untuk membantu memenuhi persyaratan ini, gunakan host bastion dengan peningkatan pencatatan untuk semua interaksi dengan instans Windows Anda untuk memastikan bahwa semua peristiwa dan tugas direkam secara otomatis.
Audit dan akuntabilitas untuk instans Amazon Windows EC2
AWS CloudTrail, AWS Config, dan Aturan AWS Config menyediakan fitur audit dan pelacakan perubahan untuk mengaudit perubahan AWS
sumber daya. Lakukan konfigurasi pada log peristiwa Windows untuk mengirimkan file log lokal ke sistem manajemen log terpusat untuk menyimpan data log untuk digunakan dalam analisis perilaku keamanan dan operasional. Microsoft System Center Operations Manager (SCOM) mengumpulkan informasi tentang aplikasi Microsoft yang disebarkan ke instance Windows dan menerapkan aturan yang telah dikonfigurasi dan kustom berdasarkan peran dan layanan aplikasi. Paket Manajemen Pusat Sistem dibangun SCOM untuk memberikan panduan pemantauan dan konfigurasi khusus aplikasi. Paket Manajemen
Selain alat manajemen sistem Microsoft, pelanggan dapat menggunakan Amazon CloudWatch untuk memantau CPU pemanfaatan instans, kinerja disk, I/O jaringan, dan melakukan pemeriksaan status host dan instance. Agen peluncuran EC2ConfigEC2Launch,, dan EC2Launch v2 menyediakan akses ke fitur-fitur tambahan dan canggih untuk instance Windows. Misalnya, mereka dapat mengekspor log sistem Windows, keamanan, aplikasi, dan Layanan Informasi Internet (IIS) ke CloudWatch Log yang kemudian dapat diintegrasikan dengan CloudWatch metrik dan alarm Amazon. Pelanggan juga dapat membuat skrip yang mengekspor penghitung kinerja Windows ke metrik CloudWatch khusus Amazon.
