本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Windows 工作者節點強化
作業系統強化是作業系統組態、修補和移除不必要軟體套件的組合,旨在鎖定系統並減少攻擊面。最佳實務是使用貴公司所需的強化組態來準備您自己的 EKS Optimized Windows AMI。
AWS 每月提供新的 EKS 最佳化 Windows AMI,其中包含最新的 Windows Server 安全修補程式。不過,無論使用者是使用自我管理還是受管節點群組,使用者仍有責任透過套用必要的作業系統組態來強化其 AMI。
Microsoft 提供各種工具,例如 [Microsoft 安全合規工具組](https://www.microsoft.com/en-us/download/details.aspx?id=55319)和[安全基準](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines),可協助您根據您的安全政策需求實現強化。[CIS 基準](https://learn.cisecurity.org/benchmarks)也可供使用,並且應該在生產環境的 Amazon EKS Optimized Windows AMI 上實作。
## 使用 Windows Server Core 減少攻擊面
Windows Server Core 是最小的安裝選項,可作為 [EKS Optimized Windows AMI](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html) 的一部分使用。部署 Windows Server Core 有幾個優點。首先,其磁碟佔用空間相對較小,在具有桌面體驗的 Windows Server 上,在 Server Core 上為 6GB,在 Windows Server 上為 10GB。其次,它具有較小的攻擊面,因為它的程式碼基礎和可用的 APIs 較小。
AWS 每月為客戶提供新的 Amazon EKS Optimized Windows AMIs,包含最新的 Microsoft 安全性修補程式,無論 Amazon EKS 支援的版本為何。根據最佳實務,Windows 工作者節點必須取代為以最新 Amazon EKS 最佳化 AMI 為基礎的新節點。任何執行超過 45 天的節點,如果沒有更新或節點替換,則缺少安全最佳實務。
## 避免 RDP 連線
遠端桌面通訊協定 (RDP) 是由 Microsoft 開發的連線通訊協定,可提供使用者圖形界面,以透過網路連線至其他 Windows 電腦。
根據最佳實務,您應該將 Windows 工作者節點視為暫時性主機。這表示沒有管理連線、沒有更新,也沒有故障診斷。任何修改和更新都應實作為新的自訂 AMI,並以更新 Auto Scaling 群組取代。請參閱**修補 Windows 伺服器和容器**,以及 **Amazon EKS 最佳化 Windows AMI 管理**。
在部署期間,透過在 ssh 屬性上傳遞 **false** 值來停用 Windows 節點上的 RDP 連線,如以下範例所示:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
```
如果需要存取 Windows 節點,請使用 [AWS System Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 透過 AWS 主控台和 SSM 代理程式建立安全的 PowerShell 工作階段。若要了解如何實作解決方案,[請使用 AWS Systems Manager Session Manager 監看安全存取 Windows 執行個體](https://www.youtube.com/watch?v=nt6NTWQ-h6o)
若要使用 System Manager Session Manager,必須將額外的 IAM 政策套用至用來啟動 Windows 工作者節點的 IAM 角色。以下是`eksctl`叢集資訊清單中指定 **AmazonSSMManagedInstanceCore** 的範例:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
iam:
attachPolicyARNs:
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
- arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
## Amazon Inspector
[Amazon Inspector](https://aws.amazon.com/inspector/) 是一種自動化安全評估服務,可協助改善部署在 AWS 上應用程式的安全性和合規性。Amazon Inspector 會自動評估應用程式是否有暴露、漏洞和與最佳實務的偏差。執行評估後,Amazon Inspector 會依據嚴重性層級,產生詳細的安全調查結果清單。這些調查結果可以直接檢閱,也可以作為詳細評估報告的一部分,這些報告可透過 Amazon Inspector 主控台或 API 取得。
Amazon Inspector 可用於在 Windows 工作者節點上執行 CIS Benchmark 評估,並且可以透過執行下列任務將其安裝在 Windows Server Core 上:
1. 下載下列 .exe 檔案:https://https://inspector-agent.amazonaws.com/windows/installer/latest/AWSAgentInstall.exe
1. 將代理程式轉移到 Windows 工作者節點。
1. 在 PowerShell 上執行下列命令來安裝 Amazon Inspector Agent: `.\AWSAgentInstall.exe /install`
以下是第一次執行後的輸出。如您所見,它會根據 [CVE](https://cve.mitre.org/) 資料庫產生調查結果。您可以使用它來強化工作者節點,或根據強化的組態建立 AMI。
![\[檢測器代理程式\]](http://docs.aws.amazon.com/zh_tw/eks/latest/best-practices/images/windows/inspector-agent.png)
如需 Amazon Inspector 的詳細資訊,包括如何安裝 Amazon Inspector 代理程式、設定 CIS 基準評估和產生報告,請觀看[透過 Amazon Inspector 影片改善 Windows 工作負載的安全性和合規性](https://www.youtube.com/watch?v=nIcwiJ85EKU)。
## Amazon GuardDuty
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 是一種威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護存放在 Amazon S3 中的 AWS 帳戶、工作負載和資料。雲端可簡化帳戶和網路活動的收集和彙總,但安全團隊可能需要花費一些時間來持續分析事件日誌資料,以找出潛在的威脅。
透過使用 Amazon GuardDuty,您對 Windows 工作者節點的惡意動作具有可見性,例如 RDP 暴力破解和 Port Probe 攻擊。
[使用 Amazon GuardDuty 影片觀看 Windows 工作負載的威脅偵測](https://www.youtube.com/watch?v=ozEML585apQ),了解如何在最佳化 EKS Windows AMI 上實作和執行 CIS 基準
## Amazon EC2 for Windows 中的安全性
閱讀 [Amazon EC2 Windows 執行個體的安全最佳實務](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html),在每一層實作安全控制。