Amazon EC2 中的配置管理

亚马逊机器映像（AMI）为 Amazon EC2 实例提供了初始配置，其中包括 Windows OS 和可选的客户特定的自定义项，例如应用程序和安全控制。创建包含自定义安全配置基准的 AMI 目录可确保使用标准安全控制启动所有 Windows 实例。可以将安全基准烘焙成 AMI，在启动 EC2 实例时动态引导它，或将它打包为产品，以便通过 Amazon Service Catalog 产品组合进行统一分发。有关保护 AMI 的更多信息，请参阅构建 AMI 的最佳实践。

每个 Amazon EC2 实例都应遵循组织安全标准。请勿安装任何不需要的 Windows 角色和功能，并安装软件来抵御恶意代码（防病毒软件、防恶意软件、利用缓解）、监控主机完整性并执行入侵检测。配置安全软件来监控和维护 OS 安全设置，保护关键 OS 文件的完整性，并在偏离安全基准时发出警报。考虑实施由 Microsoft、互联网安全中心 (CIS) 或美国国家标准与技术研究院 (NIST) 发布的建议安全配置基准。考虑对特定的应用程序服务器使用其他 Microsoft 工具，例如 SQL Server 的最佳实践分析器。

Amazon 客户还可以运行 Amazon Inspector 评估，以改进 Amazon EC2 实例上部署的应用程序的安全性和合规性。Amazon Inspector 将自动评估应用程序以查看是否存在漏洞或偏离最佳实践，并且包含一个知识库，其中包含映射到常见安全合规性标准（例如，PCI DSS）和漏洞定义的几百条规则。内置规则的示例包括检查是否启用了远程根登录或是否安装了易受攻击的软件版本。Amazon 安全研究员会定期更新这些规则。