本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Windows 工作节点强化
操作系统强化是操作系统配置、修补和删除不必要的软件包的组合,旨在锁定系统并减少攻击面。最佳做法是使用贵公司所需的强化配置来准备自己的 EKS 优化型 Windows AMI。
AWS 每月都会提供一个新的 EKS 优化版 Windows AMI,其中包含最新的 Windows 服务器安全补丁。但是,无论用户使用的是自我管理的还是托管的节点组,用户仍有责任通过应用必要的操作系统配置来强化其 AMI。
Microsoft 提供了一系列工具,例如 [Microsoft 安全合规工具包](https://www.microsoft.com/en-us/download/details.aspx?id=55319)[和安全基准](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines),可帮助您根据自己的安全策略需求实现强化。[CIS 基准测试](https://learn.cisecurity.org/benchmarks)也可用,应在适用于生产环境的 Amazon EKS 优化的 Windows AMI 的基础上实施。
## 使用 Windows 服务器核心减少攻击面
Windows Server Core 是一个最低安装选项,作为 [EKS 优化的 Windows AMI](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html) 的一部分提供。部署 Windows 服务器核心有几个好处。首先,它的磁盘占用空间相对较小,在服务器核心上为6GB,而在具有台式机体验的Windows服务器上为10GB。其次,它的攻击面较小,因为它的代码库较小且可用 APIs。
无论亚马逊 EKS 支持的版本如何,AWS 每月 AMIs 都会为客户提供新的亚马逊 EKS 优化版 Windows,其中包含最新的微软安全补丁。作为最佳实践,必须使用基于最新 Amazon EKS 优化的 AMI 的新工作节点替换 Windows 工作节点。任何运行超过 45 天但未进行更新或节点更换的节点都缺乏安全最佳实践。
## 避开 RDP 连接
远程桌面协议 (RDP) 是微软开发的一种连接协议,旨在为用户提供通过网络连接到另一台 Windows 计算机的图形界面。
作为最佳实践,您应该将 Windows 工作节点当作临时主机对待。这意味着没有管理连接,没有更新,也没有故障排除。任何修改和更新都应作为新的自定义 AMI 实现,并通过更新 Auto Scaling 组来取而代之。请参阅**修补 Windows 服务器和容器以及****亚马逊 EKS 优化的 Windows AMI 管理**。
在部署期间,通过在 ssh 属性上传递值 **false 来禁用 Windows 节点上的** RDP 连接,如下例所示:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
```
如果需要访问 Windows 节点,请使用 [AWS 系统管理器会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)通过 AWS 控制台和 SSM 代理建立安全 PowerShell 会话。要了解如何实施该解决方案,请观看[使用 AWS Systems Manager 会话管理器安全访问 Windows 实例](https://www.youtube.com/watch?v=nt6NTWQ-h6o)
要使用系统管理器会话管理器,必须对用于启动 Windows 工作节点的 IAM 角色应用额外的 IAM 策略。以下是在集`eksctl`群清单中指定SSMManagedInstanceCore了 **Amazon** 的示例:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
iam:
attachPolicyARNs:
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
- arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
## Amazon Inspector
[Amazon Inspector](https://aws.amazon.com/inspector/) 是一项自动安全评估服务,可帮助提高部署在 AWS 上的应用程序的安全性和合规性。Amazon Inspector 会自动评估应用程序的暴露程度、漏洞以及与最佳实践的偏差。执行评估后,Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。这些发现可以直接查看,也可以作为详细评估报告的一部分进行审查,这些报告可通过 Amazon Inspector 控制台或 API 获得。
Amazon Inspector 可用于在 Windows 工作节点上运行 CIS 基准评估,也可以通过执行以下任务将其安装在 Windows 服务器核心上:
1. 下载以下.exe 文件:https://inspector-agent.amazonaws.com/windows/installer/latest/AWSAgentInstall.exe
1. 将代理转移到 Windows 工作节点上。
1. 运行以下命令 PowerShell 以安装 Amazon Inspector 代理:`.\AWSAgentInstall.exe /install`
以下是第一次运行后的输出。如您所见,它根据 [CVE](https://cve.mitre.org/) 数据库生成了调查结果。您可以使用它来强化您的工作节点或基于强化配置创建 AMI。
![\[探员代理\]](http://docs.aws.amazon.com/zh_cn/eks/latest/best-practices/images/windows/inspector-agent.png)
有关 Amazon Inspector 的更多信息,包括如何安装亚马逊 Inspector 代理、设置 CIS 基准评估以及生成报告,请观看[使用亚马逊 Inspector 提高 Windows 工作负载的安全性和合规性](https://www.youtube.com/watch?v=nIcwiJ85EKU)视频。
## 亚马逊 GuardDuty
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为,以保护您的 AWS 账户、工作负载和存储在 Amazon S3 中的数据。使用云可以简化账户和网络活动的收集和汇总,但是安全团队持续分析事件日志数据中是否存在潜在威胁可能会很耗时。
通过使用 Amazon, GuardDuty 您可以查看针对 Windows 工作节点的恶意活动,例如 RDP 暴力攻击和端口探测攻击。
观看[使用亚马逊针对 Windows 工作负载进行威胁检测 GuardDuty](https://www.youtube.com/watch?v=ozEML585apQ)视频,了解如何在优化的 EKS Windows AMI 上实施和运行 CIS 基准测试
## 适用于 Windows 的 Amazon EC2 中的安全
阅读[适用于 Amazon EC2 Windows 实例的安全最佳实践](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html),以便在每一层实施安全控制。