Windows 工作节点强化 - Amazon EKS
使用 Windows 服务器核心减少攻击面避开 RDP 连接Amazon Inspector亚马逊 GuardDuty EC2 适用于 Windows 的 Amazon 中的安全

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Windows 工作节点强化

操作系统强化是操作系统配置、修补和删除不必要的软件包的组合,旨在锁定系统并减少攻击面。最佳做法是使用贵公司所需的强化配置来准备自己的 EKS 优化型 Windows AMI。

AWS 每月都会提供一个新的 EKS 优化版 Windows AMI,其中包含最新的 Windows 服务器安全补丁。但是,无论用户使用的是自我管理的还是托管的节点组,用户仍有责任通过应用必要的操作系统配置来强化其 AMI。

Microsoft 提供了一系列工具,例如 Microsoft 安全合规工具包和安全基准,可帮助您根据自己的安全策略需求实现强化。CIS 基准测试也可用,应在适用于生产环境的 Amazon EKS 优化的 Windows AMI 的基础上实施。

使用 Windows 服务器核心减少攻击面

Windows Server Core 是一个最低安装选项,作为 EKS 优化的 Windows AMI 的一部分提供。部署 Windows 服务器核心有几个好处。首先,它的磁盘占用空间相对较小,在服务器核心上为6GB,而在具有台式机体验的Windows服务器上为10GB。其次,它的攻击面较小,因为它的代码库较小且可用 APIs。

无论亚马逊 EKS 支持的版本如何,AWS 每月 AMIs 都会为客户提供新的亚马逊 EKS 优化版 Windows,其中包含最新的微软安全补丁。作为最佳实践,必须使用基于最新 Amazon EKS 优化的 AMI 的新工作节点替换 Windows 工作节点。任何运行超过 45 天但未进行更新或节点更换的节点都缺乏安全最佳实践。

避开 RDP 连接

远程桌面协议 (RDP) 是微软开发的一种连接协议,旨在为用户提供通过网络连接到另一台 Windows 计算机的图形界面。

作为最佳实践,您应该将 Windows 工作节点当作临时主机对待。这意味着没有管理连接,没有更新,也没有故障排除。任何修改和更新都应作为新的自定义 AMI 实现,并通过更新 Auto Scaling 组来取而代之。请参阅修补 Windows 服务器和容器以及亚马逊 EKS 优化的 Windows AMI 管理

在部署期间,通过在 ssh 属性上传递值 false 来禁用 Windows 节点上的 RDP 连接,如下例所示:

nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false

如果需要访问 Windows 节点,请使用 AWS 系统管理器会话管理器通过 AWS 控制台和 SSM 代理建立安全 PowerShell 会话。要了解如何实施该解决方案,请观看使用 AWS Systems Manager 会话管理器安全访问 Windows 实例

要使用系统管理器会话管理器,必须对用于启动 Windows 工作节点的 IAM 角色应用额外的 IAM 策略。以下是在集eksctl群清单中指定SSMManagedInstanceCore了 Amazon 的示例:

 nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
  iam:
    attachPolicyARNs:
      - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
      - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
      - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
      - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
      - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Amazon Inspector

Amazon Inspector 可用于在 Windows 工作节点上运行 CIS 基准评估,也可以通过执行以下任务将其安装在 Windows 服务器核心上:

  1. 下载以下.exe 文件:https://inspector-agent.amazonaws.com/windows/installer/latest/AWSAgentInstall.exe

  2. 将代理转移到 Windows 工作节点上。

  3. 运行以下命令 PowerShell 以安装 Amazon Inspector 代理:.\AWSAgentInstall.exe /install

以下是第一次运行后的输出。如您所见,它根据 CVE 数据库生成了调查结果。您可以使用它来强化您的工作节点或基于强化配置创建 AMI。

探员代理

有关 Amazon Inspector 的更多信息,包括如何安装亚马逊 Inspector 代理、设置 CIS 基准评估以及生成报告,请观看使用亚马逊 Inspector 提高 Windows 工作负载的安全性和合规性视频。

亚马逊 GuardDuty

通过使用 Amazon, GuardDuty 您可以查看针对 Windows 工作节点的恶意活动,例如 RDP 暴力攻击和端口探测攻击。

观看使用亚马逊针对 Windows 工作负载进行威胁检测 GuardDuty视频,了解如何在优化的 EKS Windows AMI 上实施和运行 CIS 基准测试

EC2 适用于 Windows 的 Amazon 中的安全

阅读有关 Amazon EC2 Windows 实例的安全最佳实践,以便在每一层实施安全控制。