Seguridad y antivirus para puntos de conexión
La breve y efímera naturaleza de las instancias de Amazon AppStream 2.0 y la falta de persistencia de los datos obligan a adoptar un enfoque diferente para garantizar que la experiencia y el rendimiento del usuario no se vean comprometidos por actividades que serían necesarias en un escritorio persistente. Los agentes de seguridad de los puntos de conexión se instalan en las imágenes de AppStream 2.0 cuando existe una política organizativa o cuando se utilizan con la entrada de datos externos, como el correo electrónico, la entrada de archivos o la navegación web externa.
Eliminar identificadores únicos
Los agentes de seguridad de los puntos de conexión pueden tener un identificador global único (GUID) que debe reiniciarse durante el proceso de creación de la instancia de flota. Los proveedores tienen instrucciones sobre cómo instalar sus productos en imágenes, lo que garantizará que se genere un nuevo GUID para cada instancia generada a partir de una imagen.
Para garantizar que no se genere el GUID, instale el agente de seguridad de los puntos de conexión como última acción antes de ejecutar el asistente de AppStream 2.0 para generar la imagen.
Optimización del rendimiento
Los proveedores de seguridad para los puntos de conexión proporcionan conmutadores y ajustes que optimizan el rendimiento de AppStream 2.0. La configuración varía de un proveedor a otro y se puede encontrar en su documentación, normalmente en una sección sobre VDI. Algunos de los ajustes más comunes son:
-
Desactive los escaneos de arranque para garantizar que se minimicen los tiempos de creación, startup e inicio de sesión de las instancias
-
Desactive los escaneos programados para evitar escaneos innecesarios
-
Desactive las cachés de firmas para evitar la enumeración de archivos
-
Habilite la configuración de IO optimizada para VDI
-
Exclusiones requeridas por las aplicaciones para garantizar el rendimiento
Los proveedores de seguridad para los puntos de conexión proporcionan instrucciones de uso para entornos de escritorios virtuales que optimizan el rendimiento.
-
CrowdStrike y cómo instalar el CrowdStrike Falconen en el centro de datos
-
Sophos y Punto de conexión de Sophos Central: cómo instalarlo con una buena imagen para evitar la duplicación de identidades
y Sophos Central: prácticas recomendadas a la hora de instalar puntos de conexión de Windows en entornos de escritorios virtuales -
Seguridad de puntos de conexión de Microsoft y configuración del antivirus Microsoft Defender para máquinas VDI no persistentes - Microsoft Tech Community
Exclusiones de análisis
Si hay software de seguridad instalado en las instancias de AppStream 2.0, el software de seguridad no debe interferir con los siguientes procesos.
Tabla 6: El software de seguridad de los procesos AppStream 2.0 no debe interferir con los siguientes procesos.
| Servicio | Processes |
|---|---|
| AmazonCloudWatchAgent | "C:\Program Files\Amazon\AmazonCloudWatchAgent\start-amazon- cloudwatch-agent.exe" |
| AmazonSSMAgent | "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe" |
| NICE DCV | "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvserver.exe" "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvagent.exe" |
| AppStream 2.0 |
"C:\Program Files\Amazon\AppStream2\StorageConnector\StorageConnector.exe" En la carpeta "C:\Program Files\Amazon\Photon\" ".\Agent\PhotonAgent.exe" ".\Agent\s5cmd.exe" ".\WebServer\PhotonAgentWebServer.exe" ".\CustomShell\PhotonWindowsAppSwitcher.exe" ".\CustomShell\PhotonWindowsCustomShell.exe" ".\CustomShell\PhotonWindowsCustomShellBackground.exe" |
Carpetas
Si hay software de seguridad instalado en las instancias de AppStream 2.0, el software no debe interferir con las siguientes carpetas:
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\*
Higiene de la consola de seguridad para puntos de conexión
Amazon AppStream 2.0 creará nuevas instancias únicas cada vez que la conexión de un usuario sea más larga que la de los tiempos de espera de inactividad y desconexión. Las instancias tendrán un nombre único y se acumularán en las consolas de administración de la seguridad de los puntos de conexión. Preparar máquinas antiguas no utilizadas de 4 días o más (o menos, según los tiempos de espera de las sesiones de AppStream 2.0) para ser eliminadas, se minimizará el número de instancias caducadas en la consola.
