Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit
Cloud-Sicherheit genießt bei Amazon Web Services (AWS) höchste Priorität. Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Weitere Informationen finden Sie im Modell der geteilten Verantwortung
Da Applications kurzlebig ist, wird WorkSpaces Applications häufig als sichere Lösung für die Bereitstellung von Anwendungen und Desktops bevorzugt. Überlegen Sie, ob Antivirenlösungen, die in Windows-Bereitstellungen üblich sind, in Ihren Anwendungsfällen für eine Umgebung relevant sind, die vordefiniert ist und am Ende einer Benutzersitzung gelöscht wird. Virenschutz erhöht den Mehraufwand für virtualisierte Instanzen und ist daher eine bewährte Methode, um unnötige Aktivitäten zu vermeiden. Beispielsweise trägt das Scannen des Systemvolumes (das kurzlebig ist) beim Systemstart nicht zur allgemeinen Sicherheit von Anwendungen bei. WorkSpaces
Im Mittelpunkt der beiden wichtigsten Fragen für WorkSpaces Sicherheitsanwendungen stehen:
-
Ist es erforderlich, den Benutzerstatus über die Sitzung hinaus beizubehalten?
-
Wie viel Zugriff sollte ein Benutzer innerhalb einer Sitzung haben?
Sicherung persistenter Daten
Bei der Bereitstellung von WorkSpaces Anwendungen kann es erforderlich sein, dass der Benutzerstatus in irgendeiner Form beibehalten wird. Dabei kann es sich um die persistente Speicherung von Daten für einzelne Benutzer oder um die Beibehaltung von Daten für die Zusammenarbeit mithilfe eines gemeinsam genutzten Ordners handeln. WorkSpaces Der Instanzspeicher von Anwendungen ist kurzlebig und bietet keine Verschlüsselungsoption.
WorkSpaces Applications ermöglicht die Persistenz des Benutzerstatus über Basisordner und Anwendungseinstellungen in Amazon S3. In einigen Anwendungsfällen ist eine bessere Kontrolle über die Persistenz des Benutzerstatus erforderlich. AWS Empfiehlt für diese Anwendungsfälle die Verwendung einer SMB-Dateifreigabe (Server Message Block).
Benutzerstatus und Daten
Da die meisten Windows-Anwendungen am besten und sichersten funktionieren, wenn sie zusammen mit vom Benutzer erstellten Anwendungsdaten gespeichert werden, ist es eine bewährte Methode, diese Daten in den WorkSpaces Anwendungsflotten zu speichern. AWS-Region Die Verschlüsselung dieser Daten ist eine bewährte Methode. Das Standardverhalten des Benutzer-Basisordners besteht darin, Dateien und Ordner im Ruhezustand mit S3-managed Amazon-Verschlüsselungsschlüsseln aus den AWS Schlüsselverwaltungsdiensten (AWS KMS) zu verschlüsseln. Es ist wichtig zu beachten, dass AWS Administratorbenutzer mit Zugriff auf die AWS Konsole oder den Amazon S3 S3-Bucket direkt auf diese Dateien zugreifen können.
Bei Designs, die ein SMB-Ziel (Server Message Block) von einer Windows-Dateifreigabe zum Speichern von Benutzerdateien und -ordnern erfordern, erfolgt der Vorgang entweder automatisch oder erfordert eine Konfiguration.
Tabelle 5 — Optionen für die Sicherung von Benutzerdaten
|
Ziel für kleine und mittlere Unternehmen |
Encryption-at-rest | Encryption-in-transit |
Virenschutz (AV) |
|---|---|---|---|
| FSx for Windows File Server | Automatisch über KMS AWS | Automatisch durch SMB-Verschlüsselung |
AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch |
|
Datei-Gateway, AWS Storage Gateway |
Standardmäßig werden alle AWS Storage Gateway in S3 gespeicherten Daten serverseitig mit Amazon S3-Managed Encryption Keys (SSE-S3) verschlüsselt. Sie können optional verschiedene Gateway-Typen konfigurieren, um gespeicherte Daten mit AWS Key Management Service (KMS) zu verschlüsseln | Alle Daten, die zwischen einer beliebigen Art von Gateway-Appliance und AWS Speicher übertragen werden, werden mit SSL verschlüsselt. |
AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch |
| EC2-based Windows-Dateiserver | Aktivieren Sie die EBS-Verschlüsselung |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
Auf dem Server installiertes AV führt einen Scan auf lokalen Laufwerken durch |
Endpunktsicherheit und Virenschutz
Die kurzlebige Natur von Amazon WorkSpaces Applications-Instances und die mangelnde Persistenz der Daten bedeuten, dass ein anderer Ansatz erforderlich ist, um sicherzustellen, dass das Benutzererlebnis und die Leistung nicht durch Aktivitäten beeinträchtigt werden, die auf einem persistenten Desktop erforderlich wären. Endpoint Security Agents werden in WorkSpaces Anwendungs-Images installiert, wenn es eine Unternehmensrichtlinie gibt oder wenn sie für den externen Datenzugriff verwendet werden, z. B. E-Mail, Dateizugriff, externes Surfen im Internet.
Entfernen eindeutiger Kennungen
Endpoint Security Agents verfügen möglicherweise über eine GUID (Global Unique Identifier), die bei der Erstellung der Flotteninstanz zurückgesetzt werden muss. Anbieter haben Anweisungen zur Installation ihrer Produkte in Images, die sicherstellen, dass für jede aus einem Image generierte Instanz eine neue GUID generiert wird.
Um sicherzustellen, dass die GUID nicht generiert wird, installieren Sie den Endpoint Security Agent als letzte Aktion, bevor Sie den WorkSpaces Anwendungsassistenten ausführen, um das Image zu generieren.
Leistungsoptimierung
Anbieter von Endpoint Security bieten Switches und Einstellungen an, mit denen die Leistung von WorkSpaces Anwendungen optimiert wird. Die Einstellungen variieren je nach Anbieter und sind in deren Dokumentation zu finden, in der Regel in einem Abschnitt über VDI. Zu den gängigen Einstellungen gehören, ohne darauf beschränkt zu sein, die folgenden:
-
Schalten Sie die Startscans aus, um sicherzustellen, dass die Zeiten für die Erstellung, den Start und die Anmeldung von Instanzen minimiert werden
-
Schalten Sie geplante Scans aus, um unnötige Scans zu verhindern
-
Deaktivieren Sie Signatur-Caches, um die Dateiaufzählung zu verhindern
-
Aktivieren Sie die für VDI optimierten I/O-Einstellungen
-
Ausnahmen, die von Anwendungen zur Sicherstellung der Leistung erforderlich sind
Anbieter von Endpunktsicherheit stellen Anleitungen zur Verwendung mit virtuellen Desktop-Umgebungen zur Verfügung, die die Leistung optimieren.
-
Trend Micro Office Scan-Unterstützung für die virtuelle Desktop-Infrastruktur — Apex One/OfficeScan (trendmicro.com
) -
CrowdStrike und wie installiert man den CrowdStrike Falcon
im Rechenzentrum -
Sophos und Sophos Central Endpoint: So installieren Sie auf einem Gold-Image, um doppelte Identitäten zu vermeiden,
und Sophos Central: Bewährte Methoden bei der Installation von Windows-Endpunkten in virtuellen Desktop-Umgebungen -
McAfee und Bereitstellung und Bereitstellung von McAfee Agenten auf Virtual Desktop Infrastructure-Systemen
-
Microsoft Endpoint Security und Konfiguration von Microsoft Defender Antivirus für nicht persistente VDI-Maschinen - Microsoft Tech Community
Ausnahmen beim Scannen
Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Sicherheitssoftware die folgenden Prozesse nicht beeinträchtigen.
Tabelle 6 — WorkSpaces Anwendungsprozesse Sicherheitssoftware darf die folgenden Prozesse nicht beeinträchtigen.
| Service | Prozesse |
|---|---|
| AmazonCloudWatchAgent | „C:\Program Dateien\ Amazon\AmazonCloudWatchAgent\ start-amazon- cloudwatch-agent.exe“ |
| AmazonSSMAgent | „C:\Program Dateien\ Amazon\ SSM\ amazon-ssm-agent.exe“ |
| NICE DCV | „C:\Program Dateien\ NICE\ DCV\ Server\ bin\ dcvserver.exe“ "C:\Program Dateien\ NICE\ DCV\ Server\ bin\ dcvagent.exe“ |
| WorkSpaces Anwendungen |
„C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe“ Im Ordner "C:\Program Files\ Amazon\ Photon\“ “. \ Agent\PhotonAgent.exe“ “. \ Agent\ s5cmd.exe“ ".\WebServer\PhotonAgentWebServer.exe" ".\CustomShell\PhotonWindowsAppSwitcher.exe" ".\CustomShell\PhotonWindowsCustomShell.exe" ".\CustomShell\PhotonWindowsCustomShellBackground.exe" |
Ordner
Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Software die folgenden Ordner nicht beeinträchtigen:
Beispiel
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
Hygiene der Endpunktsicherheitskonsole
Amazon WorkSpaces Applications erstellt jedes Mal, wenn ein Benutzer nach Ablauf der Leerlauf- und Verbindungszeiten eine Verbindung herstellt, neue eindeutige Instances. Die Instances erhalten einen eindeutigen Namen und werden in Kondolen für das Endpoint Security Management gespeichert. Wenn Sie festlegen, dass ungenutzte, veraltete Maschinen gelöscht werden, die älter als 4 Tage oder mehr sind (oder weniger, je nach Zeitlimit für WorkSpaces Anwendungssitzungen), wird die Anzahl der abgelaufenen Instanzen in der Konsole minimiert.
Netzwerkausschlüsse
Der Netzwerkbereich für die WorkSpaces Anwendungsverwaltung (198.19.0.0/16) und die folgenden Ports und Adressen sollten nicht durch Sicherheits-/Firewall- oder Antivirenlösungen innerhalb von WorkSpaces Anwendungsinstanzen blockiert werden.
Tabelle 7 — Ports in WorkSpaces Anwendungs-Streaming-Instanzen darf Sicherheitssoftware nicht stören
| Port |
Usage |
|---|---|
| 8300, 3128 |
Dies wird für den Aufbau der Streaming-Verbindung verwendet |
| 8000 |
Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet |
| 8443 |
Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet |
| 53 |
DNS |
Tabelle 8 — WorkSpaces Anwendungen, verwaltete Serviceadressen, mit denen Sicherheitssoftware nicht interferieren darf
| Port | Usage |
|---|---|
| 169.254.169.123 | NTP |
| 169,254,169,249 | NVIDIA GRID-Lizenzservice |
| 169.254.169.250 | KMS |
| 169,254,169,251 | KMS |
| 169,254,169,253 | DNS |
| 169,254,169,254 | Metadaten |
Sicherung einer Anwendungssitzung WorkSpaces
Einschränkung der Anwendungs- und Betriebssystemkontrollen
WorkSpaces Mithilfe von Anwendungen kann der Administrator genau angeben, welche Anwendungen im Anwendungsstreaming-Modus von der Webseite aus gestartet werden können. Dies garantiert jedoch nicht, dass nur die angegebenen Anwendungen ausgeführt werden können.
Windows-Dienstprogramme und -Anwendungen können auf zusätzliche Weise über das Betriebssystem gestartet werden. AWS empfiehlt die Verwendung von Microsoft
Anmerkung
Für Windows Server 2016 und 2019 muss der Windows Application Identity-Dienst ausgeführt werden, um AppLocker Regeln durchzusetzen. Der Anwendungszugriff über WorkSpaces Anwendungen, die Microsoft verwenden, AppLocker ist im WorkSpaces Applications Admin Guide detailliert beschrieben.
Verwenden Sie für Flotteninstanzen, die zu einer Active Directory-Domäne gehören, Gruppenrichtlinienobjekte (GPOs), um Benutzer- und Systemeinstellungen bereitzustellen, um den Anwendungs- und Ressourcenzugriff der Benutzer zu sichern.
Firewalls und Routing
Bei der Erstellung einer WorkSpaces Anwendungsflotte müssen Subnetze und eine Sicherheitsgruppe zugewiesen werden. Subnetzen sind bereits Netzwerkzugriffskontrolllisten (Network Access Control Lists, NACLs) und Routing-Tabellen zugewiesen. Sie können beim Starten eines neuen Image Builders oder beim Erstellen einer neuen Flotte bis zu fünf Sicherheitsgruppen zuordnen. Sicherheitsgruppen können bis zu fünf Zuweisungen aus den vorhandenen Sicherheitsgruppen erhalten. Für jede Sicherheitsgruppe fügen Sie Regeln hinzu, die den ausgehenden und eingehenden Netzwerkverkehr von und zu Ihren Instances steuern
Eine NACL ist eine optionale Sicherheitsebene für Ihre VPC, die als statuslose Firewall zur Steuerung des Datenverkehrs in und aus einem oder mehreren Subnetzen fungiert. Sie können Netzwerk-ACLs mit ähnlichen Regeln wie die für Sicherheitsgruppen einrichten, um Ihre VPC noch sicherer zu machen. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerk-ACLs finden Sie auf der Seite Sicherheitsgruppen und NACLs vergleichen.
Beachten Sie bei der Entwicklung und Anwendung von Sicherheitsgruppen- und NACL-Regeln die Well-Architected bewährten AWS-Methoden für geringste Rechte. Bei den geringsten Rechten handelt es sich um ein Prinzip, bei dem nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen gewährt werden.
Für Kunden, die über ein privates Hochgeschwindigkeitsnetzwerk verfügen, das ihre lokale Umgebung mit AWS (über AWS Direct Connect) verbindet, können Sie die Verwendung der VPC-Endpunkte für WorkSpaces Anwendungen in Betracht ziehen, was bedeutet, dass der Streaming-Verkehr über Ihre private Netzwerkverbindung geleitet wird und nicht über das öffentliche Internet. Weitere Informationen zu diesem Thema finden Sie im Abschnitt VPC-Endpunkt der WorkSpaces Anwendungsstreaming-Schnittstelle in diesem Dokument.
Verhinderung von Datenverlust
Wir werden uns zwei Arten der Verhinderung von Datenverlust ansehen.
Steuerelemente für die Datenübertragung zwischen Client und WorkSpaces Anwendungsinstanz
Tabelle 9 — Leitlinien für die Steuerung des Dateneingangs und -ausgangs
| Einstellung | Optionen | Empfehlung |
|---|---|---|
| Zwischenablage |
|
Wenn Sie diese Einstellung deaktivieren, wird das Kopieren und Einfügen innerhalb der Sitzung nicht deaktiviert. Wenn das Kopieren von Daten in die Sitzung erforderlich ist, wählen Sie Nur in Remotesitzung einfügen, um das Risiko eines Datenverlusts zu minimieren. |
| Übertragung von Dateien |
|
Vermeiden Sie es, diese Einstellung zu aktivieren, um Datenlecks zu verhindern. |
| Auf lokales Gerät drucken |
|
Wenn Drucken erforderlich ist, verwenden Sie Netzwerkdrucker, die von Ihrem Unternehmen gesteuert und überwacht werden. |
Berücksichtigen Sie die Vorteile der bestehenden Datenübertragungslösung für Unternehmen gegenüber den Stack-Einstellungen. Diese Konfigurationen sind nicht als Ersatz für eine umfassende sichere Datenübertragungslösung konzipiert.
Steuern des ausgehenden Datenverkehrs von der WorkSpaces Anwendungsinstanz
Wenn Datenverlust ein Problem darstellt, ist es wichtig, zu vertuschen, worauf ein Benutzer zugreifen kann, sobald er sich in seiner WorkSpaces Anwendungsinstanz befindet. Wie sieht der Netzwerkausgangspfad (oder Ausgangspfad) aus? Es ist eine allgemeine Anforderung, dass dem Endbenutzer innerhalb seiner WorkSpaces Anwendungsinstanz ein öffentlicher Internetzugang zur Verfügung steht. Daher muss die Platzierung einer WebProxy oder einer Content-Filtering-Lösung im Netzwerkpfad in Betracht gezogen werden. Zu den weiteren Überlegungen gehören eine lokale Antiviren-Anwendung und andere Sicherheitsmaßnahmen für Endgeräte innerhalb der WorkSpaces Anwendungsinstanz (weitere Informationen finden Sie im Abschnitt „Endpunktsicherheit und Virenschutz“).
Verwenden AWS service
AWS Identity and Access Management
Es hat sich bewährt, eine IAM-Rolle für den Zugriff auf AWS Dienste zu verwenden und die damit verbundene IAM-Richtlinie genau festzulegen, sodass nur Benutzer in WorkSpaces Anwendungssitzungen Zugriff haben, ohne dass zusätzliche Anmeldeinformationen verwaltet werden müssen. Folgen Sie den bewährten Methoden für die Verwendung von IAM-Rollen mit Anwendungen. WorkSpaces
Erstellen Sie IAM-Richtlinien zum Schutz von Amazon S3 S3-Buckets, die erstellt wurden, um Benutzerdaten sowohl in Basisordnern als auch in Anwendungseinstellungen dauerhaft zu speichern. Dadurch wird der Zugriff durch Administratoren, die keine WorkSpaces Anwendungen sind, verhindert.
VPC-Endpunkte
Ein VPC-Endpunkt ermöglicht private Verbindungen zwischen Ihrer VPC und unterstützten AWS Diensten und VPC-Endpunktdiensten, die von bereitgestellt werden. AWS PrivateLink AWS PrivateLink ist eine Technologie, mit der Sie privat auf Dienste zugreifen können, indem Sie private IP-Adressen verwenden. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Wenn der öffentliche Internetzugang nur für AWS Dienste erforderlich ist, entfernen VPC-Endpunkte die Anforderung für NAT-Gateways und Internet-Gateways vollständig.
In Umgebungen, in denen Automatisierungsroutinen oder Entwickler API-Aufrufe für WorkSpaces Anwendungen benötigen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für WorkSpaces Anwendungs-API-Operationen. Wenn es beispielsweise EC2-Instances in privaten Subnetzen ohne öffentlichen Internetzugang gibt, kann ein VPC-Endpunkt für WorkSpaces Applications API verwendet werden, um Anwendungs-API-Operationen wie WorkSpaces URL aufzurufen. CreateStreaming Das folgende Diagramm zeigt ein Beispiel-Setup, bei dem WorkSpaces Anwendungs-API und Streaming-VPC-Endpunkte von Lambda-Funktionen und EC2-Instances genutzt werden.
VPC-Endpunkt
Mit dem Streaming-VPC-Endpunkt können Sie Sitzungen über einen VPC-Endpunkt streamen. Der Streaming-Schnittstellenendpunkt verwaltet den Streaming-Datenverkehr innerhalb Ihrer VPC. Der Streaming-Datenverkehr umfasst Pixel, USB, Benutzereingaben, Audio, Zwischenablage, Datei-Upload und -Download sowie Druckerdatenverkehr. Um den VPC-Endpunkt zu verwenden, muss die VPC-Endpunkteinstellung im WorkSpaces Anwendungsstapel aktiviert sein. Dies dient als Alternative zum Streamen von Benutzersitzungen über das öffentliche Internet von Standorten aus, die nur eingeschränkten Internetzugang haben und von einem Zugriff über eine Direct Connect-Instanz profitieren würden. Für das Streaming von Benutzersitzungen über einen VPC-Endpunkt ist Folgendes erforderlich:
-
Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port
443(TCP) und Ports1400–1499(TCP) aus dem IP-Adressbereich ermöglichen, von dem aus Ihre Benutzer eine Verbindung herstellen. -
Die Network Access Control List für die Subnetze muss ausgehenden Datenverkehr von kurzlebigen Netzwerkports
1024-65535(TCP) in den IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen. -
Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die Applications zum Funktionieren benötigen. WorkSpaces
Weitere Informationen zur Beschränkung des Datenverkehrs auf AWS Dienste mit WorkSpaces Anwendungen finden Sie im Administratorhandbuch für das Erstellen und Streamen von VPC-Endpunkten.
Wenn ein vollständiger öffentlicher Internetzugang erforderlich ist, empfiehlt es sich, die verstärkte Sicherheitskonfiguration (ESC) von Internet Explorer im Image Builder zu deaktivieren. Weitere Informationen finden Sie im Administratorhandbuch für WorkSpaces Anwendungen zur Deaktivierung der erweiterten Sicherheitskonfiguration von Internet Explorer.