Windows 工作者節點強化 - Amazon EKS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Windows 工作者節點強化

作業系統強化是作業系統組態、修補和移除不必要軟體套件的組合,旨在鎖定系統並減少攻擊面。最佳實務是使用貴公司所需的強化組態來準備您自己的 EKS Optimized Windows AMI。

AWS 每月提供新的 EKS 最佳化 Windows AMI,其中包含最新的 Windows Server 安全修補程式。不過,無論使用者是使用自我管理還是受管節點群組,使用者仍有責任套用必要的作業系統組態來強化其 AMI。

Microsoft 提供各種工具,例如 Microsoft Security Compliance ToolkitSecurity Baselines,可協助您根據您的安全政策需求實現強化。CIS 基準也可供使用,並且應該在生產環境的 Amazon EKS Optimized Windows AMI 上實作。

使用 Windows Server Core 減少攻擊面

Windows Server Core 是最小的安裝選項,可作為 EKS Optimized Windows AMI 的一部分使用。部署 Windows Server Core 有幾個優點。首先,其磁碟佔用空間相對較小,在具有桌面體驗的 Windows Server 上,在 Server Core 上為 6GB,在 Windows Server 上為 10GB。其次,它具有較小的攻擊面,因為它的程式碼基礎和可用的 APIs 較小。

AWS 每月為客戶提供新的 Amazon EKS Optimized Windows AMIs,包含最新的 Microsoft 安全性修補程式,無論 Amazon EKS 支援的版本為何。根據最佳實務,Windows 工作者節點必須取代為以最新 Amazon EKS 最佳化 AMI 為基礎的新節點。任何執行超過 45 天的節點,如果沒有更新或節點替換,則缺少安全最佳實務。

避免 RDP 連線

遠端桌面通訊協定 (RDP) 是由 Microsoft 開發的連線通訊協定,可提供使用者圖形界面,以透過網路連線至其他 Windows 電腦。

根據最佳實務,您應該將 Windows 工作者節點視為暫時性主機。這表示沒有管理連線、沒有更新,也沒有故障診斷。任何修改和更新都應實作為新的自訂 AMI,並以更新 Auto Scaling 群組取代。請參閱修補 Windows 伺服器和容器,以及 Amazon EKS 最佳化 Windows AMI 管理

在部署期間,透過在 ssh 屬性上傳遞 false 值來停用 Windows 節點上的 RDP 連線,如以下範例所示:

nodeGroups: - name: windows-ng instanceType: c5.xlarge minSize: 1 volumeSize: 50 amiFamily: WindowsServer2019CoreContainer ssh: allow: false

如果需要存取 Windows 節點,請使用 AWS System Manager Session Manager 透過 AWS 主控台和 SSM 代理程式建立安全的 PowerShell 工作階段。若要了解如何實作解決方案,請使用 AWS Systems Manager Session Manager 監看安全存取 Windows 執行個體

若要使用 System Manager Session Manager,必須將額外的 IAM 政策套用至用來啟動 Windows 工作者節點的 IAM 角色。以下是eksctl叢集資訊清單中指定 AmazonSSMManagedInstanceCore 的範例:

nodeGroups: - name: windows-ng instanceType: c5.xlarge minSize: 1 volumeSize: 50 amiFamily: WindowsServer2019CoreContainer ssh: allow: false iam: attachPolicyARNs: - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Amazon Inspector

Amazon Inspector 可用於在 Windows 工作者節點上執行 CIS Benchmark 評估,並可透過執行下列任務將其安裝在 Windows Server Core 上:

  1. 下載下列 .exe 檔案:https://https://inspector-agent.amazonaws.com/windows/installer/latest/AWSAgentInstall.exe

  2. 將代理程式轉移到 Windows 工作者節點。

  3. 在 PowerShell 上執行下列命令來安裝 Amazon Inspector Agent: .\AWSAgentInstall.exe /install

以下是第一次執行後的輸出。如您所見,它會根據 CVE 資料庫產生調查結果。您可以使用它來強化工作者節點,或根據強化的組態建立 AMI。

檢測器代理程式

如需 Amazon Inspector 的詳細資訊,包括如何安裝 Amazon Inspector 代理程式、設定 CIS 基準評估和產生報告,請觀看透過 Amazon Inspector 影片改善 Windows 工作負載的安全性和合規性

Amazon GuardDuty

透過使用 Amazon GuardDuty,您對 Windows 工作者節點的惡意動作具有可見性,例如 RDP 暴力破解力量和 Port Probe 攻擊。

使用 Amazon GuardDuty 影片觀看 Windows 工作負載的威脅偵測,了解如何在最佳化 EKS Windows AMI 上實作和執行 CIS 基準

Amazon EC2 for Windows 中的安全性

閱讀 Amazon EC2 Windows 執行個體的安全最佳實務,在每一層實作安全控制。