Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Los nodos de trabajo de Windows se están endureciendo
<a name="windows-hardening"></a>

El endurecimiento del sistema operativo es una combinación de la configuración del sistema operativo, la aplicación de parches y la eliminación de paquetes de software innecesarios, con el objetivo de bloquear un sistema y reducir la superficie de ataque. Se recomienda preparar su propia AMI de Windows optimizada para EKS con las configuraciones de refuerzo requeridas por su empresa.

Cada mes, AWS proporciona una nueva AMI de Windows optimizada para EKS que contiene los últimos parches de seguridad de Windows Server. Sin embargo, sigue siendo responsabilidad del usuario reforzar su AMI mediante la aplicación de las configuraciones de sistema operativo necesarias, independientemente de si utilizan grupos de nodos autogestionados o gestionados.

Microsoft ofrece una gama de herramientas, como [Microsoft Security Compliance Toolkit](https://www.microsoft.com/en-us/download/details.aspx?id=55319) y [Security Baselines](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines), que le ayudan a lograr el refuerzo en función de las necesidades de sus políticas de seguridad. Los puntos de [referencia de CIS](https://learn.cisecurity.org/benchmarks) también están disponibles y deben implementarse sobre una AMI de Windows optimizada para Amazon EKS para entornos de producción.

## Reducir la superficie de ataque con Windows Server Core
<a name="_reducing_attack_surface_with_windows_server_core"></a>

Windows Server Core es una opción de instalación mínima que está disponible como parte de la [AMI de Windows optimizada para EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html). La implementación de Windows Server Core tiene un par de ventajas. En primer lugar, ocupa un espacio de disco relativamente pequeño: 6 GB en Server Core frente a 10 GB en Windows Server con experiencia de escritorio. En segundo lugar, tiene una superficie de ataque más pequeña debido a que su base de código es más pequeña y está disponible. APIs

AWS proporciona a los clientes un nuevo Windows optimizado para Amazon EKS AMIs todos los meses, que contiene los últimos parches de seguridad de Microsoft, independientemente de la versión compatible con Amazon EKS. Como práctica recomendada, los nodos de trabajo de Windows deben sustituirse por otros nuevos basados en la última AMI optimizada para Amazon EKS. Los nodos que se ejecuten durante más de 45 días sin una actualización o un reemplazo de nodos carecen de las mejores prácticas de seguridad.

## Evitar las conexiones RDP
<a name="_avoiding_rdp_connections"></a>

El Protocolo de escritorio remoto (RDP) es un protocolo de conexión desarrollado por Microsoft para proporcionar a los usuarios una interfaz gráfica para conectarse a otro equipo Windows a través de una red.

Como práctica recomendada, debe tratar los nodos de trabajo de Windows como si fueran hosts efímeros. Eso significa que no hay conexiones de administración, actualizaciones ni solución de problemas. Cualquier modificación y actualización debe implementarse como una nueva AMI personalizada y sustituirse por la actualización de un grupo de Auto Scaling. Consulte Aplicación de **parches a servidores y contenedores de Windows y** **Administración optimizada de AMI de Windows por Amazon EKS**.

Inhabilite las conexiones RDP en los nodos de Windows durante la implementación pasando el valor **false** a la propiedad ssh, como se muestra en el siguiente ejemplo:

```
nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
```

Si necesita acceder al nodo de Windows, utilice el administrador de sesiones de [AWS System Manager para establecer una PowerShell sesión](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) segura a través de la consola de AWS y el agente SSM. Para ver cómo implementar la solución, consulte [Acceda de forma segura a las instancias de Windows mediante el administrador de sesiones de AWS Systems Manager](https://www.youtube.com/watch?v=nt6NTWQ-h6o). 

Para utilizar el administrador de sesiones de System Manager, se debe aplicar una política de IAM adicional a la función de IAM utilizada para lanzar el nodo de trabajo de Windows. A continuación, se muestra un ejemplo en el SSMManaged InstanceCore que se especifica **Amazon** en el manifiesto del `eksctl` clúster:

```
 nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
  iam:
    attachPolicyARNs:
      - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
      - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
      - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
      - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
      - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```

## Amazon Inspector
<a name="_amazon_inspector"></a>

 [Amazon Inspector](https://aws.amazon.com/inspector/) es un servicio de evaluación de seguridad automatizado que ayuda a mejorar la seguridad y la conformidad de las aplicaciones implementadas en AWS. Amazon Inspector evalúa automáticamente las aplicaciones para detectar la exposición, las vulnerabilidades y las desviaciones de las mejores prácticas. Después de la evaluación, Amazon Inspector genera una lista detallada de resultados relacionados con la seguridad priorizados por nivel de gravedad. Estos resultados se pueden revisar directamente o como parte de informes de evaluación detallados que están disponibles a través de la consola o la API de Amazon Inspector.

Amazon Inspector se puede utilizar para ejecutar la evaluación de CIS Benchmark en el nodo de trabajo de Windows y se puede instalar en un Windows Server Core realizando las siguientes tareas:

1. Descargue el siguiente archivo.exe: https://inspector-agent.amazonaws.com/windows/ installer/latest/AWSAgentInstall .exe

1. Transfiera el agente al nodo de trabajo de Windows.

1. Ejecute el siguiente comando PowerShell para instalar el agente de Amazon Inspector: `.\AWSAgentInstall.exe /install` 

A continuación se muestra el resultado después de la primera ejecución. Como puede ver, generó resultados basados en la base de datos del [CVE.](https://cve.mitre.org/) Puede usarlo para reforzar sus nodos de trabajo o crear una AMI basada en las configuraciones reforzadas.

![\[inspector, agente.\]](http://docs.aws.amazon.com/es_es/eks/latest/best-practices/images/windows/inspector-agent.png)


Para obtener más información sobre Amazon Inspector, incluido cómo instalar los agentes de Amazon Inspector, configurar la evaluación comparativa del CIS y generar informes, vea el vídeo Cómo [mejorar la seguridad y la conformidad de las cargas de trabajo de Windows con Amazon Inspector](https://www.youtube.com/watch?v=nIcwiJ85EKU).

## Amazon GuardDuty
<a name="_amazon_guardduty"></a>

 [Amazon GuardDuty](https://aws.amazon.com/guardduty/) es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado para proteger sus cuentas, cargas de trabajo y datos de AWS almacenados en Amazon S3. Con la nube, se simplifica la recopilación y agregación de las actividades de cuentas y redes, pero los equipos de seguridad pueden tardar mucho tiempo en analizar continuamente los datos del registro de eventos para detectar posibles amenazas.

Al utilizar Amazon, GuardDuty tiene visibilidad de las actividades maliciosas contra los nodos de trabajo de Windows, como los ataques de fuerza bruta RDP y Port Probe.

Vea el GuardDuty vídeo [Detección de amenazas para cargas de trabajo de Windows mediante Amazon](https://www.youtube.com/watch?v=ozEML585apQ) para aprender a implementar y ejecutar los puntos de referencia de CIS en una AMI de Windows optimizada para EKS

## Seguridad en Amazon EC2 para Windows
<a name="_security_in_amazon_ec2_for_windows"></a>

Lea [las prácticas recomendadas de seguridad para las instancias Windows de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) para implementar controles de seguridad en todos los niveles.