Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Procedure ottimali relative alla sicurezza delle istanze Windows
Si consiglia di seguire queste procedure ottimali relative alla sicurezza delle istanze Windows.
Indice
Procedure ottimali relative alla sicurezza di alto livello
Devi rispettare le seguenti procedure ottimali di sicurezza di alto livello per le tue istanze di Windows:
-
Accesso minimo: viene concesso l'accesso solo a sistemi e percorsi attendibili e previsti. Questo vale per tutti i prodotti Microsoft come Active Directory, i server di produttività aziendale Microsoft e i servizi di infrastruttura come Remote Desktop Services, server proxy inversi, server IIS Web e altro ancora. Utilizza AWS funzionalità come i gruppi di sicurezza delle EC2 istanze Amazon, le liste di controllo degli accessi alla rete (ACLs) e le sottoreti VPC pubbliche/private di Amazon per stratificare la sicurezza in più posizioni in un'architettura. All'interno di un'istanza Windows, i clienti possono utilizzare Windows Firewall per migliorare ulteriormente la defense-in-depth strategia all'interno della loro distribuzione. Installare solo i componenti e le applicazioni del sistema operativo necessari per il funzionamento del sistema come progettato. Configura i servizi di infrastruttura, IIS ad esempio per eseguirli con account di servizio o per utilizzare funzionalità come le identità dei pool di applicazioni per accedere alle risorse localmente e in remoto attraverso l'infrastruttura.
-
Privilegio minimo: determina l'insieme minimo di privilegi necessari per le istanze e gli account per svolgere le loro funzioni. Limita tali server e utenti in modo da consentire solo queste autorizzazioni definite. Utilizza tecniche quali i controlli di accesso basati sui ruoli per ridurre l'area di superficie degli account amministrativi e creare i ruoli più limitati per eseguire un'attività. Utilizza funzionalità del sistema operativo come Encrypting File System (EFS) within NTFS per crittografare i dati sensibili archiviati e controllare l'accesso delle applicazioni e degli utenti ad essi.
-
Gestione della configurazione: crea una configurazione server di base che incorpori patch di up-to-date sicurezza e suite di protezione basate su host che includono antivirus, antimalware, rilevamento/prevenzione delle intrusioni e monitoraggio dell'integrità dei file. Valuta ogni server rispetto alla linea di base registrata corrente per identificare e contrassegnare eventuali deviazioni. Assicura che ogni server sia configurato per generare e archiviare in modo sicuro i dati di log e di controllo appropriati.
-
Gestione delle modifiche: crea processi per controllare le modifiche alle linee di base della configurazione del server e lavora verso processi di modifica completamente automatizzati. Inoltre, sfrutta Just Enough Administration (JEA) con Windows per limitare l'accesso amministrativo alle funzioni minime richieste. PowerShell DSC
-
Gestione delle patch: implementa processi che applichino, aggiornino e proteggano regolarmente il sistema operativo e le applicazioni sulle EC2 istanze.
-
Registri di controllo: verifica l'accesso e tutte le modifiche alle EC2 istanze Amazon per verificare l'integrità del server e garantire che vengano apportate solo modifiche autorizzate. Sfrutta funzionalità come Enhanced Logging per
migliorare le funzionalità di registrazione IIS predefinite. AWS funzionalità come VPC Flow Logs e AWS CloudTrail sono disponibili anche per controllare l'accesso alla rete, incluse rispettivamente le richieste e le chiamate consentite/rifiutate. API
Gestione degli aggiornamenti
Per garantire i migliori risultati quando esegui Windows Server su AmazonEC2, ti consigliamo di implementare le seguenti best practice:
-
Riavvia un'istanza Windows dopo avere installato gli aggiornamenti. Per ulteriori informazioni, consulta Riavvio dell'istanza.
Per informazioni su come aggiornare o migrare un'istanza Windows a una nuova versione di Windows Server, consultare Aggiornamento di un'istanza EC2 Windows a una versione più recente di Windows Server.
Configura Windows Update
Per impostazione predefinita, le istanze avviate da AWS Windows Server AMIs non ricevono aggiornamenti tramite Windows Update.
Aggiornamento dei driver Windows
Mantieni i driver più recenti su tutte le EC2 istanze di Windows per garantire che le correzioni dei problemi e i miglioramenti delle prestazioni più recenti vengano applicati a tutto il parco istanze. A seconda del tipo di istanza, dovresti aggiornare AWS PVENA, Amazon e AWS NVMe i driver.
-
Utilizza SNSgli argomenti per ricevere aggiornamenti per le nuove versioni dei driver.
Avvia le istanze utilizzando la versione più recente di Windows AMIs
AWS rilascia nuovi Windows AMIs ogni mese, che contengono le patch, i driver e gli agenti di avvio più recenti del sistema operativo. È consigliabile sfruttare le ultime novità AMI quando si lanciano nuove istanze o quando si creano immagini personalizzate.
-
Per visualizzare gli aggiornamenti di ogni versione di AWS WindowsAMIs, consulta la cronologia delle AMIversioni di AWS Windows.
-
Per creare con la versione più recente disponibileAMIs, vedere Query for the Latest Windows AMI Using Systems Manager Parameter Store
. -
Per ulteriori informazioni su Windows specializzati AMIs che è possibile utilizzare per avviare istanze per il database e sui casi d'uso relativi al rafforzamento della conformità, vedere Specialized Windows AMIs in the AWS Windows AMI Reference.
Test delle prestazioni del sistema/delle applicazioni prima di eseguire la migrazione
La migrazione delle applicazioni aziendali a AWS può coinvolgere molte variabili e configurazioni. Verifica sempre le prestazioni della EC2 soluzione per assicurarti che:
-
I tipi di istanza sono configurati correttamente, incluse la dimensione dell'istanza, le reti migliorate e la tenancy (condivisa o dedicata).
-
La topologia dell'istanza è idonea per il carico di lavoro e, laddove necessario, impiega caratteristiche ad alte prestazioni (tenancy dedicata, gruppi di collocamento, volumi archivio dell'istanza, bare metal).
Aggiornamento degli agenti di avvio
Effettua l'aggiornamento all'ultimo agente EC2Launch v2 per assicurarti che i miglioramenti più recenti vengano applicati a tutta la tua flotta. Per ulteriori informazioni, consulta Esegui la migrazione alla versione EC2Launch 2 per le istanze Windows.
Se disponi di una flotta mista o se desideri continuare a utilizzare gli agenti EC2Launch (Windows Server 2016 e 2019) o EC2 Config (solo sistemi operativi precedenti), esegui l'aggiornamento alle versioni più recenti dei rispettivi agenti.
Gli aggiornamenti automatici sono supportati nelle seguenti combinazioni di versioni di Windows Server e agenti di avvio. Puoi attivare gli aggiornamenti automatici nella console SSMQuick Setup Host Management in Amazon EC2 Launch Agents.
Versione Windows | EC2Launch v1 | EC2Launch v2 |
---|---|---|
2016 | ✓ | ✓ |
2019 | ✓ | ✓ |
2022 | ✓ |
-
Per ulteriori informazioni sull'aggiornamento alla EC2Launch v2, vedereInstalla l'ultima versione di EC2Launch v2.
-
Per informazioni sull'aggiornamento manualeEC2Config, vedereInstallazione della versione più recente di EC2Config.
-
Per informazioni sull'aggiornamento manualeEC2Launch, vedereInstallazione della versione più recente di EC2Launch.
Gestione della configurazione
Amazon Machine Images (AMIs) fornisce una configurazione iniziale per un'EC2istanza Amazon, che include il sistema operativo Windows e personalizzazioni opzionali specifiche del cliente, come applicazioni e controlli di sicurezza. Crea un AMI catalogo contenente linee di base di configurazione di sicurezza personalizzate per garantire che tutte le istanze Windows vengano avviate con controlli di sicurezza standard. Le linee di base di sicurezza possono essere integrate in un pacchettoAMI, avviato dinamicamente all'avvio di un'EC2istanza, oppure impacchettate come prodotto per una distribuzione uniforme attraverso i portafogli di Service Catalog. AWS Per ulteriori informazioni sulla protezione di un file, consulta Best Practices for Building anAMI. AMI
Ogni EC2 istanza Amazon deve rispettare gli standard di sicurezza organizzativi. Non installare ruoli e funzionalità di Windows che non sono necessari e installa software per la protezione da codice dannoso (antivirus, antimalware, attenuazione degli exploit), monitora l'integrità dell'host ed esegui il rilevamento delle intrusioni. Configura il software di sicurezza per monitorare e mantenere le impostazioni di sicurezza del sistema operativo, proteggere l'integrità dei file operativi critici e avvisare eventuali deviazioni dalla linea di base di sicurezza. Prendi in considerazione l'implementazione dei benchmark di configurazione di sicurezza consigliati pubblicati da Microsoft, Center for Internet Security (CIS) o National Institute of Standards and Technology (NIST). Prendi in considerazione l'utilizzo di altri strumenti Microsoft per server di applicazioni particolari, come Best Practice Analyzer for SQL Server
AWS i clienti possono anche eseguire valutazioni Amazon Inspector per migliorare la sicurezza e la conformità delle applicazioni distribuite su istanze Amazon. EC2 Amazon Inspector valuta automaticamente le applicazioni alla ricerca di vulnerabilità o deviazioni dalle best practice e include una knowledge base di centinaia di regole mappate su standard di conformità di sicurezza comuni (ad esempio) e definizioni di vulnerabilità. PCI DSS Esempi di regole incorporate includono la verifica se l'accesso remoto root è abilitato o se sono installate versioni software vulnerabili. Queste regole vengono aggiornate regolarmente dai ricercatori di sicurezza. AWS
Quando si proteggono le istanze di Windows, si consiglia di implementare Servizi di dominio Active Directory per abilitare un'infrastruttura scalabile, sicura e gestibile per i percorsi distribuiti. Inoltre, dopo aver avviato le istanze dalla EC2 console Amazon o utilizzando uno strumento di EC2 provisioning di Amazon, ad esempio, è buona norma utilizzare le funzionalità native del sistema operativo AWS CloudFormation, come Microsoft Windows PowerShell DSC, per mantenere lo stato della configurazione nel caso in cui si verifichi una variazione della configurazione.
Gestione delle modifiche
Dopo aver applicato le linee di base di sicurezza iniziali alle EC2 istanze Amazon al momento del lancio, controlla le EC2 modifiche in corso ad Amazon per mantenere la sicurezza delle tue macchine virtuali. Stabilisci un processo di gestione delle modifiche per autorizzare e incorporare le modifiche alle AWS risorse (come gruppi di sicurezza, tabelle di routing e reteACLs) nonché alle configurazioni del sistema operativo e delle applicazioni (ad esempio patch di Windows o delle applicazioni, aggiornamenti software o aggiornamenti dei file di configurazione).
AWS fornisce diversi strumenti per aiutare a gestire le modifiche alle AWS risorse, tra cui AWS CloudTrail AWS Config AWS CloudFormation AWS Elastic Beanstalk, e pacchetti di gestione per Systems Center Operations Manager e System Center Virtual Machine Manager. Tieni presente che Microsoft rilascia le patch di Windows il secondo martedì di ogni mese (o secondo necessità) e AWS aggiorna tutti i sistemi Windows AMIs gestiti da AWS entro cinque giorni dal rilascio di una patch da parte di Microsoft. Pertanto è importante applicare continuamente patch a tutti i modelli di baseAMIs, ai AWS CloudFormation modelli di aggiornamento e alle configurazioni dei gruppi Auto Scaling con le versioni AMI IDs più recenti e implementare strumenti per automatizzare la gestione delle patch delle istanze in esecuzione.
Microsoft offre diverse opzioni per la gestione del sistema operativo Windows e delle modifiche alle applicazioni. SCCM, ad esempio, offre una copertura completa del ciclo di vita delle modifiche ambientali. Seleziona strumenti che soddisfino i requisiti aziendali e controllino in che modo le modifiche influiranno su applicazioniSLAs, capacità, sicurezza e procedure di disaster recovery. Evita le modifiche manuali e sfrutta invece software di gestione automatizzata della configurazione o strumenti da riga di comando come EC2 Run Command o Windows PowerShell per implementare processi di modifica ripetibili e basati su script. Per rispondere a questo requisito, utilizza bastion host con logging avanzato per tutte le interazioni con le istanze di Windows per garantire che tutti gli eventi e le attività vengano registrati automaticamente.
Controllo e responsabilità per le istanze Amazon EC2 Windows
AWS CloudTrail e Regole di AWS Config fornisci funzionalità di controllo e tracciamento delle modifiche per controllare le modifiche alle risorse AWS
. AWS Config Configura i log di eventi di Windows per inviare file di log locali a un sistema centralizzato di gestione dei log per conservare i dati di log per l'analisi del comportamento operativo e di sicurezza. Microsoft System Center Operations Manager (SCOM) aggrega le informazioni sulle applicazioni Microsoft distribuite nelle istanze di Windows e applica set di regole preconfigurati e personalizzati basati su ruoli e servizi delle applicazioni. I System Center Management Pack si basano su linee guida SCOM per il monitoraggio e la configurazione specifiche delle applicazioni. Questi Management Pack
Oltre agli strumenti di gestione dei sistemi Microsoft, i clienti possono utilizzare Amazon CloudWatch per monitorare l'CPUutilizzo delle istanze, le prestazioni del disco, l'I/O di rete ed eseguire controlli dello stato di host e istanze. Gli agenti di lancio EC2ConfigEC2Launch, e EC2Launch v2 forniscono l'accesso a funzionalità aggiuntive e avanzate per le istanze Windows. Ad esempio, possono esportare i log di sistema, sicurezza, applicazioni e Internet Information Services (IIS) di Windows in Logs, che possono quindi essere integrati con CloudWatch i CloudWatch parametri e gli allarmi di Amazon. I clienti possono anche creare script che esportano i contatori delle prestazioni di Windows in metriche CloudWatch personalizzate di Amazon.