기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Windows 작업자 노드 강화
<a name="windows-hardening"></a>

OS 강화는 시스템을 잠그고 공격 표면을 줄이는 것을 목표로 하는 불필요한 소프트웨어 패키지의 OS 구성, 패치 적용 및 제거의 조합입니다. 회사에서 요구하는 강화 구성을 사용하여 자체 EKS 최적화 Windows AMI를 준비하는 것이 모범 사례입니다.

AWS는 최신 Windows Server 보안 패치가 포함된 새로운 EKS 최적화 Windows AMI를 매월 제공합니다. 그러나 자체 관리형 또는 관리형 노드 그룹을 사용하는지 여부에 관계없이 필요한 OS 구성을 적용하여 AMI를 강화하는 것은 여전히 사용자의 책임입니다.

Microsoft는 보안 정책 요구 사항에 따라 강화하는 데 도움이 되는 [Microsoft 보안 규정 준수 도구 키트](https://www.microsoft.com/en-us/download/details.aspx?id=55319) 및 보안 [기준](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines)과 같은 다양한 도구를 제공합니다. [CIS 벤치마크](https://learn.cisecurity.org/benchmarks)도 사용할 수 있으며 프로덕션 환경을 위한 Amazon EKS 최적화 Windows AMI를 기반으로 구현해야 합니다.

## Windows Server Core를 사용하여 공격 표면 줄이기
<a name="_reducing_attack_surface_with_windows_server_core"></a>

Windows Server Core는 [EKS 최적화 Windows AMI](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html)의 일부로 사용할 수 있는 최소 설치 옵션입니다. Windows Server Core 배포에는 몇 가지 이점이 있습니다. 첫째, 디스크 공간이 비교적 작아서 Server Core의 경우 6GB이고 데스크톱 환경이 있는 Windows Server의 경우 10GB입니다. 둘째, 더 작은 코드 베이스와 사용 가능한 APIs.

AWS는 Amazon EKS 지원 버전과 관계없이 최신 Microsoft 보안 패치가 포함된 새로운 Amazon EKS 최적화 Windows AMIs를 고객에게 매월 제공합니다. 모범 사례로 Windows 작업자 노드는 최신 Amazon EKS 최적화 AMI를 기반으로 새 노드로 교체해야 합니다. 업데이트 또는 노드 교체 없이 45일 이상 실행 중인 모든 노드에는 보안 모범 사례가 없습니다.

## RDP 연결 방지
<a name="_avoiding_rdp_connections"></a>

RDP(원격 데스크톱 프로토콜)는 네트워크를 통해 다른 Windows 컴퓨터에 연결할 수 있는 그래픽 인터페이스를 사용자에게 제공하기 위해 Microsoft에서 개발한 연결 프로토콜입니다.

가장 좋은 방법은 Windows 작업자 노드를 임시 호스트인 것처럼 취급하는 것입니다. 즉, 관리 연결, 업데이트 및 문제 해결이 없습니다. 모든 수정 및 업데이트는 새 사용자 지정 AMI로 구현되고 Auto Scaling 그룹을 업데이트하여 대체되어야 합니다. **Windows Server 및 컨테이너 패치 및** **Amazon EKS 최적화 Windows AMI 관리를** 참조하세요.

아래 예제와 같이 ssh 속성에 **false** 값을 전달하여 배포 중에 Windows 노드에서 RDP 연결을 비활성화합니다.

```
nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
```

Windows 노드에 액세스해야 하는 경우 [AWS System Manager 세션 관리자](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)를 사용하여 AWS 콘솔 및 SSM 에이전트를 통해 안전한 PowerShell 세션을 설정합니다. 솔루션을 구현하는 방법을 보려면 [ AWS Systems Manager 세션 관리자를 사용하여 Windows 인스턴스에 안전하게 액세스](https://www.youtube.com/watch?v=nt6NTWQ-h6o)하기 

System Manager Session Manager를 사용하려면 Windows 작업자 노드를 시작하는 데 사용되는 IAM 역할에 추가 IAM 정책을 적용해야 합니다. 다음은 **AmazonSSMManagedInstanceCore**가 `eksctl` 클러스터 매니페스트에 지정되는 예입니다.

```
 nodeGroups:
- name: windows-ng
  instanceType: c5.xlarge
  minSize: 1
  volumeSize: 50
  amiFamily: WindowsServer2019CoreContainer
  ssh:
    allow: false
  iam:
    attachPolicyARNs:
      - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
      - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
      - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
      - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
      - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```

## Amazon Inspector –
<a name="_amazon_inspector"></a>

 [Amazon Inspector](https://aws.amazon.com/inspector/)는 AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동화된 보안 평가 서비스입니다. Amazon Inspector는 애플리케이션의 노출, 취약성 및 모범 사례와의 편차를 자동으로 평가합니다. 평가를 수행한 후, Amazon Inspector는 상세한 보안 평가 결과 목록을 제공하며, 이 목록은 심각도 수준에 따라 구성되어 있습니다. 이러한 결과는 직접 검토하거나 Amazon Inspector 콘솔 또는 API를 통해 사용할 수 있는 세부 평가 보고서의 일부로 검토할 수 있습니다.

Amazon Inspector는 Windows 작업자 노드에서 CIS 벤치마크 평가를 실행하는 데 사용할 수 있으며 다음 작업을 수행하여 Windows Server Core에 설치할 수 있습니다.

1. .exe 파일을 다운로드합니다. https://inspector-agent.amazonaws.com/windows/installer/latest/AWSAgentInstall.exe

1. 에이전트를 Windows 작업자 노드로 전송합니다.

1. PowerShell에서 다음 명령을 실행하여 Amazon Inspector 에이전트를 설치합니다. `.\AWSAgentInstall.exe /install` 

다음은 첫 번째 실행 후 출력입니다. 보시다시피 [CVE](https://cve.mitre.org/) 데이터베이스를 기반으로 조사 결과를 생성했습니다. 이를 사용하여 작업자 노드를 강화하거나 강화된 구성을 기반으로 AMI를 생성할 수 있습니다.

![\[검사기 에이전트\]](http://docs.aws.amazon.com/ko_kr/eks/latest/best-practices/images/windows/inspector-agent.png)


Amazon Inspector 에이전트를 설치하고, CIS 벤치마크 평가를 설정하고, 보고서를 생성하는 방법을 포함하여 Amazon Inspector에 대한 자세한 내용은 [ Amazon Inspector로 Windows 워크로드의 보안 및 규정 준수 개선 동영상을 참조하세요](https://www.youtube.com/watch?v=nIcwiJ85EKU).

## Amazon GuardDuty
<a name="_amazon_guardduty"></a>

 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)는 악의적인 활동 및 무단 동작을 지속적으로 모니터링하여 Amazon S3에 저장된 AWS 계정, 워크로드 및 데이터를 보호하는 위협 탐지 서비스입니다. 클라우드를 사용하면 계정 및 네트워크 활동의 수집 및 집계가 간소화되지만 보안 팀이 잠재적 위협에 대한 이벤트 로그 데이터를 지속적으로 분석하는 데 시간이 많이 걸릴 수 있습니다.

Amazon GuardDuty를 사용하면 RDP 무차별 대입 및 포트 프로브 공격과 같은 Windows 작업자 노드에 대한 악의적인 활동을 감시할 수 있습니다.

[Amazon GuardDuty를 사용하여 Windows 워크로드에 대한 위협 탐지](https://www.youtube.com/watch?v=ozEML585apQ) 비디오를 보고 최적화된 EKS Windows AMI에서 CIS 벤치마크를 구현하고 실행하는 방법을 알아봅니다.

## Windows용 Amazon EC2의 보안
<a name="_security_in_amazon_ec2_for_windows"></a>

[Amazon EC2 Windows 인스턴스의 보안 모범 사례를](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) 읽고 모든 계층에서 보안 제어를 구현하세요.