Säule der Sicherheit - AWS Präskriptive Leitlinien
Implementieren Sie ein starkes IdentitätsfundamentSorgen Sie für RückverfolgbarkeitWenden Sie Sicherheit auf allen Ebenen anAutomatisieren Sie bewährte SicherheitsmethodenHalten Sie Menschen von Daten fernBereiten Sie sich auf Sicherheitsereignisse vor

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Säule der Sicherheit

Die Sicherheitssäule des AWS Well-Architected Framework konzentriert sich auf die Nutzung von Cloud-Funktionen, um robuste Schutzmechanismen für Ihre Informationen, Infrastruktur und Ressourcen einzurichten. Diese Prinzipien tragen dazu bei, Ihre allgemeine Sicherheitslage zu verbessern und gleichzeitig Innovationen zu ermöglichen.

Hauptschwerpunkte für die Anwendung dieser Säule auf Ihre WorkSpaces Anwendungs-Streaming-Umgebung:

  • Datenintegrität und Vertraulichkeit

  • Verwalten von Benutzerberechtigungen

  • Einrichtung von Kontrollen zur Erkennung von Sicherheitsereignissen

Implementieren Sie ein starkes Identitätsfundament

Verwenden Sie die erforderlichen Mindestberechtigungen für den Zugriff auf AWS Ressourcen und zentralisieren Sie gleichzeitig das Identitätsmanagement und vermeiden Sie langfristige Anmeldeinformationen.

  • Gewähren Sie Berechtigungen mit den geringsten Rechten für WorkSpaces Anwendungsressourcen:

    • Erstellen Sie spezifische IAM-Rollen für WorkSpaces Anwendungsflotten mit minimalen erforderlichen Berechtigungen.

    • Konfigurieren Sie eingeschränkte IAM-Berechtigungen für Image Builder.

    • Beschränken Sie den Administratorzugriff auf Funktionen zur WorkSpaces Anwendungsverwaltung.

    • Definieren Sie detaillierte Berechtigungen für das Stack- und Flottenmanagement.

  • Implementieren Sie geeignete Mechanismen zur Benutzerauthentifizierung:

    • Konfigurieren Sie den SAML 2.0-Verbund für die Integration von Enterprise Identity Providern.

    • AWS IAM Identity CenterFür die Benutzerverwaltung einrichten.

    • Verwenden Sie benutzerdefinierte Identity Broker nur, wenn dies für bestimmte Authentifizierungsszenarien erforderlich ist.

    • Implementieren Sie die Multi-Faktor-Authentifizierung (MFA), sofern sie unterstützt wird.

  • Steuern Sie den Benutzerzugriff auf Anwendungen:

    • Konfigurieren Sie Anwendungsberechtigungen, um den Zugriff auf bestimmte Anwendungen einzuschränken.

    • Erstellen Sie Anwendungszuweisungsgruppen auf der Grundlage von Benutzerrollen.

    • Verwalten Sie den Anwendungszugriff mithilfe von Stack-Berechtigungen.

    • Implementieren Sie Sitzungsrichtlinien, um das Anwendungsverhalten zu steuern.

  • Sichere Benutzersitzungen mit geeigneten Kontrollen:

    • Konfigurieren Sie Richtlinien für Sitzungs-Timeouts.

    • Legen Sie die Timeout-Aktionen beim Trennen fest.

    • Implementieren Sie Anforderungen an die Persistenz von Sitzungen.

    • Steuern Sie die Berechtigungen für die Dateisystemumleitung.

  • Konfigurieren Sie die zertifikatsbasierte Authentifizierung für Anwendungen. WorkSpaces Weitere Informationen finden Sie im AWS Blogbeitrag Vereinfachen Sie die zertifikatsbasierte Authentifizierung für WorkSpaces Anwendungen und WorkSpaces mit AWS Private CA Connector für Active Directory.

  • Verwenden Sie Sitzungs-Tags, um eine differenzierte Zugriffskontrolle zu implementieren. Weitere Informationen finden Sie im AWS Blogbeitrag Verwenden Sie Sitzungs-Tags, um WorkSpaces Anwendungsberechtigungen zu vereinfachen.

Sorgen Sie für Rückverfolgbarkeit

Implementieren Sie Systeme zur Echtzeitüberwachung und automatisierten Reaktion auf alle Änderungen und Aktivitäten in der Umgebung.

  • Konfigurieren Sie die CloudWatch Protokollierung für Anwendungsprotokolle, um anwendungsspezifische Ereignisse wie Anwendungsstarts, Abstürze und Fehler zu überwachen. Konfigurieren Sie Sitzungsprotokolle, um Streaming-Sitzungsinformationen wie Sitzungsstarts, -stopps und Benutzerverbindungsereignisse nachzuverfolgen.

  • Aktivieren Sie diese Option CloudTrail , um alle Aufrufe der WorkSpaces Anwendungs-API zu protokollieren und Verwaltungsereignisse wie Flottenerstellung und -änderungen, Image Builder-Operationen, Stack-Konfigurationen und Benutzerverwaltungsaktivitäten zu verfolgen.

  • Überwachen Sie die Aktivität der WorkSpaces Anwendungsinstanz:

    • Konfigurieren Sie die Instanzprotokollierung, um Ereignisse auf Systemebene zu erfassen.

    • Verfolgen Sie Anwendungsstarts und -ausfälle.

    • Überwachen Sie die Nutzung und Leistung der Systemressourcen.

  • Benutzeraktivitäten verfolgen:

    • Überwachen Sie Versuche und Fehlschläge bei der Benutzerauthentifizierung. Verwenden Sie CloudWatch Metriken und CloudWatch Protokolle, um Anmeldeversuche von Benutzern, Start- und Endzeiten von Sitzungen sowie Ereignisse beim Trennen von Sitzungen zu verfolgen.

    • Verfolgen Sie die Nutzungsmuster von Anwendungen. Ermöglichen Sie WorkSpaces Anwendungsnutzungsberichte, um Informationen wie Sitzungsdauer, Start- und Endzeiten, verwendete Instanztypen und aufgerufene Anwendungen abzurufen.

    • Zeichnen Sie Dateisystemaktivitäten über aktivierte Basisordner auf.

    • Konfigurieren Sie die Einstellungen für die Zwischenablage und die Druckvorgänge, um Ihre Ziele zur Verhinderung von Datenverlust zu erreichen.

  • Konfigurieren Sie CloudWatchAlarme für sicherheitsrelevante Messwerte wie fehlgeschlagene Benutzerauthentifizierungen, ungewöhnliche Sitzungsmuster und Verstöße gegen den Ressourcenzugriff.

  • Verwenden Sie das EUC-Toolkit, um aktive Sitzungen und Status zu verfolgen, IP-Adressen auf aktive Sitzungen zu überwachen und Sitzungsdaten für Auditzwecke zu exportieren. Weitere Informationen finden Sie im AWS Blogbeitrag Verwenden Sie das EUC-Toolkit zur Verwaltung von Amazon WorkSpaces Applications und Amazon. WorkSpaces

Wenden Sie Sicherheit auf allen Ebenen an

Implementieren Sie mehrere Ebenen von Sicherheitskontrollen für alle Komponenten Ihrer Infrastruktur, vom Netzwerkrand bis zum Anwendungscode.

  • Konfigurieren Sie die Sicherheit auf Netzwerkebene:

    • Implementieren Sie strenge Sicherheitsgruppenregeln.

    • Platzieren Sie Instances der WorkSpaces Anwendungsflotte in privaten Subnetzen, die keinen direkten Internetzugang haben. Steuern Sie den Internetzugang über NAT-Geräte.

    • Verwenden Sie Virtual Private Cloud (VPC) -Endpunkte, um auf unterstützte Endpunkte AWS-Services (wie Amazon S3) zuzugreifen.

    • Implementieren Sie Netzwerkzugriffskontrolllisten (ACLs) als zusätzliche Netzwerksicherheitsebene.

    • Beschränken Sie den Streaming-Port-Zugriff (TCP 8443 für HTTPS und WebSocket Secure) auf bestimmte IP-Bereiche.

  • Konfigurieren Sie die Sicherheit auf Zugriffsebene:

  • Konfigurieren Sie die Sicherheit auf Anwendungsebene:

    • Konfigurieren Sie Anwendungsberechtigungen, um zu steuern, welche Benutzer auf bestimmte Anwendungen zugreifen können.

    • Aktivieren Sie die Steuerung der Dateisystemumleitung, um den Zugriff auf lokale Laufwerke einzuschränken.

    • Konfigurieren Sie die Berechtigungen für Zwischenablage, Dateiübertragung und Drucken entsprechend den Sicherheitsanforderungen.

    • Richten Sie die Zugriffskontrollen für USB-Geräte gemäß den Sicherheitsrichtlinien ein.

  • Konfigurieren Sie die Sicherheit der Bildebene:

    • Erstellen und verwalten Sie gehärtete Basis-Images, die die Sicherheitsanforderungen erfüllen.

    • Halten Sie die Basis-Images mit den neuesten Sicherheitspatches auf dem neuesten Stand.

    • Konfigurieren Sie die Windows-Sicherheitseinstellungen in Basisimages.

    • Deaktivieren Sie nicht benötigte Windows-Dienste und -Features in Basisimages.

Automatisieren Sie bewährte Sicherheitsmethoden

Verwenden Sie automatisierte, codedefinierte Sicherheitskontrollen in versionskontrollierten Vorlagen, um eine sichere und skalierbare Infrastrukturbereitstellung zu ermöglichen.

  • Verwenden Sie Infrastructure as Code (IaC), indem Sie Dienste nutzen, um beispielsweise konsistente Sicherheitskonfigurationen für alle Flottenbereitstellungen AWS CloudFormation zu implementieren. Weitere Informationen finden Sie im AWS Blogbeitrag Automatisches Anhängen zusätzlicher Sicherheitsgruppen an Amazon WorkSpaces Applications und Amazon WorkSpaces.

  • Automatisieren Sie Sicherheitsprozesse bei der Image-Erstellung mithilfe der Image Assistant CLI.

  • Konfigurieren Sie mithilfe von CloudWatch Amazon-Alarmen, EventBridge Amazon-Regeln und AWS Lambda Funktionen für automatisierte Antworten automatische Antworten auf die Überschreitung von Kapazitätsauslastungsschwellenwerten, unbefugten Zugriffsversuchen und Änderungen der Sicherheitsgruppe.

Halten Sie Menschen von Daten fern

Automatisieren Sie Datenverarbeitungsprozesse, um den direkten menschlichen Zugriff zu minimieren und das Risiko von Fehlern oder Fehlhandhabungen zu verringern.

  • Konfigurieren Sie Anwendungsberechtigungen, um zu kontrollieren, welche Benutzer auf bestimmte Anwendungen zugreifen können.

  • Verwenden Sie das Dynamic Application Framework, um einen dynamischen Anwendungsanbieter zu erstellen, der Anwendungen dynamisch auf der Grundlage von Benutzerattributen verfügbar macht.

  • Konfigurieren Sie die Dateisystemumleitung, um zu steuern, auf welche lokalen Laufwerke Benutzer zugreifen können, um den Zugriff auf bestimmte Ordner einzuschränken und um Dateiübertragungsberechtigungen zwischen lokalen und Streaming-Sitzungen zu verwalten.

  • Implementieren Sie Einschränkungen für die Zwischenablage, um die gemeinsame Nutzung der Zwischenablage zwischen lokalen Sitzungen und Streaming-Sitzungen zu deaktivieren, bei Bedarf einen unidirektionalen Zwischenablagefluss zu ermöglichen und unbefugtes Kopieren von Daten zu verhindern.

  • Konfigurieren Sie die Persistenz der Anwendungseinstellungen, um Anwendungskonfigurationen automatisch zu speichern und wiederherzustellen, manuelle Konfigurationen zu vermeiden und eine konsistente Benutzererfahrung zu gewährleisten.

Bereiten Sie sich auf Sicherheitsereignisse vor

Entwickeln und praktizieren Sie Pläne zur Reaktion auf Vorfälle mithilfe automatisierter Tools, um Sicherheitsvorfälle schnell erkennen, untersuchen und beheben zu können.

  • Richten Sie CloudWatch Alarme für fehlgeschlagene Authentifizierungsversuche, Änderungen an Flottensicherheitsgruppen, Änderungen an Image-Konfigurationen und ungewöhnliche Streaming-Sitzungsmuster ein.

  • Dokumentieren Sie Reaktionsverfahren für gängige WorkSpaces Anwendungssicherheitsszenarien wie:

    • Unbefugte Zugriffsversuche

      • Erkennung: Überwachen Sie Authentifizierungsfehler.

      • Antwort: Widerrufen Sie Benutzerberechtigungen, überprüfen Sie Sitzungsprotokolle und aktualisieren Sie die Zugriffsrichtlinien.

    • Kompromittierte Streaming-Instanzen

      • Erkennung: Überwachen Sie das Verhalten der Instanzen.

      • Reaktion: Beenden Sie die betroffenen Sitzungen, ersetzen Sie Flotteninstanzen und überprüfen Sie die Konfigurationen der Sicherheitsgruppen.

    • Versuche, Daten zu exfiltrieren

      • Erkennung: Überwachen Sie die Dateiübertragungsaktivitäten.

      • Reaktion: Überprüfen Sie die Zwischenablage und die Dateiübertragungsprotokolle, passen Sie die Dateiübertragungsberechtigungen an und aktualisieren Sie die Datenschutzrichtlinien.

  • Implementieren Sie automatisierte Wiederherstellungsprozesse für den Austausch von Flotteninstanzen, die Wiederherstellung von Sicherheitsgruppen, die Neukonfiguration des Benutzerzugriffs und die Wiederherstellung von Anwendungseinstellungen.

  • Wird AWS-Services für das Sicherheitsmanagement verwendet, z. B. AWS Security Hub CSPM für Sicherheitserkenntnisse, und Amazon GuardDuty für die Erkennung von Bedrohungen.