Blog de Amazon Web Services (AWS)
Una perspectiva de AWS sobre la administración segura de la infraestructura de Windows Server a gran escala
Las innovaciones en la nube han abierto nuevas posibilidades para los clientes empresariales que ejecutan su infraestructura de Windows Server. En la actualidad, la infraestructura de TI corporativa se está transformando en un proveedor de identidades a escala mundial para todos los usuarios y dispositivos. Los servidores se aprovisionan de forma dinámica bajo demanda o cuando hay nuevas configuraciones disponibles. Los administradores de TI utilizan herramientas de administración de configuración centralizadas de extremo a extremo y se basan en procesos automatizados independientemente de la ubicación física y la red de los servidores. Los usuarios trabajan de forma remota sin una conexión persistente a una red corporativa aislada.
Los siguientes servicios de AWS están diseñados para ayudar a facilitar la administración segura y escalable de una flota de servidores en la nube, localmente y en entornos híbridos. En concreto, consideraremos los siguientes servicios:
- Acceso administrado con AWS IAM Identity Center (sucesor de AWS Single Sign-On) y AWS Identity and Access Management.
- Despliegue servidores utilizando el generador de imágenes EC2.
- Configuración de las instancias de Windows en EC2 con AWS Systems Manager State Manager.
- Administración los servidores Windows con AWS Systems Manager Fleet Manager.
- Actualización del sistema operativo y las aplicaciones con AWS Systems Manager Patch Manager.
- Supervise los servidores Windows con Amazon CloudWatch.
Figura 1. Servicios de AWS en diferentes etapas del ciclo de vida de un servidor.
Cada uno de estos servicios se puede agregar a la infraestructura de forma individual o conjunta, y se puede usar tanto para servidores asociados a un dominio de Active Directory o sin un dominio.
#1 Gestión de identidades y accesos con el AWS IAM Identity Center (sucesor de AWS Single Sign-On)
Cada cliente tiene un historial único de sus servicios de identidad corporativa, generalmente diseñados en un momento diferente y basados en diversas tecnologías y protocolos de seguridad. Muchos clientes dedicaron años a crear e implementar servicios de identidad corporativa locales, como Active Directory (AD), y crearon o implementaron aplicaciones corporativas basadas en ellos. Otros ya han adoptado proveedores de identidad como servicio. Los servicios de identidad de AWS ofrecen una forma sencilla de integrarse con cualquier combinación de configuraciones de identidad antiguas y servicios de identidad modernos.
AWS IAM Identity Center (sucesor de AWS Single Sign-On), es un centro de identidades que permite a los clientes crear y administrar un nuevo repositorio de identidades en la nube o extraer sus identidades existentes de un proveedor de identidades en la nube o de un AD local. Su equipo de TI puede seguir usando sus identidades actuales para administrar los servidores de Windows en la nube. AWS IAM Identity Center funciona como una capa de abstracción de identidades que conecta a los usuarios, las aplicaciones y los servicios, independientemente de la fuente de identidad, mediante protocolos de estándares abiertos para la federación de identidades. AWS IAM Identity Center se integra con Azure AD, Okta, OneLogin, Ping Identity o cualquier otro proveedor compatible con los estándares SAML 2.0 y SCIM.
Tras crear las credenciales de usuario en el AWS IAM Identity Center (o integrarlas con un proveedor de identidades externo), su equipo de TI puede utilizarlas para iniciar sesión en las instancias de Windows Server que se ejecuten en Amazon EC2. Para controlar con precisión qué usuarios tendrán acceso a qué grupos de servidores, puede enviar los atributos de usuario en la sesión de AWS cuando sus colaboradores accedan a la nube mediante el AWS IAM Identity Center. Por ejemplo, solo un grupo designado de administradores de bases de datos puede iniciar sesión en las instancias de Amazon EC2 con Windows Server ejecutando SQL Server para el entorno de producción.
Las credenciales de AWS IAM Identity Center se pueden usar en Amazon EC2 y en la consola de AWS Systems Manager Fleet Manager para iniciar sesión de forma segura en las sesiones de escritorio de Windows basadas en la nube, directamente desde la consola de administración. Esta función permite a los usuarios iniciar sesión en el escritorio del servidor con sus credenciales modernas e individuales sin tener que unir estos servidores a Active Directory, conectar instancias de EC2 a Internet o utilizar servidores bastion.
Figura 2. Funciones de SSO de AWS, conjuntos de permisos y asunción de funciones de IAM para acceder a Windows Server EC2 con credenciales de SSO.
En el ejemplo de la figura 2, un usuario navega (1) hasta el portal corporativo de AWS IAM Identity Center. En el caso de que el AWS IAM Identity Center (portal SSP) esté configurado para utilizar un proveedor de identidad externo, redirigirá (2) al usuario para que se autentique mediante su identidad externa. El proveedor de identidad externo valida la credencial y redirige al usuario de nuevo al portal SSP de AWS. El usuario navega (3) a la página Fleet Manager de su cuenta de AWS para ver una lista de las instancias de EC2 que se ejecutan en su cuenta de AWS. Tras seleccionar la instancia EC2, el usuario hace clic en el botón «Conectarse al escritorio remoto» y en su navegador y abre (4) una nueva pestaña con la sesión remota interactiva bajo el nombre de cuenta de usuario proporcionado cuando el usuario inició sesión en AWS IAM Identity Center. Fleet Manager crea automáticamente un usuario administrativo local con una contraseña temporal para esta sesión y inicia sesión automáticamente al usuario.
Consulte la entrada del blog sobre seguridad de AWS para obtener información sobre cómo habilitar el inicio de sesión único y seguro en las instancias de Windows de Amazon EC2 con el AWS IAM Identity Center.
#2 Despliegue servidores con EC2 Image Builder
Uno de los componentes clave de una infraestructura informática confiable y segura son las imágenes de servidor que se utilizan para implementar toda la infraestructura de servidores en la nube de AWS. Nuestros clientes deben asegurarse de que sus servidores locales sin dominio y también los asociados a los dominios e instancias de EC2 se implementan con las versiones correctas del sistema operativo y tienen las configuraciones correctas, así como las configuraciones de seguridad, de acuerdo con los requisitos del cliente, y de recibir las actualizaciones de software más recientes disponibles.
EC2 Image Builder permite a los clientes automatizar el ciclo de vida de las imágenes del sistema operativo. Los clientes pueden empezar con una imagen del sistema operativo proporcionada por Amazon o cargar su propia imagen, instalar y configurar el software necesario, aplicar políticas de configuración y seguridad del servidor, ejecutar automáticamente pruebas preconfiguradas o proporcionadas por el cliente y, si las pruebas tienen éxito, crear una imagen. Si es necesario, EC2 Image Builder puede replicar una imagen generada en diferentes regiones de AWS, donde esa imagen se utilizará para la implementación manual o automatizada de servidores (figura 3).
Figura 3. Canalización de EC2 Image Builder para crear una imagen AMI.
El proceso de automatización de EC2 Image Builder permite a los clientes tener las imágenes de sus máquinas siempre configuradas, probadas y actualizadas sin necesidad de acciones manuales. Las pruebas proporcionadas por AWS se pueden utilizar para validar fácilmente funcionalidades específicas, por ejemplo, si las imágenes están inicializadas, si están instalados los controladores necesarios y si las imágenes están reforzadas para cumplir con las normas de seguridad.
EC2 Image Builder le permite crear imágenes con solo los componentes esenciales, lo que reduce su exposición a las vulnerabilidades de seguridad. Puede aplicar la configuración de seguridad proporcionada por AWS para proteger aún más sus imágenes y cumplir con los requisitos de las normas de seguridad, como la Guía de implementación técnica de seguridad (STIG), como se ilustra en la figura 4.
Figura 4. Componente administrado por Amazon para el refuerzo de Windows Server compatible con STIG.
Con los componentes de compilación proporcionados por AWS, puede: implementar funciones de servidor específicas (funciones de servidor); configurar tiempos de ejecución de PowerShell, .NET, Go o Python; instalar agentes para Amazon Corretto, Amazon Kinesis y Amazon CloudWatch; y optimizar su imagen para Amazon Elastic Container Service o Amazon Elastic Kubernetes Service.
EC2 Image Builder admite no solo Amazon Machine Images, sino también varios formatos de imagen de máquinas virtuales, incluidos Microsoft Hyper-V (VHD/VHDX), VMware vSphere (VMDK), formato de virtualización abierta (OVF) y formatos sin procesar. Esta función le ayuda a utilizar imágenes de sistemas operativos que tienen coherencia en infraestructuras de TI híbridas, incluidas las plataformas de virtualización local y en la nube de AWS.
#3 Configuración de instancias de Windows EC2 con AWS Systems Manager State Manager
Administrar manualmente una gran flota de servidores fuera de un dominio puede ser un desafío debido a la gran cantidad de configuraciones, los posibles errores humanos y las inevitables desviaciones de configuración. AWS Systems Manager State Manager es un servicio de administración de configuración seguro y escalable que automatiza el proceso de mantenimiento de las instancias de Amazon EC2 y la infraestructura híbrida en un estado predefinido.
AWS Systems Manager State Manager ofrece varias funciones para garantizar que la configuración del servidor corresponda con las políticas de TI corporativas:
- Instale y actualice el software y los agentes de terceros.
- Configure los ajustes de red.
- Ejecute scripts de configuración personalizados en instancias administradas.
Puede asignar manualmente instancias o grupos de recursos de EC2, o especificar etiquetas que se utilizarán para buscar servidores a fin de aplicar la configuración correcta (figura 5). Este enfoque es muy útil para entornos dinámicos con escalado automático. Además, puede configurar el número o el porcentaje de instancias que ejecutarán la tarea de configuración al mismo tiempo, así como el límite de errores para interrumpir una tarea de configuración si falla.
Figura 5. Opciones de selección de instancias de State Manager.
State Manager está integrado de forma nativa con la configuración de estado deseado (DSC) de PowerShell. Una configuración DSC de PowerShell es un modelo de configuración de PowerShell especializado que utiliza archivos MOF. Puede ejecutar archivos MOF de DSC para aplicar el estado deseado en las instancias administradas de Windows Server con State Manager, una función de AWS Systems Manager. State Manager registra e informa sobre el estado de la ejecución de cada archivo MOF. Además, informa del resultado de cada ejecución de archivos MOF como un evento de cumplimiento, que puede ver en la página de cumplimiento de AWS Systems Manager.
En el blog titulado «Combatir la desviación de configuración con Amazon EC2 Systems Manager y Windows PowerShell DSC» se describe detalladamente paso a paso para implementar AWS Systems Manager y Windows PowerShell DSC. Si utiliza Active Directory con políticas de grupo (GPO) para configurar sus servidores Windows, simplemente puede convertir los objetos de políticas de grupo existentes en archivos DCS de PowerShell mediante el comando ConvertFrom-GPO del módulo BaselineManagement. A continuación, puede utilizar los archivos MOF de DSC exportados en AWS Systems Manager State Manager, tal como se describe en la guía de State Manager.
#4 Administración de servidores Windows con Fleet Manager
AWS Systems Manager Fleet Manager (Fleet Manager) ayuda a administrar los servidores Windows físicos y virtuales independientemente de la ubicación de la red. Cuando ejecuta miles de servidores Windows/Linux y dispositivos IoT, necesita una herramienta que le permita realizar tareas administrativas en varias flotas de instancias y configuraciones (figura 6).
Figura 6. Descripción general de la flota de servidores en AWS Systems Manager Fleet Manager.
El equipo de TI puede usar Fleet Manager como panel de control para obtener visibilidad en toda la flota de servidores con vistas en tiempo real de los archivos de registro, los registros de eventos, los contadores de rendimiento y los procesos (figura 7), lo que les permite resolver los problemas rápidamente sin iniciar sesión manualmente en cada servidor.
Figura 7. Exploración de los procesos del sistema en la instancia EC2 con Windows Server.
Además, Fleet Manager es útil para cambiar rápidamente la configuración del registro de Windows (figura 8) o administrar los usuarios y grupos locales en los servidores desde la consola de AWS, lo que permite a su equipo de TI corregir el problema rápidamente.
Figura 8. Recorrer el registro de instancias EC2 con Windows Server en la consola de AWS Systems Manager Fleet Manager.
Obtenga más información sobre Fleet Manager en la página de AWS Systems Manager.
#5 Actualice el sistema operativo y sus aplicaciones con Systems Manager Patch Manager
Mantener los servidores actualizados con los parches de seguridad más recientes es uno de los requisitos de seguridad más importantes de una organización. Patch Manager es una función de AWS Systems Manager que automatiza el proceso de aplicación de parches a los servidores con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones para sistemas operativos y aplicaciones como Microsoft Office y Microsoft SQL Server.
El Patch Manager descarga automáticamente los parches y provee packs de Windows directamente desde el sitio web de Microsoft Update y administra automáticamente los parches en función de la fecha de lanzamiento. Además, puede aprobar o rechazar manualmente parches específicos. Puede instalar parches en grupos de servidores mediante etiquetas para asignar la base de los parches. Patch Manager escaneará automáticamente tus instancias en busca de los parches aplicables y los instalará según el programa personalizable. Puede generar un informe de cumplimiento de parches manual o generar informes periódicos.
El Patch Manager incluye bases de parches predefinidas para Windows Server: AWS: Windows PredefinedPatchBaseline-OS y AWS-Windows PredefinedPatchBaseline-OS Applications. Ambos aprueban todos los parches críticos y de seguridad para Windows Server y una gravedad de MSRC de «Crítico» o «Importante». Los parches se aprueban automáticamente siete días después de su lanzamiento. Las aplicaciones AWS: Windows PredefinedPatchBaseline-OS Applications también aprueban automáticamente todos los parches para las aplicaciones de Microsoft distribuidas a través de Microsoft Update.
Las reglas de aprobación (figura 9) se pueden refinar mucho para adaptarse a sus necesidades. Por ejemplo, puede establecer un retraso de aprobación automática más corto para las actualizaciones críticas de Windows Server 2016 y aplicar esa base para probar las instancias de EC2 en las que desee probar los parches antes de implementarlos en el entorno de producción.
Figura 9. Reglas de aprobación de Patch Manager para implementar actualizaciones.
Para obtener más información sobre cómo aplicar parches a la infraestructura de Windows Server en AWS, le recomendamos que consulte la entrada detallada del blog titulada «Actualización de las instancias de Windows EC2 mediante el administrador de parches de AWS Systems Manager».
#6 Supervición de los servidores Windows con Amazon CloudWatch
Nuestros clientes utilizan servidores Windows alojados en la nube de AWS, en varias nubes y en centros de datos locales en escenarios con o sin dominio. Al implementar un agente de Amazon CloudWatch, puede recopilar todos los eventos y las métricas de rendimiento de todos sus servidores y aplicaciones, supervisarlos desde una única consola y configurar alarmas para realizar acciones automatizadas que escalen o reparen su infraestructura al instante, lo que reduce el tiempo de resolución. Un agente de CloudWatch le permite recopilar métricas asociadas a cualquier contador de rendimiento de Windows y transmitir eventos del registro de eventos de Windows a los registros de CloudWatch (figura 10).
Figura 10. Métricas de CloudWatch para instancias EC2 de Windows Server.
Los clientes pueden configurar una conexión privada a Amazon VPC y CloudWatch Logs mediante los puntos de enlace de VPC de la interfaz de AWS PrivateLink. Esto le permite supervisar las instancias EC2 de Windows Server incluso cuando están implementadas en una VPC aislada.
Figura 11. Alerta de CloudWatch basada en el uso de la CPU de Windows Server.
CloudWatch se puede utilizar para supervisar conjuntamente los servicios de AWS y la integridad de su servidor (figura 11). Puede definir métricas calculadas y agregadas en varios servidores y servicios de AWS; por ejemplo, para activar una alerta automática de la infraestructura de su servidor, ejecutar un script de recuperación automática con una función de AWS Lambda o notificar a su equipo de TI que el aprendizaje automático ha detectado una anomalía. Este enfoque recupera automáticamente su infraestructura de TI y ayuda a corregir los problemas con mayor rapidez con un menor impacto en los usuarios finales.
El Amazon Kinesis Agent para Windows le permite supervisar una gran flota de servidores y recopilar datos en diferentes formatos (como archivos de registro de texto, eventos, métricas o contadores de rendimiento del servicio), transformarlos automáticamente en formato JSON y transmitirlos a otro servicio para su procesamiento y análisis (como Amazon CloudWatch, Amazon S3, Amazon Redshift o Splunk). Kinesis Agent para Windows viene con analizadores integrados para los archivos de registro generados por los servicios empresariales comunes de Microsoft, como Microsoft Exchange, SharePoint, los controladores de dominio de Active Directory, los servidores DHCP y otros. El uso de Kinesis junto con CloudWatch permite crear alarmas de CloudWatch para eventos muy complejos que requieren la detección de varios factores en diferentes fuentes de datos.
Conclusión
En esta publicación, analizamos los servicios y recursos de AWS que se pueden usar para implementar y administrar instancias EC2 de Windows Server en un entorno híbrido o nativo de la nube sin necesidad de unir los servidores al dominio de Active Directory.
Cubrimos todas las etapas del ciclo de vida de las instancias de Windows EC2, incluida la implementación basada en imágenes con EC2 Image Builder, la configuración con Systems Manager State Manager, el mantenimiento del sistema operativo y las aplicaciones actualizados con el administrador de parches de Systems Manager, la supervisión de la infraestructura y la integridad del servidor con CloudWatch, y la administración o la integración de los servicios de identidad de los clientes con el AWS IAM Identity Center (sucesor de AWS Single Sign-On).
AWS puede ayudarlo a evaluar cómo su empresa puede aprovechar al máximo la nube. Únase a los millones de clientes de AWS que confían en nosotros para migrar y modernizar sus aplicaciones más importantes en la nube. Para obtener más información sobre la modernización de Windows Server o SQL Server, visite la página de Windows en AWS. Póngase en contacto con nosotros para comenzar su proceso de modernización hoy mismo.
Este artigo foi traduzido do Blog da AWS em Inglês.
Acerca del autor
Vladimir Provorov es Arquitecto de soluciones en el equipo de AWS Directory Service y se centra en los servicios de directorio e identidad del personal. Trabaja en el desarrollo de nuevas funciones para hacer que las herramientas de identidad corporativa sean más simples y escalables. Le entusiasma viajar y explorar el mundo con su familia.
Revisores
Diego Valencia es un consultor de servicios profesionales de AWS enfocado en Arquitectura de Datos trabajando para el Equipo de tecnologías emergentes y plataformas inteligentes en la región DACH (Alemania, Austria y Suiza). Apasionado por los videojuegos y las películas de ciencia ficción. Empezó su carrera profesional mediante el programa en el programa AWS TechU, que es un programa acelerado de desarrollo de la fuerza laboral que permite que el talento en transición y en las primeras etapas de su carrera desarrolle el conocimiento técnico de la nube y las habilidades profesionales necesarias para impulsar sus carreras en AWS.
Valentina Bernal Buitrago es una consultora de Servicios Profesionales de AWS. Durante su carrera ha trabajado como desarrolladora backend. Le apasionan los temas de arquitectura de software y las tecnologías de la nube. Se unió a AWS en el programa AWS TechU, que es un programa acelerado de desarrollo de la fuerza laboral que permite que el talento en transición y en las primeras etapas de su carrera desarrolle el conocimiento técnico de la nube y las habilidades profesionales necesarias para impulsar sus carreras en AWS.