As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Fortalecimento dos nós de trabalho do Windows
O fortalecimento do sistema operacional é uma combinação de configuração do sistema operacional, correção e remoção de pacotes de software desnecessários, que visam bloquear um sistema e reduzir a superfície de ataque. É uma prática recomendada preparar sua própria AMI otimizada para Windows para EKS com as configurações de fortalecimento exigidas pela sua empresa.
A AWS fornece uma nova AMI otimizada para Windows para EKS todo mês contendo os patches de segurança mais recentes do Windows Server. No entanto, ainda é responsabilidade do usuário fortalecer sua AMI aplicando as configurações de sistema operacional necessárias, independentemente de usar grupos de nós autogerenciados ou gerenciados.
A Microsoft oferece uma variedade de ferramentas, como o [Microsoft Security Compliance Toolkit](https://www.microsoft.com/en-us/download/details.aspx?id=55319) e o [Security Baselines](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines), que ajudam você a obter o fortalecimento com base nas necessidades de suas políticas de segurança. Os [benchmarks do CIS](https://learn.cisecurity.org/benchmarks) também estão disponíveis e devem ser implementados em cima de uma AMI Windows otimizada para Amazon EKS para ambientes de produção.
## Reduzindo a superfície de ataque com o Windows Server Core
O Windows Server Core é uma opção de instalação mínima que está disponível como parte da [AMI otimizada para Windows para EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html). A implantação do Windows Server Core tem alguns benefícios. Primeiro, ele ocupa um espaço de disco relativamente pequeno, sendo 6 GB no Server Core contra 10 GB no Windows Server com experiência de desktop. Em segundo lugar, ele tem uma superfície de ataque menor por causa de sua base de código menor e disponível APIs.
A AWS fornece aos clientes novos Windows otimizados para Amazon EKS AMIs todos os meses, contendo os patches de segurança mais recentes da Microsoft, independentemente da versão compatível com o Amazon EKS. Como prática recomendada, os nós de trabalho do Windows devem ser substituídos por novos com base na mais recente AMI otimizada para Amazon EKS. Qualquer nó em execução por mais de 45 dias sem uma atualização ou substituição de nó carece das melhores práticas de segurança.
## Evitando conexões RDP
O Remote Desktop Protocol (RDP) é um protocolo de conexão desenvolvido pela Microsoft para fornecer aos usuários uma interface gráfica para se conectar a outro computador Windows em uma rede.
Como prática recomendada, você deve tratar seus nós de trabalho do Windows como se fossem hosts efêmeros. Isso significa que não há conexões de gerenciamento, atualizações e solução de problemas. Qualquer modificação e atualização deve ser implementada como uma nova AMI personalizada e substituída pela atualização de um grupo de Auto Scaling. Consulte Aplicação de **patches em servidores e contêineres do Windows** e **gerenciamento otimizado de AMI do Windows pelo Amazon EKS**.
Desative as conexões RDP nos nós do Windows durante a implantação passando o valor **false** na propriedade ssh, conforme o exemplo abaixo:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
```
Se for necessário acessar o nó do Windows, use o [AWS System Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) para estabelecer uma PowerShell sessão segura por meio do console da AWS e do agente SSM. Para ver como implementar a solução, assista [Acesse com segurança instâncias do Windows usando o AWS Systems Manager Session Manager](https://www.youtube.com/watch?v=nt6NTWQ-h6o)
Para usar o System Manager Session Manager, uma política adicional do IAM deve ser aplicada à função do IAM usada para iniciar o nó de trabalho do Windows. Abaixo está um exemplo em que a **Amazon SSMManaged InstanceCore** é especificada no manifesto do `eksctl` cluster:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
iam:
attachPolicyARNs:
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
- arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
## Amazon Inspector
[O Amazon Inspector](https://aws.amazon.com/inspector/) é um serviço automatizado de avaliação de segurança que ajuda a melhorar a segurança e a conformidade dos aplicativos implantados na AWS. O Amazon Inspector avalia automaticamente os aplicativos quanto à exposição, vulnerabilidades e desvios das melhores práticas. Depois de executar uma avaliação, o Amazon Inspector fornece uma lista detalhada das descobertas de segurança, priorizadas de acordo com seu nível de severidade. Essas descobertas podem ser analisadas diretamente ou como parte de relatórios de avaliação detalhados que estão disponíveis por meio do console ou da API do Amazon Inspector.
O Amazon Inspector pode ser usado para executar a avaliação do CIS Benchmark no nó de trabalho do Windows e pode ser instalado em um Windows Server Core executando as seguintes tarefas:
1. Baixe o seguinte arquivo.exe: https://inspector-agent.amazonaws.com/windows/ installer/latest/AWSAgentInstall .exe
1. Transfira o agente para o nó de trabalho do Windows.
1. Execute o seguinte comando PowerShell para instalar o agente do Amazon Inspector: `.\AWSAgentInstall.exe /install`
Abaixo está a saída após a primeira execução. Como você pode ver, ele gerou descobertas com base no banco de dados [CVE](https://cve.mitre.org/). Você pode usar isso para fortalecer seus nós de trabalho ou criar uma AMI com base nas configurações reforçadas.
![\[agente inspetor\]](http://docs.aws.amazon.com/pt_br/eks/latest/best-practices/images/windows/inspector-agent.png)
Para obter mais informações sobre o Amazon Inspector, incluindo como instalar agentes do Amazon Inspector, configurar a avaliação do CIS Benchmark e gerar relatórios, assista ao vídeo [Melhorando a segurança e a conformidade das cargas de trabalho do Windows com o](https://www.youtube.com/watch?v=nIcwiJ85EKU) Amazon Inspector.
## Amazon GuardDuty
GuardDutyA [Amazon](https://aws.amazon.com/guardduty/) é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger suas contas, cargas de trabalho e dados da AWS armazenados no Amazon S3. Com a nuvem, a coleta e a agregação das atividades da conta e da rede são simplificadas, mas pode ser demorado para as equipes de segurança analisarem continuamente os dados do registro de eventos em busca de possíveis ameaças.
Ao usar a Amazon, GuardDuty você tem visibilidade sobre atividades maliciosas contra nós de trabalho do Windows, como ataques de força bruta RDP e Port Probe.
Assista ao GuardDuty vídeo [Detecção de ameaças para cargas de trabalho do Windows usando a Amazon](https://www.youtube.com/watch?v=ozEML585apQ) para saber como implementar e executar benchmarks do CIS na AMI otimizada do EKS para Windows
## Segurança no Amazon EC2 para Windows
Leia sobre as [melhores práticas de segurança para instâncias Windows do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) para implementar controles de segurança em todas as camadas.