View a markdown version of this page

Sicherheit - Bewährte Methoden für die Bereitstellung von WorkSpaces Amazon-Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Cloud-Sicherheit genießt bei Amazon Web Services (AWS) höchste Priorität. Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Weitere Informationen finden Sie im Modell der geteilten Verantwortung. Als Kunde von AWS and WorkSpaces Applications ist es wichtig, Sicherheitsmaßnahmen auf verschiedenen Ebenen wie Stack, Flotte, Image und Netzwerk zu implementieren.

Da Applications kurzlebig ist, wird WorkSpaces Applications häufig als sichere Lösung für die Bereitstellung von Anwendungen und Desktops bevorzugt. Überlegen Sie, ob Antivirenlösungen, die in Windows-Bereitstellungen üblich sind, in Ihren Anwendungsfällen für eine Umgebung relevant sind, die vordefiniert ist und am Ende einer Benutzersitzung gelöscht wird. Virenschutz erhöht den Mehraufwand für virtualisierte Instanzen und ist daher eine bewährte Methode, um unnötige Aktivitäten zu vermeiden. Beispielsweise trägt das Scannen des Systemvolumes (das kurzlebig ist) beim Systemstart nicht zur allgemeinen Sicherheit von Anwendungen bei. WorkSpaces

Im Mittelpunkt der beiden wichtigsten Fragen für WorkSpaces Sicherheitsanwendungen stehen:

  • Ist es erforderlich, den Benutzerstatus über die Sitzung hinaus beizubehalten?

  • Wie viel Zugriff sollte ein Benutzer innerhalb einer Sitzung haben?

Sicherung persistenter Daten

Bei der Bereitstellung von WorkSpaces Anwendungen kann es erforderlich sein, dass der Benutzerstatus in irgendeiner Form beibehalten wird. Dabei kann es sich um die persistente Speicherung von Daten für einzelne Benutzer oder um die Beibehaltung von Daten für die Zusammenarbeit mithilfe eines gemeinsam genutzten Ordners handeln. WorkSpaces Der Instanzspeicher von Anwendungen ist kurzlebig und bietet keine Verschlüsselungsoption.

WorkSpaces Applications ermöglicht die Persistenz des Benutzerstatus über Basisordner und Anwendungseinstellungen in Amazon S3. In einigen Anwendungsfällen ist eine bessere Kontrolle über die Persistenz des Benutzerstatus erforderlich. AWS Empfiehlt für diese Anwendungsfälle die Verwendung einer SMB-Dateifreigabe (Server Message Block).

Benutzerstatus und Daten

Da die meisten Windows-Anwendungen am besten und sichersten funktionieren, wenn sie zusammen mit vom Benutzer erstellten Anwendungsdaten gespeichert werden, ist es eine bewährte Methode, diese Daten in den WorkSpaces Anwendungsflotten zu speichern. AWS-Region Die Verschlüsselung dieser Daten ist eine bewährte Methode. Das Standardverhalten des Benutzer-Basisordners besteht darin, Dateien und Ordner im Ruhezustand mit S3-managed Amazon-Verschlüsselungsschlüsseln aus den AWS Schlüsselverwaltungsdiensten (AWS KMS) zu verschlüsseln. Es ist wichtig zu beachten, dass AWS Administratorbenutzer mit Zugriff auf die AWS Konsole oder den Amazon S3 S3-Bucket direkt auf diese Dateien zugreifen können.

Bei Designs, die ein SMB-Ziel (Server Message Block) von einer Windows-Dateifreigabe zum Speichern von Benutzerdateien und -ordnern erfordern, erfolgt der Vorgang entweder automatisch oder erfordert eine Konfiguration.

Tabelle 5 — Optionen für die Sicherung von Benutzerdaten

Ziel für kleine und mittlere Unternehmen

Encryption-at-rest Encryption-in-transit

Virenschutz (AV)

FSx for Windows File Server Automatisch über KMS AWS Automatisch durch SMB-Verschlüsselung

AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch

Datei-Gateway, AWS Storage Gateway

Standardmäßig werden alle AWS Storage Gateway in S3 gespeicherten Daten serverseitig mit Amazon S3-Managed Encryption Keys (SSE-S3) verschlüsselt. Sie können optional verschiedene Gateway-Typen konfigurieren, um gespeicherte Daten mit AWS Key Management Service (KMS) zu verschlüsseln Alle Daten, die zwischen einer beliebigen Art von Gateway-Appliance und AWS Speicher übertragen werden, werden mit SSL verschlüsselt.

AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch

EC2-based Windows-Dateiserver Aktivieren Sie die EBS-Verschlüsselung PowerShell; Set- SmbServerConfiguration – EncryptData $True

Auf dem Server installiertes AV führt einen Scan auf lokalen Laufwerken durch

Endpunktsicherheit und Virenschutz

Die kurzlebige Natur von Amazon WorkSpaces Applications-Instances und die mangelnde Persistenz der Daten bedeuten, dass ein anderer Ansatz erforderlich ist, um sicherzustellen, dass das Benutzererlebnis und die Leistung nicht durch Aktivitäten beeinträchtigt werden, die auf einem persistenten Desktop erforderlich wären. Endpoint Security Agents werden in WorkSpaces Anwendungs-Images installiert, wenn es eine Unternehmensrichtlinie gibt oder wenn sie für den externen Datenzugriff verwendet werden, z. B. E-Mail, Dateizugriff, externes Surfen im Internet.

Entfernen eindeutiger Kennungen

Endpoint Security Agents verfügen möglicherweise über eine GUID (Global Unique Identifier), die bei der Erstellung der Flotteninstanz zurückgesetzt werden muss. Anbieter haben Anweisungen zur Installation ihrer Produkte in Images, die sicherstellen, dass für jede aus einem Image generierte Instanz eine neue GUID generiert wird.

Um sicherzustellen, dass die GUID nicht generiert wird, installieren Sie den Endpoint Security Agent als letzte Aktion, bevor Sie den WorkSpaces Anwendungsassistenten ausführen, um das Image zu generieren.

Leistungsoptimierung

Anbieter von Endpoint Security bieten Switches und Einstellungen an, mit denen die Leistung von WorkSpaces Anwendungen optimiert wird. Die Einstellungen variieren je nach Anbieter und sind in deren Dokumentation zu finden, in der Regel in einem Abschnitt über VDI. Zu den gängigen Einstellungen gehören, ohne darauf beschränkt zu sein, die folgenden:

  • Schalten Sie die Startscans aus, um sicherzustellen, dass die Zeiten für die Erstellung, den Start und die Anmeldung von Instanzen minimiert werden

  • Schalten Sie geplante Scans aus, um unnötige Scans zu verhindern

  • Deaktivieren Sie Signatur-Caches, um die Dateiaufzählung zu verhindern

  • Aktivieren Sie die für VDI optimierten I/O-Einstellungen

  • Ausnahmen, die von Anwendungen zur Sicherstellung der Leistung erforderlich sind

Anbieter von Endpunktsicherheit stellen Anleitungen zur Verwendung mit virtuellen Desktop-Umgebungen zur Verfügung, die die Leistung optimieren.

Ausnahmen beim Scannen

Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Sicherheitssoftware die folgenden Prozesse nicht beeinträchtigen.

Tabelle 6 — WorkSpaces Anwendungsprozesse Sicherheitssoftware darf die folgenden Prozesse nicht beeinträchtigen.

Service Prozesse
AmazonCloudWatchAgent „C:\Program Dateien\ Amazon\AmazonCloudWatchAgent\ start-amazon- cloudwatch-agent.exe“
AmazonSSMAgent „C:\Program Dateien\ Amazon\ SSM\ amazon-ssm-agent.exe“
NICE DCV „C:\Program Dateien\ NICE\ DCV\ Server\ bin\ dcvserver.exe“ "C:\Program Dateien\ NICE\ DCV\ Server\ bin\ dcvagent.exe“
WorkSpaces Anwendungen

„C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe“

Im Ordner "C:\Program Files\ Amazon\ Photon\“

“. \ Agent\PhotonAgent.exe“

“. \ Agent\ s5cmd.exe“

".\WebServer\PhotonAgentWebServer.exe"

".\CustomShell\PhotonWindowsAppSwitcher.exe"

".\CustomShell\PhotonWindowsCustomShell.exe"

".\CustomShell\PhotonWindowsCustomShellBackground.exe"

Ordner

Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Software die folgenden Ordner nicht beeinträchtigen:

Beispiel
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

Hygiene der Endpunktsicherheitskonsole

Amazon WorkSpaces Applications erstellt jedes Mal, wenn ein Benutzer nach Ablauf der Leerlauf- und Verbindungszeiten eine Verbindung herstellt, neue eindeutige Instances. Die Instances erhalten einen eindeutigen Namen und werden in Kondolen für das Endpoint Security Management gespeichert. Wenn Sie festlegen, dass ungenutzte, veraltete Maschinen gelöscht werden, die älter als 4 Tage oder mehr sind (oder weniger, je nach Zeitlimit für WorkSpaces Anwendungssitzungen), wird die Anzahl der abgelaufenen Instanzen in der Konsole minimiert.

Netzwerkausschlüsse

Der Netzwerkbereich für die WorkSpaces Anwendungsverwaltung (198.19.0.0/16) und die folgenden Ports und Adressen sollten nicht durch Sicherheits-/Firewall- oder Antivirenlösungen innerhalb von WorkSpaces Anwendungsinstanzen blockiert werden.

Tabelle 7 — Ports in WorkSpaces Anwendungs-Streaming-Instanzen darf Sicherheitssoftware nicht stören

Port

Usage

8300, 3128

Dies wird für den Aufbau der Streaming-Verbindung verwendet

8000

Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet

8443

Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet

53

DNS

Tabelle 8 — WorkSpaces Anwendungen, verwaltete Serviceadressen, mit denen Sicherheitssoftware nicht interferieren darf

Port Usage
169.254.169.123 NTP
169,254,169,249 NVIDIA GRID-Lizenzservice
169.254.169.250 KMS
169,254,169,251 KMS
169,254,169,253 DNS
169,254,169,254 Metadaten

Sicherung einer Anwendungssitzung WorkSpaces

Einschränkung der Anwendungs- und Betriebssystemkontrollen

WorkSpaces Mithilfe von Anwendungen kann der Administrator genau angeben, welche Anwendungen im Anwendungsstreaming-Modus von der Webseite aus gestartet werden können. Dies garantiert jedoch nicht, dass nur die angegebenen Anwendungen ausgeführt werden können.

Windows-Dienstprogramme und -Anwendungen können auf zusätzliche Weise über das Betriebssystem gestartet werden. AWS empfiehlt die Verwendung von Microsoft, AppLocker um sicherzustellen, dass nur die Anwendungen ausgeführt werden können, die Ihr Unternehmen benötigt. Die Standardregeln müssen geändert werden, da sie jedem Benutzer Pfadzugriff auf wichtige Systemverzeichnisse gewähren.

Anmerkung

Für Windows Server 2016 und 2019 muss der Windows Application Identity-Dienst ausgeführt werden, um AppLocker Regeln durchzusetzen. Der Anwendungszugriff über WorkSpaces Anwendungen, die Microsoft verwenden, AppLocker ist im WorkSpaces Applications Admin Guide detailliert beschrieben.

Verwenden Sie für Flotteninstanzen, die zu einer Active Directory-Domäne gehören, Gruppenrichtlinienobjekte (GPOs), um Benutzer- und Systemeinstellungen bereitzustellen, um den Anwendungs- und Ressourcenzugriff der Benutzer zu sichern.

Firewalls und Routing

Bei der Erstellung einer WorkSpaces Anwendungsflotte müssen Subnetze und eine Sicherheitsgruppe zugewiesen werden. Subnetzen sind bereits Netzwerkzugriffskontrolllisten (Network Access Control Lists, NACLs) und Routing-Tabellen zugewiesen. Sie können beim Starten eines neuen Image Builders oder beim Erstellen einer neuen Flotte bis zu fünf Sicherheitsgruppen zuordnen. Sicherheitsgruppen können bis zu fünf Zuweisungen aus den vorhandenen Sicherheitsgruppen erhalten. Für jede Sicherheitsgruppe fügen Sie Regeln hinzu, die den ausgehenden und eingehenden Netzwerkverkehr von und zu Ihren Instances steuern

Eine NACL ist eine optionale Sicherheitsebene für Ihre VPC, die als statuslose Firewall zur Steuerung des Datenverkehrs in und aus einem oder mehreren Subnetzen fungiert. Sie können Netzwerk-ACLs mit ähnlichen Regeln wie die für Sicherheitsgruppen einrichten, um Ihre VPC noch sicherer zu machen. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerk-ACLs finden Sie auf der Seite Sicherheitsgruppen und NACLs vergleichen.

Beachten Sie bei der Entwicklung und Anwendung von Sicherheitsgruppen- und NACL-Regeln die Well-Architected bewährten AWS-Methoden für geringste Rechte. Bei den geringsten Rechten handelt es sich um ein Prinzip, bei dem nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen gewährt werden.

Für Kunden, die über ein privates Hochgeschwindigkeitsnetzwerk verfügen, das ihre lokale Umgebung mit AWS (über AWS Direct Connect) verbindet, können Sie die Verwendung der VPC-Endpunkte für WorkSpaces Anwendungen in Betracht ziehen, was bedeutet, dass der Streaming-Verkehr über Ihre private Netzwerkverbindung geleitet wird und nicht über das öffentliche Internet. Weitere Informationen zu diesem Thema finden Sie im Abschnitt VPC-Endpunkt der WorkSpaces Anwendungsstreaming-Schnittstelle in diesem Dokument.

Verhinderung von Datenverlust

Wir werden uns zwei Arten der Verhinderung von Datenverlust ansehen.

Steuerelemente für die Datenübertragung zwischen Client und WorkSpaces Anwendungsinstanz

Tabelle 9 — Leitlinien für die Steuerung des Dateneingangs und -ausgangs

Einstellung Optionen Empfehlung
Zwischenablage
  • Nur in die Remotesitzung kopieren und einfügen

  • Nur auf ein lokales Gerät kopieren

  • Disabled

Wenn Sie diese Einstellung deaktivieren, wird das Kopieren und Einfügen innerhalb der Sitzung nicht deaktiviert. Wenn das Kopieren von Daten in die Sitzung erforderlich ist, wählen Sie Nur in Remotesitzung einfügen, um das Risiko eines Datenverlusts zu minimieren.
Übertragung von Dateien
  • Upload und Download

  • Nur hochladen

  • Nur herunterladen

  • Disabled

Vermeiden Sie es, diese Einstellung zu aktivieren, um Datenlecks zu verhindern.
Auf lokales Gerät drucken
  • Enabled

  • Disabled

Wenn Drucken erforderlich ist, verwenden Sie Netzwerkdrucker, die von Ihrem Unternehmen gesteuert und überwacht werden.

Berücksichtigen Sie die Vorteile der bestehenden Datenübertragungslösung für Unternehmen gegenüber den Stack-Einstellungen. Diese Konfigurationen sind nicht als Ersatz für eine umfassende sichere Datenübertragungslösung konzipiert.

Steuern des ausgehenden Datenverkehrs von der WorkSpaces Anwendungsinstanz

Wenn Datenverlust ein Problem darstellt, ist es wichtig, zu vertuschen, worauf ein Benutzer zugreifen kann, sobald er sich in seiner WorkSpaces Anwendungsinstanz befindet. Wie sieht der Netzwerkausgangspfad (oder Ausgangspfad) aus? Es ist eine allgemeine Anforderung, dass dem Endbenutzer innerhalb seiner WorkSpaces Anwendungsinstanz ein öffentlicher Internetzugang zur Verfügung steht. Daher muss die Platzierung einer WebProxy oder einer Content-Filtering-Lösung im Netzwerkpfad in Betracht gezogen werden. Zu den weiteren Überlegungen gehören eine lokale Antiviren-Anwendung und andere Sicherheitsmaßnahmen für Endgeräte innerhalb der WorkSpaces Anwendungsinstanz (weitere Informationen finden Sie im Abschnitt „Endpunktsicherheit und Virenschutz“).

Verwenden AWS service

AWS Identity and Access Management

Es hat sich bewährt, eine IAM-Rolle für den Zugriff auf AWS Dienste zu verwenden und die damit verbundene IAM-Richtlinie genau festzulegen, sodass nur Benutzer in WorkSpaces Anwendungssitzungen Zugriff haben, ohne dass zusätzliche Anmeldeinformationen verwaltet werden müssen. Folgen Sie den bewährten Methoden für die Verwendung von IAM-Rollen mit Anwendungen. WorkSpaces

Erstellen Sie IAM-Richtlinien zum Schutz von Amazon S3 S3-Buckets, die erstellt wurden, um Benutzerdaten sowohl in Basisordnern als auch in Anwendungseinstellungen dauerhaft zu speichern. Dadurch wird der Zugriff durch Administratoren, die keine WorkSpaces Anwendungen sind, verhindert.

VPC-Endpunkte

Ein VPC-Endpunkt ermöglicht private Verbindungen zwischen Ihrer VPC und unterstützten AWS Diensten und VPC-Endpunktdiensten, die von bereitgestellt werden. AWS PrivateLink AWS PrivateLink ist eine Technologie, mit der Sie privat auf Dienste zugreifen können, indem Sie private IP-Adressen verwenden. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Wenn der öffentliche Internetzugang nur für AWS Dienste erforderlich ist, entfernen VPC-Endpunkte die Anforderung für NAT-Gateways und Internet-Gateways vollständig.

In Umgebungen, in denen Automatisierungsroutinen oder Entwickler API-Aufrufe für WorkSpaces Anwendungen benötigen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für WorkSpaces Anwendungs-API-Operationen. Wenn es beispielsweise EC2-Instances in privaten Subnetzen ohne öffentlichen Internetzugang gibt, kann ein VPC-Endpunkt für WorkSpaces Applications API verwendet werden, um Anwendungs-API-Operationen wie WorkSpaces URL aufzurufen. CreateStreaming Das folgende Diagramm zeigt ein Beispiel-Setup, bei dem WorkSpaces Anwendungs-API und Streaming-VPC-Endpunkte von Lambda-Funktionen und EC2-Instances genutzt werden.

Ein Referenzarchitekturdiagramm für den VPC-Endpunkt

VPC-Endpunkt

Mit dem Streaming-VPC-Endpunkt können Sie Sitzungen über einen VPC-Endpunkt streamen. Der Streaming-Schnittstellenendpunkt verwaltet den Streaming-Datenverkehr innerhalb Ihrer VPC. Der Streaming-Datenverkehr umfasst Pixel, USB, Benutzereingaben, Audio, Zwischenablage, Datei-Upload und -Download sowie Druckerdatenverkehr. Um den VPC-Endpunkt zu verwenden, muss die VPC-Endpunkteinstellung im WorkSpaces Anwendungsstapel aktiviert sein. Dies dient als Alternative zum Streamen von Benutzersitzungen über das öffentliche Internet von Standorten aus, die nur eingeschränkten Internetzugang haben und von einem Zugriff über eine Direct Connect-Instanz profitieren würden. Für das Streaming von Benutzersitzungen über einen VPC-Endpunkt ist Folgendes erforderlich:

  • Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port 443 (TCP) und Ports 1400–1499 (TCP) aus dem IP-Adressbereich ermöglichen, von dem aus Ihre Benutzer eine Verbindung herstellen.

  • Die Network Access Control List für die Subnetze muss ausgehenden Datenverkehr von kurzlebigen Netzwerkports 1024-65535 (TCP) in den IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.

  • Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die Applications zum Funktionieren benötigen. WorkSpaces

Weitere Informationen zur Beschränkung des Datenverkehrs auf AWS Dienste mit WorkSpaces Anwendungen finden Sie im Administratorhandbuch für das Erstellen und Streamen von VPC-Endpunkten.

Wenn ein vollständiger öffentlicher Internetzugang erforderlich ist, empfiehlt es sich, die verstärkte Sicherheitskonfiguration (ESC) von Internet Explorer im Image Builder zu deaktivieren. Weitere Informationen finden Sie im Administratorhandbuch für WorkSpaces Anwendungen zur Deaktivierung der erweiterten Sicherheitskonfiguration von Internet Explorer.