Implemente una base de identidad sólida Mantenga la trazabilidad Aplica la seguridad en todos los niveles Automatice las prácticas recomendadas de seguridad Mantenga a las personas alejadas de los datos Prepárese para los eventos de seguridad

Pilar de seguridad

El pilar de seguridad de AWS Well-Architected Framework se centra en aprovechar las capacidades de la nube para ayudar a establecer mecanismos de protección sólidos para su información, infraestructura y recursos. Estos principios ayudan a mejorar su postura general de seguridad y, al mismo tiempo, permiten la innovación.

Áreas de enfoque clave para aplicar este pilar a su entorno de streaming de WorkSpaces aplicaciones:

Integridad y confidencialidad de los datos
Administración de permisos de usuario
Establecer controles para detectar eventos de seguridad

Implemente una base de identidad sólida

Utilice los permisos mínimos necesarios para acceder a los AWS recursos y, al mismo tiempo, centralice la administración de identidades y evite las credenciales a largo plazo.

Otorgue los permisos menos privilegiados para los recursos de WorkSpaces las aplicaciones:
- Cree funciones de IAM específicas para WorkSpaces las flotas de aplicaciones con los permisos mínimos requeridos.
- Configure permisos de IAM limitados para los creadores de imágenes.
- Restrinja el acceso administrativo a WorkSpaces las funciones de administración de aplicaciones.
- Defina permisos detallados para la gestión de pilas y flotas.
Implemente los mecanismos de autenticación de usuarios adecuados:
- Configure la federación SAML 2.0 para la integración de los proveedores de identidad empresariales.
- Configure AWS IAM Identity Centerpara la administración de usuarios.
- Utilice agentes de identidad personalizados solo cuando sea necesario para escenarios de autenticación específicos.
- Implemente la autenticación multifactor (MFA) cuando sea compatible.
Controle el acceso de los usuarios a las aplicaciones:
- Configure los derechos de las aplicaciones para restringir el acceso a aplicaciones específicas.
- Cree grupos de asignación de aplicaciones en función de las funciones de los usuarios.
- Gestione el acceso a las aplicaciones mediante permisos apilados.
- Implemente políticas de sesión para controlar el comportamiento de las aplicaciones.
Proteja las sesiones de los usuarios con los controles adecuados:
- Configure las políticas de tiempo de espera de las sesiones.
- Establezca acciones de tiempo de espera de desconexión.
- Implemente los requisitos de persistencia de la sesión.
- Controle los permisos de redireccionamiento del sistema de archivos.
Configure la autenticación basada en certificados para las aplicaciones. WorkSpaces Para obtener más información, consulte la entrada del AWS blog Simplifique la autenticación basada en certificados para WorkSpaces aplicaciones y WorkSpaces con Autoridad de certificación privada de AWS Connector for Active Directory.
Utilice etiquetas de sesión para implementar un control de acceso detallado. Para obtener más información, consulte la AWS entrada del blog Use etiquetas de sesión para simplificar WorkSpaces los permisos de las aplicaciones.

Mantenga la trazabilidad

Implemente sistemas de monitoreo en tiempo real y respuesta automatizada para todos los cambios y actividades del entorno.

Configure el CloudWatch registro de los registros de las aplicaciones para monitorear los eventos específicos de la aplicación, incluidos los lanzamientos, bloqueos y errores de la aplicación. Configure los registros de sesión para realizar un seguimiento de la información de las sesiones de streaming, incluidos los inicios y paradas de las sesiones y los eventos de conexión de los usuarios.
CloudTrail Actívelos para registrar todas WorkSpaces las llamadas a la API de aplicaciones y realizar un seguimiento de los eventos de administración, como la creación y modificación de la flota, las operaciones del generador de imágenes, las configuraciones de las pilas y las actividades de administración de usuarios.
Supervisa la actividad de WorkSpaces las instancias de Applications
- Configure el registro de instancias para capturar los eventos a nivel del sistema.
- Realice un seguimiento de los lanzamientos y errores de las aplicaciones.
- Supervise el uso y el rendimiento de los recursos del sistema.
Realice un seguimiento de la actividad del usuario:
- Supervise los intentos y los errores de autenticación de los usuarios. Utilice CloudWatch métricas y CloudWatch registros para rastrear los intentos de inicio de sesión de los usuarios, las horas de inicio y finalización de la sesión y los eventos de desconexión de la sesión.
- Rastrea los patrones de uso de las aplicaciones. Habilite los informes de uso de WorkSpaces las aplicaciones para recuperar información como la duración de la sesión, las horas de inicio y finalización, los tipos de instancias utilizadas y las aplicaciones a las que se ha accedido.
- Registre las actividades del sistema de archivos a través de las carpetas de inicio habilitadas.
- Configure los ajustes del portapapeles y las operaciones de impresión para lograr sus objetivos de prevención de la pérdida de datos.
Configure CloudWatchalarmas para métricas relacionadas con la seguridad, como las autenticaciones de usuarios fallidas, los patrones de sesión inusuales y las infracciones de acceso a los recursos.
Utilice el kit de herramientas EUC para realizar un seguimiento de las sesiones y los estados activos, supervisar las direcciones IP de las sesiones activas en uso y exportar los datos de las sesiones para su auditoría. Para obtener más información, consulta la entrada del AWS blog Usa el kit de herramientas EUC para gestionar Amazon WorkSpaces Applications y Amazon. WorkSpaces

Aplica la seguridad en todos los niveles

Implemente varios niveles de controles de seguridad en todos los componentes de su infraestructura, desde el perímetro de la red hasta el código de la aplicación.

Configure la seguridad de la capa de red:
- Implemente reglas estrictas para los grupos de seguridad.
- Coloque WorkSpaces las instancias de la flota de aplicaciones en subredes privadas que no tengan acceso directo a Internet. Controle el acceso a Internet a través de dispositivos NAT.
- Utilice puntos finales de nube privada virtual (VPC) para acceder a los dispositivos compatibles Servicios de AWS (como Amazon S3).
- Implemente listas de control de acceso a la red (ACLs) como capa de seguridad de red adicional.
- Restrinja el acceso al puerto de transmisión (TCP 8443 para HTTPS y WebSocket Secure) a rangos de IP específicos.
Configure la seguridad de la capa de acceso:
- Implemente políticas de tiempo de espera de sesión para desconectar automáticamente a los usuarios inactivos.
- Implemente un control de acceso basado en atributos mediante etiquetas de sesión. Para obtener más información, consulta la AWS entrada del blog Usa etiquetas de sesión para simplificar los permisos de WorkSpaces las aplicaciones.
Configure la seguridad de la capa de aplicaciones:
- Configure los derechos de las aplicaciones para controlar qué usuarios pueden acceder a aplicaciones específicas.
- Habilite los controles de redirección del sistema de archivos para restringir el acceso a las unidades locales.
- Configure los permisos de portapapeles, transferencia de archivos e impresión en función de los requisitos de seguridad.
- Configure los controles de acceso a los dispositivos USB de acuerdo con las políticas de seguridad.
Configure la seguridad de la capa de imágenes:
- Cree y mantenga imágenes base reforzadas que cumplan con los requisitos de seguridad.
- Mantenga las imágenes base actualizadas con los últimos parches de seguridad.
- Configure los ajustes de seguridad de Windows en las imágenes base.
- Deshabilite los servicios y funciones de Windows innecesarios en las imágenes base.

Automatice las prácticas recomendadas de seguridad

Utilice controles de seguridad automatizados y definidos por código en plantillas controladas por versiones para permitir una implementación de infraestructura segura y escalable.

Utilice la infraestructura como código (IaC) mediante el uso de servicios, por ejemplo, AWS CloudFormation para implementar configuraciones de seguridad uniformes en todos los despliegues de la flota. Para obtener más información, consulte la entrada del AWS blog Adjuntar automáticamente grupos de seguridad adicionales a Amazon WorkSpaces Applications y Amazon WorkSpaces.
Automatice los procesos de seguridad de creación de imágenes mediante la CLI de Image Assistant.
Configure las respuestas automatizadas para los umbrales de utilización de la capacidad superados, los intentos de acceso no autorizado y los cambios en los grupos de seguridad mediante las CloudWatch alarmas de Amazon, EventBridge las reglas de Amazon y las AWS Lambda funciones de las respuestas automatizadas.

Mantenga a las personas alejadas de los datos

Automatice los procesos de manejo de datos para minimizar el acceso humano directo y reducir el riesgo de errores o mal manejo.

Configure los derechos de las aplicaciones para controlar qué usuarios pueden acceder a aplicaciones específicas.
Utilice el marco de aplicaciones dinámicas para crear un proveedor de aplicaciones dinámicas que permita que las aplicaciones estén disponibles de forma dinámica en función de los atributos del usuario.
Configure la redirección del sistema de archivos para controlar a qué unidades locales pueden acceder los usuarios, restringir el acceso a carpetas específicas y administrar los permisos de transferencia de archivos entre las sesiones locales y de streaming.
Implemente restricciones en el portapapeles para impedir que se comparta el portapapeles entre sesiones locales y de streaming, habilite el flujo unidireccional del portapapeles cuando sea necesario e impida la copia de datos no autorizada.
Configure la persistencia de los ajustes de las aplicaciones para guardar y restaurar automáticamente las configuraciones de las aplicaciones, eliminar las necesidades de configuración manual y mantener una experiencia de usuario uniforme.

Prepárese para los eventos de seguridad

Desarrolle y ponga en práctica planes de respuesta a incidentes mediante el uso de herramientas automatizadas que permitan detectar, investigar y recuperarse rápidamente de los eventos de seguridad.

Configure CloudWatch alarmas para los intentos de autenticación fallidos, los cambios en los grupos de seguridad de la flota, las modificaciones en las configuraciones de las imágenes y los patrones inusuales de las sesiones de streaming.
Documente los procedimientos de respuesta para los escenarios de seguridad comunes de WorkSpaces las aplicaciones, como:
- Intentos de acceso no autorizados
  - Detección: supervise los errores de autenticación.
  - Respuesta: revoque los derechos de los usuarios, revise los registros de sesión y actualice las políticas de acceso.
- Instancias de streaming comprometidas
  - Detección: supervisa el comportamiento de las instancias.
  - Respuesta: finalice las sesiones afectadas, sustituya las instancias de la flota y revise las configuraciones de los grupos de seguridad.
- Intentos de exfiltración de datos
  - Detección: supervise las actividades de transferencia de archivos.
  - Respuesta: revise los registros del portapapeles y de las transferencias de archivos, ajuste los permisos de transferencia de archivos y actualice las políticas de protección de datos.
Implemente procesos de recuperación automatizados para reemplazar las instancias de la flota, restaurar los grupos de seguridad, reconfigurar el acceso de los usuarios y recuperar la configuración de las aplicaciones.
Úselo Servicios de AWS para la gestión de la seguridad, como AWS Security Hub CSPM para los hallazgos de seguridad, y Amazon GuardDuty para la detección de amenazas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Pilar de excelencia operativa

Pilar de fiabilidad