Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pengerasan node pekerja Windows
<a name="windows-hardening"></a>

OS Hardening adalah kombinasi dari konfigurasi OS, menambal, dan menghapus paket perangkat lunak yang tidak perlu, yang bertujuan untuk mengunci sistem dan mengurangi permukaan serangan. Ini adalah praktik terbaik untuk mempersiapkan EKS Optimized Windows AMI Anda sendiri dengan konfigurasi pengerasan yang diperlukan oleh perusahaan Anda.

AWS menyediakan EKS Optimized Windows AMI baru setiap bulan yang berisi Patch Keamanan Windows Server terbaru. Namun, masih menjadi tanggung jawab pengguna untuk mengeraskan AMI mereka dengan menerapkan konfigurasi OS yang diperlukan terlepas dari apakah mereka menggunakan grup node yang dikelola sendiri atau dikelola.

Microsoft menawarkan berbagai alat seperti [Microsoft Security Compliance Toolkit](https://www.microsoft.com/en-us/download/details.aspx?id=55319) dan [Security Baselines](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines) yang membantu Anda mencapai pengerasan berdasarkan kebutuhan kebijakan keamanan Anda. [Tolok Ukur CIS](https://learn.cisecurity.org/benchmarks) juga tersedia dan harus diimplementasikan di atas Amazon EKS Dioptimalkan Windows AMI untuk lingkungan produksi.

## Mengurangi permukaan serangan dengan Windows Server Core
<a name="_reducing_attack_surface_with_windows_server_core"></a>

Windows Server Core adalah opsi instalasi minimal yang tersedia sebagai bagian dari [EKS Optimized Windows AMI](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html). Menyebarkan Windows Server Core memiliki beberapa manfaat. Pertama, ia memiliki jejak disk yang relatif kecil, menjadi 6GB pada Server Core terhadap 10GB pada Windows Server dengan pengalaman Desktop. Kedua, ia memiliki permukaan serangan yang lebih kecil karena basis kode yang lebih kecil dan tersedia APIs.

AWS memberi pelanggan Windows Amazon EKS Optimized baru AMIs setiap bulan, berisi patch keamanan Microsoft terbaru, terlepas dari versi yang didukung Amazon EKS. Sebagai praktik terbaik, node pekerja Windows harus diganti dengan yang baru berdasarkan AMI terbaru yang dioptimalkan Amazon EKS. Setiap node yang berjalan selama lebih dari 45 hari tanpa pembaruan di tempat atau penggantian node tidak memiliki praktik terbaik keamanan.

## Menghindari koneksi RDP
<a name="_avoiding_rdp_connections"></a>

Remote Desktop Protocol (RDP) adalah protokol koneksi yang dikembangkan oleh Microsoft untuk menyediakan pengguna dengan antarmuka grafis untuk terhubung ke komputer Windows lain melalui jaringan.

Sebagai praktik terbaik, Anda harus memperlakukan node pekerja Windows Anda seolah-olah mereka adalah host sementara. Itu berarti tidak ada koneksi manajemen, tidak ada pembaruan, dan tidak ada pemecahan masalah. Setiap modifikasi dan pembaruan harus diimplementasikan sebagai AMI kustom baru dan diganti dengan memperbarui grup Auto Scaling. Lihat **Menambal Server dan Kontainer Windows dan** **pengelolaan AMI Windows yang dioptimalkan Amazon EKS**.

Nonaktifkan koneksi RDP pada node Windows selama penyebaran dengan meneruskan nilai **false** pada properti ssh, seperti contoh di bawah ini:

```
nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
```

Jika akses ke node Windows diperlukan, gunakan [AWS System Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) untuk membuat PowerShell sesi aman melalui AWS Console dan agen SSM. Untuk melihat cara menerapkan solusi, tonton [Akses Instans Windows dengan Aman Menggunakan AWS Systems Manager Session Manager](https://www.youtube.com/watch?v=nt6NTWQ-h6o) 

Untuk menggunakan Manajer Sesi Manajer Sistem, kebijakan IAM tambahan harus diterapkan pada peran IAM yang digunakan untuk meluncurkan node pekerja Windows. Di bawah ini adalah contoh di mana **Amazon SSMManaged InstanceCore** ditentukan dalam manifes `eksctl` cluster:

```
 nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
  iam:
    attachPolicyARNs:
      - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
      - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
      - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
      - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
      - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```

## Amazon Inspector
<a name="_amazon_inspector"></a>

 [Amazon Inspector](https://aws.amazon.com/inspector/) adalah layanan penilaian keamanan otomatis yang membantu meningkatkan keamanan dan kepatuhan aplikasi yang diterapkan di AWS. Amazon Inspector secara otomatis menilai aplikasi untuk eksposur, kerentanan, dan penyimpangan dari praktik terbaik. Setelah melakukan penilaian, Amazon Inspector menghasilkan daftar detail temuan keamanan yang diprioritaskan berdasarkan tingkat keparahan. Temuan ini dapat ditinjau secara langsung atau sebagai bagian dari laporan penilaian terperinci yang tersedia melalui konsol Amazon Inspector atau API.

Amazon Inspector dapat digunakan untuk menjalankan penilaian CIS Benchmark pada node pekerja Windows dan dapat diinstal pada Windows Server Core dengan melakukan tugas-tugas berikut:

1. Unduh file.exe berikut: .exe https://inspector-agent.amazonaws.com/windows/ installer/latest/AWSAgentInstall

1. Transfer agen ke node pekerja Windows.

1. Jalankan perintah berikut PowerShell untuk menginstal Amazon Inspector Agent: `.\AWSAgentInstall.exe /install` 

Di bawah ini adalah ouput setelah lari pertama. Seperti yang Anda lihat, itu menghasilkan temuan berdasarkan database [CVE](https://cve.mitre.org/). Anda dapat menggunakan ini untuk mengeraskan node Worker atau membuat AMI berdasarkan konfigurasi yang diperkeras.

![\[agen inspektur\]](http://docs.aws.amazon.com/id_id/eks/latest/best-practices/images/windows/inspector-agent.png)


Untuk informasi selengkapnya tentang Amazon Inspector, termasuk cara menginstal agen Amazon Inspector, menyiapkan penilaian CIS Benchmark, dan membuat laporan, tonton video [Meningkatkan keamanan dan kepatuhan Windows Workloads](https://www.youtube.com/watch?v=nIcwiJ85EKU) with Amazon Inspector.

## Amazon GuardDuty
<a name="_amazon_guardduty"></a>

 [Amazon GuardDuty](https://aws.amazon.com/guardduty/) adalah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku tidak sah untuk melindungi akun AWS, beban kerja, dan data yang disimpan di Amazon S3 Anda. Dengan cloud, pengumpulan dan agregasi aktivitas akun dan jaringan disederhanakan, tetapi dapat memakan waktu bagi tim keamanan untuk terus menganalisis data log peristiwa untuk potensi ancaman.

Dengan menggunakan Amazon, GuardDuty Anda memiliki visilitiby pada tindakan berbahaya terhadap node pekerja Windows, seperti serangan RDP brute force dan Port Probe.

Tonton [Deteksi Ancaman untuk Beban Kerja Windows menggunakan GuardDuty video Amazon](https://www.youtube.com/watch?v=ozEML585apQ) untuk mempelajari cara menerapkan dan menjalankan Tolok Ukur CIS pada EKS Windows AMI yang Dioptimalkan

## Keamanan di Amazon EC2 untuk Windows
<a name="_security_in_amazon_ec2_for_windows"></a>

Baca tentang [praktik terbaik Keamanan untuk instans Windows Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) untuk menerapkan kontrol keamanan di setiap lapisan.