Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Rafforzamento dei nodi di lavoro di Windows
Il rafforzamento del sistema operativo è una combinazione di configurazione del sistema operativo, applicazione di patch e rimozione di pacchetti software non necessari, che mira a bloccare un sistema e ridurre la superficie di attacco. È consigliabile preparare una propria AMI Windows ottimizzata per EKS con le configurazioni di rafforzamento richieste dalla propria azienda.
AWS fornisce ogni mese una nuova AMI Windows ottimizzata per EKS contenente le ultime patch di sicurezza di Windows Server. Tuttavia, è ancora responsabilità dell'utente rafforzare la propria AMI applicando le configurazioni del sistema operativo necessarie indipendentemente dal fatto che utilizzi gruppi di nodi autogestiti o gestiti.
Microsoft offre una gamma di strumenti come [Microsoft Security Compliance Toolkit](https://www.microsoft.com/en-us/download/details.aspx?id=55319) e [Security Baselines](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines) che ti aiutano a ottenere un rafforzamento in base alle tue esigenze di policy di sicurezza. Sono disponibili anche [benchmark CIS](https://learn.cisecurity.org/benchmarks) che devono essere implementati su un'AMI Windows ottimizzata per Amazon EKS per ambienti di produzione.
## Riduzione della superficie di attacco con Windows Server Core
Windows Server Core è un'opzione di installazione minima disponibile come parte dell'[AMI Windows ottimizzata EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html). La distribuzione di Windows Server Core offre un paio di vantaggi. Innanzitutto, ha un ingombro su disco relativamente ridotto: 6 GB su Server Core contro 10 GB su Windows Server con esperienza Desktop. In secondo luogo, ha una superficie di attacco più piccola grazie alla sua base di codice più piccola e disponibile. APIs
AWS fornisce ai clienti nuove finestre ottimizzate per Amazon EKS AMIs ogni mese, contenenti le ultime patch di sicurezza Microsoft, indipendentemente dalla versione supportata da Amazon EKS. Come best practice, i nodi di lavoro Windows devono essere sostituiti con nuovi nodi basati sulla più recente AMI ottimizzata per Amazon EKS. Qualsiasi nodo in esecuzione per più di 45 giorni senza un aggiornamento o una sostituzione del nodo non dispone delle migliori pratiche di sicurezza.
## Evitare le connessioni RDP
Remote Desktop Protocol (RDP) è un protocollo di connessione sviluppato da Microsoft per fornire agli utenti un'interfaccia grafica per connettersi a un altro computer Windows tramite una rete.
Come procedura consigliata, è consigliabile trattare i nodi di lavoro di Windows come se fossero host temporanei. Ciò significa nessuna connessione di gestione, nessun aggiornamento e nessuna risoluzione dei problemi. Qualsiasi modifica e aggiornamento deve essere implementato come una nuova AMI personalizzata e sostituita dall'aggiornamento di un gruppo Auto Scaling. Vedi **Patching di server e contenitori Windows e** **gestione delle AMI Windows ottimizzate per Amazon EKS**.
Disabilita le connessioni RDP sui nodi Windows durante la distribuzione passando il valore **false** sulla proprietà ssh, come nell'esempio seguente:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
```
Se è necessario accedere al nodo Windows, utilizza [AWS System Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) per stabilire una PowerShell sessione sicura tramite la console AWS e l'agente SSM. Per scoprire come implementare la soluzione, guarda [Accesso sicuro alle istanze Windows utilizzando AWS Systems Manager Session Manager](https://www.youtube.com/watch?v=nt6NTWQ-h6o).
Per utilizzare System Manager Session Manager, è necessario applicare una policy IAM aggiuntiva al ruolo IAM utilizzato per avviare il nodo di lavoro Windows. Di seguito è riportato un esempio in cui **Amazon SSMManaged InstanceCore** è specificato nel manifesto del `eksctl` cluster:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
iam:
attachPolicyARNs:
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
- arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
## Amazon Inspector
[Amazon Inspector](https://aws.amazon.com/inspector/) è un servizio di valutazione della sicurezza automatizzato che aiuta a migliorare la sicurezza e la conformità delle applicazioni distribuite su AWS. Amazon Inspector valuta automaticamente le applicazioni in base all'esposizione, alle vulnerabilità e alle deviazioni dalle best practice. Dopo aver eseguito una valutazione, Amazon Inspector produce un elenco dettagliato di risultati di sicurezza con priorità in base al livello di gravità. Questi risultati possono essere esaminati direttamente o come parte di report di valutazione dettagliati disponibili tramite la console o l'API di Amazon Inspector.
Amazon Inspector può essere utilizzato per eseguire la valutazione CIS Benchmark sul nodo di lavoro di Windows e può essere installato su un Windows Server Core eseguendo le seguenti attività:
1. Scarica il seguente file.exe: .exe https://inspector-agent.amazonaws.com/windows/ installer/latest/AWSAgentInstall
1. Trasferisci l'agente nel nodo di lavoro di Windows.
1. Esegui il seguente comando PowerShell per installare l'agente Amazon Inspector: `.\AWSAgentInstall.exe /install`
Di seguito è riportato l'output dopo la prima esecuzione. Come puoi vedere, ha generato risultati basati sul database [CVE](https://cve.mitre.org/). Puoi usarlo per rafforzare i tuoi nodi Worker o creare un'AMI basata sulle configurazioni rinforzate.
![\[agente ispettore\]](http://docs.aws.amazon.com/it_it/eks/latest/best-practices/images/windows/inspector-agent.png)
Per ulteriori informazioni su Amazon Inspector, incluso come installare gli agenti Amazon Inspector, configurare la valutazione CIS Benchmark e generare report, guarda il video [Miglioramento della sicurezza e della conformità dei carichi di lavoro di Windows](https://www.youtube.com/watch?v=nIcwiJ85EKU) con Amazon Inspector.
## Amazon GuardDuty
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) è un servizio di rilevamento delle minacce che monitora continuamente attività dannose e comportamenti non autorizzati per proteggere gli account AWS, i carichi di lavoro e i dati archiviati in Amazon S3. Con il cloud, la raccolta e l'aggregazione delle attività di account e di rete è semplificata, ma per i team di sicurezza può richiedere molto tempo per analizzare continuamente i dati dei registri degli eventi alla ricerca di potenziali minacce.
Utilizzando Amazon GuardDuty hai visibilità sulle attività dannose contro i nodi di lavoro di Windows, come gli attacchi RDP brute force e Port Probe.
Guarda il GuardDuty video sul [rilevamento delle minacce per i carichi di lavoro Windows con Amazon](https://www.youtube.com/watch?v=ozEML585apQ) per scoprire come implementare ed eseguire benchmark CIS sull'AMI Windows EKS ottimizzata
## Sicurezza in Amazon EC2 per Windows
Leggi le [best practice di sicurezza per le istanze Windows di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) per implementare i controlli di sicurezza a ogni livello.