O blog da AWS

Uma perspectiva da AWS sobre o gerenciamento seguro da infraestrutura do Windows Server em larga escala

Por Vladimir Provorov, Arquiteto de Soluções de produtos no time AWS Identity
Neste blog, forneceremos uma abordagem holística para ajudar os clientes a gerenciar sua infraestrutura do Windows Server de forma segura e em larga escala, tanto para cenários nativos na nuvem quanto em nuvem híbrida, usando os serviços da AWS. Essa abordagem ajuda nossos clientes a usar soluções operacionais mais eficientes, unificadas e automatizadas para gerenciar a infraestrutura de servidores.

As inovações na nuvem abriram novas possibilidades para clientes corporativos que executam sua infraestrutura de Windows Server. Atualmente, a infraestrutura de TI corporativa está se transformando em um provedor de identidade em escala global para todos os usuários e dispositivos. Os servidores são provisionados dinamicamente sob demanda ou quando novas configurações são disponibilizadas. Os administradores de TI usam ferramentas centralizadas de gerenciamento de configuração ponta a ponta, contando com processos automatizados, independentemente da localização física e da rede dos servidores. Os usuários trabalham remotamente sem conexão persistente com uma rede corporativa isolada.

Os seguintes serviços da AWS foram projetados para ajudar a facilitar o gerenciamento seguro e escalável de um fleet de servidores na nuvem, on-premisses e em ambientes híbridos. Especificamente, consideraremos os seguintes serviços:

  1. Gerencie o acesso com o AWS IAM Identity Center (successor to AWS Single Sign-On) e o AWS Identity and Access Management.
  2. Implante servidores com o EC2 Image Builder.
  3. Configure instâncias EC2 Windows usando o AWS Systems Manager State Manager.
  4. Gerencie servidores Windows com o AWS Systems Manager Fleet Manager.
  5. Atualize o sistema operacional e as aplicações com o AWS Systems Manager Patch Manager.
  6. Monitore servidores Windows com o Amazon CloudWatch.

AWS services on different phases of a server lifecycle.

Figura 1. Serviços da AWS em diferentes fases do ciclo de vida de um servidor.

 

Cada um desses serviços pode ser adicionado à sua infraestrutura individualmente ou em conjunto, e pode ser usado tanto para servidores associados a um domínio do Active Directory quanto sem domínio.

. Gerenciamento de identidade e acesso com o AWS IAM Identity Center (successor to AWS Single Sign-On)

Cada cliente tem um histórico único de seus serviços de identidade corporativa, geralmente projetados em um momento diferente e com base em diferentes tecnologias e protocolos de segurança. Muitos clientes passaram anos criando e implementando serviços de identidade corporativa on-premises, como o Active Directory (AD), e criaram ou implantaram aplicações corporativas com base nestes. Outros já adotaram provedores de identidade como um serviço. Os serviços de Identidade AWS fornecem uma maneira fácil de se integrar com qualquer combinação de configurações de identidade legadas e serviços de identidade modernos.

O AWS IAM Identity Center (successor to AWS Single Sign-On) é um hub de identidade que permite aos clientes criar e gerenciar um novo repositório de identidades na nuvem ou trazer suas identidades existentes de um provedor de identidade na nuvem ou do AD on-premises. Sua equipe de TI pode continuar usando suas identidades existentes para gerenciar servidores Windows na nuvem. O AWS IAM Identity Center funciona como uma camada de abstração de identidade conectando usuários, aplicações e serviços, independentemente da fonte de identidade, usando protocolos de padrão aberto para federação de identidade. O AWS IAM Identity Center se integra com Azure AD, Okta, OneLogin, Ping Identity ou qualquer outro provedor que suporte os padrões SAML 2.0 e SCIM.

Depois de criar credenciais de usuário no AWS IAM Identity Center  (ou integrá-las a um provedor de identidade externo), sua equipe de TI pode usá-las para fazer login em instâncias do Windows Server em execução no Amazon EC2. Para controlar com precisão quais usuários terão acesso a quais grupos de servidores, você pode enviar atributos de usuário na sessão da AWS quando seus colaboradores acessarem a nuvem usando o AWS IAM Identity Center. Por exemplo, somente um grupo designado de administradores de banco de dados pode ser capaz de fazer login em instâncias do Amazon EC2 com o Windows Server executando o SQL Server para o ambiente de produção.

As credenciais do AWS IAM Identity Center podem ser usadas no Amazon EC2 e no console do AWS Systems Manager Fleet Manager para fazer login seguro em sessões de desktop do Windows baseadas na nuvem, diretamente do console de gerenciamento. Esse recurso permite que os usuários façam login na área de trabalho do servidor com suas credenciais modernas e individuais, sem precisar ingressar estes servidores ao Active Directory, conectar as instâncias do EC2 à Internet ou usar os bastion hosts.

AWS SSO roles permission sets and IAM role assumption to access Windows Server EC2 with SSO credentials.

Figura 2. Funções de SSO da AWS, conjuntos de permissões e suposição de funções do IAM para acessar o Windows Server EC2 com credenciais de SSO.

 

No exemplo da Figura 2, um usuário navega (1) até o portal corporativo do AWS IAM Identity Center. No caso em que o AWS IAM Identity Center (portal SSP) estiver configurado para usar um provedor de identidade externo, ele redirecionará (2) o usuário para se autenticar usando a identidade externa. O provedor de identidade externo realiza a validação da credencial e redireciona o usuário de volta ao portal SSP da AWS. O usuário navega (3) até a página do Fleet Manager em sua conta da AWS para ver uma lista das instâncias do EC2 em execução em sua conta AWS. Depois de selecionar a instância do EC2, o usuário clica no botão “Conectar à área de trabalho remota” e seu navegador e abre (4) uma nova guia com a sessão remota interativa sob o nome da conta de usuário fornecida quando o usuário fez login no AWS IAM Identity Center. O Fleet Manager cria automaticamente um usuário administrativo local com uma senha temporária para esta sessão e faz o login do usuário automaticamente.

Consulte a postagem do blog de segurança da AWS para saber como habilitar o login único e seguro em instâncias Windows do Amazon EC2 com o AWS IAM Identity Center.

2. Implante servidores com o EC2 Image Builder

Um dos principais componentes de uma infraestrutura computacional confiável e segura são as imagens de servidor usadas para implantar toda a infraestrutura do servidor na nuvem AWS. Nossos clientes precisam ter certeza de que seus servidores on-premises sem domínio e também os associados a domínios e instâncias do EC2 sejam implantados usando as versões corretas do sistema operacional, e tenham as configuração corretas, bem como configurações de segurança aderentes aos requisitos dos clientes e recebam as atualizações de software mais recentes disponíveis.

O EC2 Image Builder permite que os clientes automatizem o ciclo de vida das imagens do sistema operacional. Os clientes podem começar com uma imagem do sistema operacional fornecida pela Amazon ou fazer upload de sua própria imagem, instalar e configurar os softwares necessários, aplicar políticas de configuração e segurança do servidor, executar automaticamente testes pré-configurados e/ou fornecidos pelo cliente e, se os testes forem bem-sucedidos, criar uma imagem. Se necessário, o EC2 Image Builder pode replicar uma imagem gerada em diferentes regiões da AWS em que essa imagem será usada para uma implantação manual ou automatizada de servidores (Figura 3).

 

EC2 Image Builder pipeline to create an AMI image.

Figura 3. Pipeline do EC2 Image Builder para criar uma imagem AMI.

 

O pipeline de automação do EC2 Image Builder permite que os clientes tenham as imagens de suas máquinas sempre configuradas, testadas e atualizadas sem a necessidade de ações manuais. Os testes fornecidos pela AWS podem ser usados para validar facilmente funcionalidades especificas, como por exemplo, se as imagens são inicializadas, se os drivers necessários estão instalados e se as imagens são reforçadas para atender aos padrões de segurança.

O EC2 Image Builder permite criar imagens somente com os componentes essenciais, reduzindo sua exposição às vulnerabilidades de segurança. Você pode aplicar as configurações de segurança fornecidas pela AWS para proteger ainda mais suas imagens e atender aos requisitos dos padrões de segurança, como o Guia de Implementação Técnica de Segurança (STIG), conforme ilustrado na Figura 4.

Amazon-managed component for hardening Windows Server for STIG compliance.

Figura 4. Componente gerenciado pela Amazon para hardening do Windows Server em conformidade com o STIG.

 

Usando componentes de compilação fornecidos pela AWS, você pode: implantar funções especificas do servidor (Server Roles); configurar runtimes do PowerShell, .NET, Go ou Python; instalar agentes para Amazon Corretto, Amazon Kinesis e Amazon CloudWatch; e otimizar sua imagem para o Amazon Elastic Container Service ou Serviço Amazon Elastic Kubernetes.

O EC2 Image Builder oferece suporte não apenas às Amazon Machine Images, mas também a vários formatos de imagens de máquina virtual, incluindo Microsoft Hyper-V (VHD/VHDX), VMware vSphere (VMDK), Open Virtualization Format (OVF) e formatos raw. Esse recurso ajuda você a usar imagens de sistema operacional consistentes em infraestruturas de TI híbridas, abrangendo a nuvem da AWS e as plataformas de virtualização locais.

3. Configurar instâncias do Windows EC2 usando o AWS Systems Manager State Manager

Gerenciar manualmente uma grande frota de servidores fora de um domínio pode ser um desafio devido ao grande número de configurações, possíveis erros humanos e desvios inevitáveis de configuração. O AWS Systems Manager State Manager é um serviço de gerenciamento de configuração seguro e escalável que automatiza o processo de manter suas instâncias Amazon EC2 e sua infraestrutura híbrida em um estado previamente definido.

O AWS Systems Manager State Manager fornece vários recursos para garantir que a configuração do servidor corresponda às políticas corporativas de TI:

  • Instalar e atualizar softwares e agentes de terceiros.
  • Definir as configurações de rede.
  • Executar scripts de configuração personalizados em instâncias gerenciadas.

Você pode atribuir manualmente instâncias ou grupos de recursos do EC2, ou especificar tags que serão usadas para encontrar servidores para aplicar a configuração correta (Figura 5). Essa abordagem é muito útil para ambientes dinâmicos com Auto Scaling. Além disso, você pode configurar o número ou a porcentagem de instâncias que executarão a tarefa de configuração ao mesmo tempo, bem como o limite de erro para interromper uma tarefa de configuração se a mesma falhar.

State Manager target selection options.

Figura 5. Opções de seleção de instâncias do State Manager.

 

O State Manager é integrado nativamente com a Desired State Configuration (DSC) do PowerShell. Uma configuração do PowerShell DSC é um modelo de configuração especializado do PowerShell que usa arquivos MOF. Você pode executar arquivos DSC MOF para impor o estado desejado nas instâncias gerenciadas do Windows Server com o State Manager, um recurso do AWS Systems Manager. O State Manager registra e relata o status de cada execução de arquivo MOF e reporta o resultado de cada execução de arquivo MOF como um evento de conformidade, que você pode visualizar na página de conformidade do AWS Systems Manager.

Um passo a passo detalhado para a implantação do AWS Systems Manager State Manager com o PowerShell DSC é descrito na publicação do blog “Combater o desvio de configuração usando o Amazon EC2 Systems Manager e o Windows PowerShell DSC”. Se você estiver usando o Active Directory com políticas de grupo (GPO) para configurar seus servidores Windows, você pode simplesmente converter seus objetos de política de grupo existentes em arquivos DCS do PowerShell usando o comando ConvertFrom-GPO do módulo BaselineManagement. Depois disso, você pode usar arquivos DSC MOF exportados no AWS Systems Manager State Manager, conforme descrito no guia do State Manager.

4. Gerencie servidores Windows com o Fleet Manager

O AWS Systems Manager Fleet Manager (Fleet Manager) ajuda a gerenciar servidores Windows físicos e virtuais, independentemente da localização de rede. Quando você executa milhares de servidores Windows/Linux e dispositivos de IoT, você precisa de uma ferramenta que permita realizar tarefas administrativas em diversos fleets de instâncias e configurações (Figura 6).

Figure 6. Overview of the server fleet in AWS Systems Manager Fleet Manager.

Figura 6. Visão geral do fleet de servidores no AWS Systems Manager Fleet Manager.

 

A equipe de TI pode usar o Fleet Manager como um painel de controle para obter visibilidade em toda o fleet de servidores com visualizações em tempo real de arquivos de log, registros de eventos, contadores de desempenho e processos (Figura 7), permitindo que eles solucionem problemas rapidamente sem fazer login manual em cada servidor.

Using Fleet Manager to display processes list on Windows Server

Figura 7. Explorando os processos do sistema na instância do EC2 com o Windows Server.

 

Além disso, o Fleet Manager é útil para alterar rapidamente as configurações do Registro do Windows (Figura 8) ou gerenciar usuários e grupos locais em servidores a partir do console da AWS, o que permite que sua equipe de TI corrija o problema rapidamente.

Browsing registry on the EC2 instance with Windows Server in the AWS Systems Manager Fleet Manager console.

Figura 8. Navegando no registro da instância do EC2 com o Windows Server no console do AWS Systems Manager Fleet Manager.

 

Saiba mais sobre o Fleet Manager na página do AWS Systems Manager.

 

5. Atualize o sistema operacional e as suas aplicações com o Systems Manager Patch Manager

Manter os servidores atualizados com os patches de segurança mais atuais é um dos requisitos de segurança mais importantes em uma organização. O Patch Manager é um recurso do AWS Systems Manager que automatiza o processo de aplicação de patches em servidores com atualizações relacionadas à segurança e outros tipos de atualizações para sistemas operacionais e aplicações como Microsoft Office e Microsoft SQL Server.

O Patch Manager baixa automaticamente os patches e service packs do Windows diretamente do site do Microsoft Update e gerencia automaticamente as baselines de patches com base na data de lançamento. Além disso, você pode aprovar ou rejeitar manualmente patches específicos. Você pode instalar patches em grupos de servidores usando tags para atribuir patch baselines. O Patch Manager examinará automaticamente suas instâncias em busca de patches aplicáveis e os instalará com base no cronograma personalizável. Você pode gerar um relatório de conformidade de patches manual, ou gerar relatórios regularmente.

O Patch Manager inclui baselines de patches pré-criadas para o Windows Server: AWS-WindowsPredefinedPatchBaseline-OS e AWS-WindowsPredefinedPatchBaseline-OS-Applications. Ambos aprovam todos os patches críticos e de segurança para o Windows Server e uma severidade MSRC de “Crítico” ou “Importante”. Os patches são aprovados automaticamente sete dias após o lançamento. O AWS- WindowsPredefinedPatchBaseline-OS-Applications também aprova automaticamente todos os patches para aplicativos da Microsoft distribuídos por meio do Microsoft Update.

As regras de aprovação (Figura 9) podem ser muito refinadas para atender às suas necessidades. Por exemplo, você pode definir um menor atraso de aprovação automática para atualizações críticas do Windows Server 2016 e aplicar essa baseline para testar instâncias do EC2, nas quais você deseja testar patches antes de implementá-los no ambiente de produção.

Patch Manager approval rules for deploying updates.

Figura 9. Regras de aprovação do Patch Manager para implantação de atualizações.

 

Para obter mais informações sobre como aplicar patches na infraestrutura do Windows Server na AWS, recomendamos consultar a postagem detalhada do blog “Atualizando suas instâncias do Windows EC2 usando o AWS Systems Manager Patch Manager”.

 

6. Monitore servidores Windows com o Amazon CloudWatch

Nossos clientes estão usando servidores Windows hospedados na nuvem da AWS, em várias nuvens e em datacenters on-premises em cenários com ou sem domínio. Ao implantar um agente do Amazon CloudWatch, você pode coletar todos os eventos e métricas de desempenho de todos os seus servidores e aplicações, monitorá-los em um único console e configurar alarmes para realizar ações automatizadas para escalar ou reparar sua infraestrutura instantaneamente, reduzindo o tempo de resolução. Um agente do CloudWatch permite que você colete métricas associadas a qualquer contador de desempenho do Windows e transmita eventos do Registro de Eventos do Windows para o CloudWatch Logs (Figura 10).

Figura 10. Métricas do CloudWatch para instâncias EC2 do Windows Server.

 

Os clientes podem configurar uma conexão privada com Amazon VPC e com o CloudWatch Logs usando os endpoints VPC da interface do AWS PrivateLink. Isso permite monitorar as instâncias do Windows Server EC2, mesmo quando elas são implantadas em uma VPC isolada.

CloudWatch alert based on Windows Server CPU utilization.

Figura 11. Alerta do CloudWatch com base na utilização da CPU do Windows Server.

 

O CloudWatch pode ser usado para monitorar os serviços da AWS e a integridade do seu servidor de forma conjunta (Figura 11). Você pode definir métricas calculadas e agregadas em vários servidores e serviços da AWS; por exemplo, para acionar um Auto Scaling da sua infraestrutura de servidor, executar um script de recuperação automática com uma função Lambda ou notificar sua equipe de TI de que há uma anomalia detectada pelo aprendizado de máquina. Essa abordagem faz com que sua infraestrutura de TI se recupere automaticamente e ajuda a corrigir problemas mais rapidamente, com menos impacto sobre os usuários finais.

O agente do Amazon Kinesis para Windows permite que você monitore um grande fleet de servidores e reúna dados em diferentes formatos (como arquivos de registro de texto, eventos, métricas ou contadores de desempenho do serviço), transforme-os automaticamente em formato JSON e transmita-os para outro serviço para processamento e análise (como Amazon CloudWatch, Amazon S3, Amazon Redshift ou Splunk). O Kinesis Agent para Windows vem com analisadores integrados para arquivos de log gerados por serviços corporativos comuns da Microsoft, como Microsoft Exchange, SharePoint, controladores de domínio do Active Directory, servidores DHCP e outros. Usar o Kinesis junto com o CloudWatch permite criar alarmes do CloudWatch para eventos muito complexos que exigem a detecção de vários fatores em diferentes fontes de dados.

Conclusão

Neste post, discutimos os serviços e recursos da AWS que podem ser usados para implantar e gerenciar instâncias do Windows Server EC2 no ambiente híbrido ou nativo da nuvem sem a necessidade de unir servidores ao domínio do Active Directory.

Cobrimos todos os estágios do ciclo de vida das instâncias do Windows EC2, incluindo implantação baseada em imagens com o EC2 Image Builder, configuração com o Systems Manager State Manager, manter o sistema operacional e as aplicações atualizadas com o Systems Manager Patch Manager e monitorar a infraestrutura e a integridade do servidor com o CloudWatch e gerenciamento ou integração de serviços de identidade de clientes com o AWS IAM Identity Center (successor to AWS Single Sign-On) .

 

A AWS pode ajudar você a avaliar como sua empresa pode tirar o máximo proveito da nuvem. Junte-se aos milhões de clientes da AWS que confiam em nós para migrar e modernizar seus aplicativos mais importantes na nuvem. Para saber mais sobre a modernização do Windows Server ou do SQL Server, visite a página do Windows na AWS. Entre em contato conosco para começar sua jornada de modernização hoje mesmo.

 

Este artigo foi traduzido do Blog da AWS em Inglês.

Sobre o autor

Vladimir Provorov é Arquiteto de Soluções de produtos no time AWS Identity, com foco em Workforce Identity e Directory Services. Ele trabalha no desenvolvimento de novos recursos para tornar as ferramentas de identidade corporativa mais simples e escaláveis. Ele está animado para viajar e explorar o mundo com sua família.

 

 

 

 

Revisores

Bruno Lopes é Senior Solutions Architect no time da AWS LATAM. Trabalha com soluções de TI há mais de 14 anos, tendo em seu portfólio inúmeras experiências em workloads Microsoft, ambientes híbridos e capacitação técnica de clientes como Technical Trainer e Evangelista. Agora atua como um Arquiteto de Soluções, unindo todas as capacidades para desburocratizar a adoção das melhores tecnologias afim de ajudar os clientes em seus desafios diários.

 

 

 

 

Thiago Paiva é Senior Technical Instructor no time da AWS Americas. Na maior parte de sua carreira tem atuado com workloads Microsoft e cloud computing. Como Technical Instructor, já está há mais de 3 anos na AWS se dedicando ao programa AWS TechU que consiste em oferecer aprendizado baseado em um projeto de 6 meses com instrutor, seguido por uma atribuição de aprendizado de 6 meses nas áreas de: Treinamento Técnico, Arquitetura de Soluções ou Consultoria de Serviços Profissionais para indivíduos recém formados em  universidade relacionadas com TI.