Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad
La seguridad en la nube de Amazon Web Services (AWS) es la máxima prioridad. La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Para más información, consulte el Modelo de responsabilidad compartida
Debido a su naturaleza efímera, se suele preferir a WorkSpaces Applications como solución segura para la distribución de aplicaciones y escritorios. Considere si las soluciones antivirus habituales en las implementaciones de Windows son relevantes en sus casos de uso para un entorno que está predefinido y se purga al final de la sesión de usuario. El antivirus sobrecarga las instancias virtualizadas, por lo que se recomienda mitigar las actividades innecesarias. Por ejemplo, escanear el volumen del sistema (que es efímero) durante el arranque no aumenta la seguridad general de las aplicaciones. WorkSpaces
Las dos preguntas clave para las WorkSpaces aplicaciones de seguridad se centran en:
-
¿Es obligatorio conservar el estado del usuario más allá de la sesión?
-
¿Cuánto acceso debe tener un usuario dentro de una sesión?
Protección de datos persistentes
Las implementaciones de WorkSpaces aplicaciones pueden requerir que el estado del usuario persista de alguna forma. Puede ser para conservar los datos de usuarios individuales o para la colaboración mediante una carpeta compartida. WorkSpaces El almacenamiento de instancias de aplicaciones es efímero y no tiene opción de cifrado.
WorkSpaces Las aplicaciones proporcionan persistencia del estado del usuario a través de las carpetas de inicio y la configuración de las aplicaciones en Amazon S3. Algunos casos de uso requieren un mayor control sobre la persistencia del estado de los usuarios. Para estos casos de uso, AWS recomienda utilizar un recurso compartido de archivos de bloque de mensajes del servidor (SMB).
Estado y datos de usuario
Dado que la mayoría de las aplicaciones de Windows funcionan mejor y de forma más segura cuando se ubican junto con los datos de la aplicación creados por el usuario, se recomienda mantener estos datos al Región de AWS mismo nivel que WorkSpaces las flotas de aplicaciones. Se recomienda cifrar estos datos. El comportamiento predeterminado de la carpeta principal del usuario es cifrar los archivos y carpetas en reposo mediante las claves de S3-managed cifrado de Amazon de los servicios de administración de AWS claves (AWS KMS). Es importante tener en cuenta que los usuarios AWS administrativos con acceso a la AWS consola o al bucket de Amazon S3 podrán acceder directamente a esos archivos.
En los diseños que requieren un objetivo de bloque de mensajes de servidor (SMB) de un recurso compartido de archivos de Windows para almacenar los archivos y carpetas de los usuarios, el proceso es automático o requiere una configuración.
Tabla 5: Opciones para proteger los datos de los usuarios
|
Objetivo para SMB |
Encryption-at-rest | Encryption-in-transit |
Antivirus (AV) |
|---|---|---|---|
| FSx para Windows File Server | Automático a través de AWS KMS | Automático mediante cifrado SMB |
El AV instalado en una instancia remota escanea en la unidad mapeada |
|
File Gateway, AWS Storage Gateway |
De forma predeterminada, todos los datos almacenados AWS Storage Gateway en S3 se cifran en el servidor con Amazon S3-Managed Encryption Keys ()SSE-S3. Si lo desea, puede configurar diferentes tipos de puerta de enlace para cifrar los datos almacenados con AWS Key Management Service (KMS) | Todos los datos transferidos entre cualquier tipo de dispositivo de puerta de enlace y el AWS almacenamiento se cifran mediante SSL. |
El AV instalado en una instancia remota escanea en la unidad mapeada |
| EC2-based Servidores de archivos de Windows | Habilitar cifrado de EBS |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
El AV instalado en el servidor escanea las unidades locales |
Seguridad y antivirus para puntos de conexión
La breve naturaleza efímera de WorkSpaces las instancias de Amazon Applications y la falta de persistencia de los datos obligan a adoptar un enfoque diferente para garantizar que la experiencia y el rendimiento del usuario no se vean comprometidos por actividades que serían necesarias en un escritorio persistente. Los agentes de Endpoint Security se instalan en WorkSpaces las imágenes de las aplicaciones cuando existe una política organizacional o cuando se utilizan para la entrada de datos externos, por ejemplo, el correo electrónico, la entrada de archivos o la navegación web externa.
Eliminar identificadores únicos
Los agentes de seguridad de los puntos de conexión pueden tener un identificador global único (GUID) que debe reiniciarse durante el proceso de creación de la instancia de flota. Los proveedores tienen instrucciones sobre cómo instalar sus productos en imágenes, lo que garantizará que se genere un nuevo GUID para cada instancia generada a partir de una imagen.
Para garantizar que no se genere el GUID, instale el agente de Endpoint Security como última acción antes de ejecutar el Asistente de WorkSpaces Aplicaciones para generar la imagen.
Optimización del rendimiento
Los proveedores de seguridad para terminales proporcionan conmutadores y configuraciones que optimizan el rendimiento de WorkSpaces las aplicaciones. La configuración varía de un proveedor a otro y se puede encontrar en su documentación, normalmente en una sección sobre VDI. Algunos de los ajustes más comunes son:
-
Desactive los escaneos de arranque para garantizar que se minimicen los tiempos de creación, startup e inicio de sesión de las instancias
-
Desactive los escaneos programados para evitar escaneos innecesarios
-
Desactive las cachés de firmas para evitar la enumeración de archivos
-
Habilite la configuración de IO optimizada para VDI
-
Exclusiones requeridas por las aplicaciones para garantizar el rendimiento
Los proveedores de seguridad para los puntos de conexión proporcionan instrucciones de uso para entornos de escritorios virtuales que optimizan el rendimiento.
-
CrowdStrike y cómo instalar el CrowdStrike Falcon en el centro de datos
-
Sophos y Punto de conexión de Sophos Central: cómo instalarlo con una buena imagen para evitar la duplicación de identidades
y Sophos Central: prácticas recomendadas a la hora de instalar puntos de conexión de Windows en entornos de escritorios virtuales -
McAfee y el aprovisionamiento e implementación de McAfee agentes en sistemas de infraestructura de escritorios virtuales
-
Seguridad de puntos de conexión de Microsoft y configuración del antivirus Microsoft Defender para máquinas VDI no persistentes - Microsoft Tech Community
Exclusiones de análisis
Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software de seguridad no debe interferir con los siguientes procesos.
Tabla 6: El software de seguridad de los procesos de WorkSpaces aplicaciones no debe interferir con los siguientes procesos.
| Servicio | Processes |
|---|---|
| AmazonCloudWatchAgent | «C:\Program Files\ Amazon\AmazonCloudWatchAgent\ start-amazon- cloudwatch-agent.exe» |
| AmazonSSMAgent | "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe" |
| NICE DCV | "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvserver.exe" "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvagent.exe" |
| WorkSpaces Aplicaciones |
«C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe» En la carpeta "C:\Program Files\Amazon\Photon\" ». \ Agente\PhotonAgent.exe» ".\Agent\s5cmd.exe" ".\WebServer\PhotonAgentWebServer.exe" ".\CustomShell\PhotonWindowsAppSwitcher.exe" ".\CustomShell\PhotonWindowsCustomShell.exe" ".\CustomShell\PhotonWindowsCustomShellBackground.exe" |
Carpetas
Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software no debe interferir con las siguientes carpetas:
ejemplo
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
Higiene de la consola de seguridad para puntos de conexión
Amazon WorkSpaces Applications creará nuevas instancias únicas cada vez que un usuario se conecte más allá de los tiempos de espera de inactividad y desconexión. Las instancias tendrán un nombre único y se acumularán en las consolas de administración de la seguridad de los puntos de conexión. Si se eliminan las máquinas antiguas no utilizadas que tengan más de 4 o más días (o menos, según los tiempos de espera de WorkSpaces las sesiones de las aplicaciones), se reducirá al mínimo el número de instancias caducadas en la consola.
Exclusiones de red
Ninguna solución de seguridad, firewall o antivirus de las instancias de WorkSpaces Applications debe bloquear el rango de la red de administración de WorkSpaces aplicaciones (198.19.0.0/16) y los siguientes puertos y direcciones.
Tabla 7: Los puertos de las instancias de streaming de WorkSpaces aplicaciones con los que el software de seguridad no debe interferir
| Puerto |
Uso |
|---|---|
| 8300, 3128 |
Se utiliza para establecer la conexión de transmisión |
| 8000 |
Esto se usa para administrar la instancia de transmisión por parte de WorkSpaces las aplicaciones |
| 8443 |
Esto se usa para administrar la instancia de transmisión por parte WorkSpaces de las aplicaciones |
| 53 |
DNS |
Tabla 8: WorkSpaces Aplicaciones, direcciones de servicios gestionados, con las que el software de seguridad no debe interferir
| Puerto | Uso |
|---|---|
| 169.254.169.123 | NTP |
| 169,254,16249 | Servicio de licencias NVIDIA GRID |
| 169,254,16250 | KMS |
| 169,254,16251 | KMS |
| 169,254,16253 | DNS |
| 169,254,16254 | Metadatos |
Asegurar una sesión de aplicaciones WorkSpaces
Limitar los controles de las aplicaciones y del sistema operativo
WorkSpaces Las aplicaciones permiten al administrador especificar exactamente qué aplicaciones se pueden iniciar desde la página web en el modo de transmisión de aplicaciones. Sin embargo, esto no garantiza que solo se puedan ejecutar las aplicaciones especificadas.
Las utilidades y aplicaciones de Windows se pueden iniciar a través del sistema operativo a través de medios adicionales. AWS recomienda utilizar Microsoft AppLocker
nota
Windows Server 2016 y 2019 requieren que el servicio de identidad de aplicaciones de Windows esté en ejecución para hacer cumplir AppLocker las reglas. El acceso a WorkSpaces las aplicaciones desde las aplicaciones que utilizan Microsoft AppLocker se detalla en la Guía de administración de WorkSpaces aplicaciones.
En el caso de las instancias de flota unidas a un dominio de Active Directory, utilice los objetos de política de grupo (GPO) para proporcionar la configuración del usuario y del sistema a fin de proteger el acceso de los usuarios a las aplicaciones y los recursos.
Firewalls y enrutamiento
Al crear una flota de WorkSpaces aplicaciones, se deben asignar subredes y un grupo de seguridad. Las subredes tienen asignaciones existentes de listas de control de acceso a la red (NACL) y tabla(s) de enrutamiento. Puede asociar hasta cinco grupos de seguridad al lanzar un nuevo generador de imágenes o al crear una nueva flota. Los grupos de seguridad pueden tener hasta cinco asignaciones de los grupos de seguridad existentes. En cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico de red entrante y saliente de las instancias
Una ACL de red es una capa de seguridad opcional para la VPC que actúa como un firewall apátrida a fin de controlar el tráfico dentro y fuera de una o más subredes. Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Compare la página de grupos de seguridad y ACL de red.
Al diseñar y aplicar las reglas de grupos de seguridad y NACL, tenga en cuenta las prácticas Well-Architected recomendadas de AWS en materia de privilegios mínimos. El privilegio mínimo es un principio que consiste en conceder únicamente los permisos necesarios para completar una tarea.
En el caso de los clientes que dispongan de una red privada de alta velocidad que conecte su entorno local a AWS (mediante AWS Direct Connect), podrían considerar la posibilidad de utilizar los puntos de enlace de VPC para WorkSpaces aplicaciones, lo que significa que el tráfico de streaming se enrutará a través de la conectividad de su red privada en lugar de ir a través de la Internet pública. Para obtener más información sobre este tema, consulte la sección Punto final de VPC de la interfaz de streaming de WorkSpaces aplicaciones de este documento.
Prevención de pérdida de datos
Analizaremos dos tipos de prevención de pérdida de datos.
Controles de transferencia de datos de una instancia de cliente a una WorkSpaces aplicación
Tabla 9: Guía para controlar la entrada y salida de datos
| Opción | Opciones | Indicaciones |
|---|---|---|
| Portapapeles |
|
Al deshabilitar esta configuración, no se deshabilita la función de copiar y pegar dentro de la sesión. Si es necesario copiar datos en la sesión, seleccione Pegar solo en sesión remota para minimizar la posibilidad de que se produzcan fugas de datos. |
| File transfer |
|
Evite activar esta configuración para evitar la fuga de datos. |
| Imprima en un dispositivo local |
|
Si es necesario imprimir, utilice impresoras mapeadas en red que su organización controle y supervise. |
Tenga en cuenta las ventajas de la solución de transferencia de datos organizativa existente en comparación con la configuración de pila. Estas configuraciones no están diseñadas para reemplazar una solución integral de transferencia de datos segura.
Controlar el tráfico de salida de la instancia de WorkSpaces aplicaciones
Cuando la pérdida de datos es un problema, es importante ocultar los elementos a los que puede acceder un usuario una vez que se encuentra dentro de su instancia de WorkSpaces aplicaciones. ¿Qué aspecto tiene la ruta de salida (o salida) de la red? Es un requisito habitual que el usuario final disponga de acceso público a Internet desde su instancia de WorkSpaces aplicaciones, por lo que se debe considerar la posibilidad de colocar una solución de filtrado de contenido WebProxy o una solución de filtrado de contenido en la ruta de la red. Otras consideraciones incluyen una aplicación antivirus local y otras medidas de seguridad para terminales dentro de la instancia de WorkSpaces Aplicaciones (consulte la sección «Seguridad de terminales y antivirus» para obtener más información).
Utilización AWS servicios
AWS Identity and Access Management
Se recomienda utilizar un rol de IAM para acceder a los AWS servicios y especificar la política de IAM correspondiente, ya que solo los usuarios de WorkSpaces las sesiones de aplicaciones tienen acceso sin tener que gestionar credenciales adicionales. Siga las prácticas recomendadas para utilizar las funciones de IAM con las aplicaciones. WorkSpaces
Cree políticas de IAM para proteger los buckets de Amazon S3 que se crean para conservar los datos de los usuarios tanto en las carpetas de inicio como en la persistencia de la configuración de la aplicación. Esto impide el acceso a personas que no son administradores de WorkSpaces aplicaciones.
Puntos de conexión de VPC
Un punto de enlace de VPC permite conexiones privadas entre su VPC y los servicios compatibles AWS y los servicios de punto final de VPC con tecnología. AWS PrivateLink AWS PrivateLink es una tecnología que le permite acceder de forma privada a los servicios mediante direcciones IP privadas. El tráfico entre su VPC y el otro servicio no sale de la red de Amazon. Si el acceso público a Internet solo es necesario para AWS los servicios, los puntos finales de VPC eliminan por completo la necesidad de puertas de enlace NAT y puertas de enlace de Internet.
En entornos en los que las rutinas de automatización o los desarrolladores requieran realizar llamadas a la API para WorkSpaces las aplicaciones, cree un punto final de VPC de interfaz para WorkSpaces las operaciones de la API de aplicaciones. Por ejemplo, si hay instancias EC2 en subredes privadas sin acceso público a Internet, se puede usar un punto final de VPC para la API de WorkSpaces aplicaciones para llamar a las operaciones de la API de WorkSpaces aplicaciones, como la URL. CreateStreaming El siguiente diagrama muestra un ejemplo de configuración en el que las funciones Lambda y las instancias EC2 consumen la API de WorkSpaces aplicaciones y los puntos finales de VPC de streaming.
Punto de conexión VPC
El punto de conexión de VPC de transmisión le permite transmitir sesiones a través de un punto de conexión de VPC. El punto de enlace de interfaz de transmisión mantiene el tráfico de transmisión en la VPC. El tráfico de transmisión incluye el tráfico de píxeles, USB, entradas de usuario, audio, portapapeles, carga y descarga de archivos e impresoras. Para usar el punto de enlace de la VPC, la configuración del punto de enlace de la VPC debe estar habilitada en la pila de aplicaciones. WorkSpaces Esto sirve como alternativa a la transmisión de las sesiones de los usuarios a través de la Internet pública desde ubicaciones que tienen acceso limitado a Internet y que se beneficiarían del acceso a través de una instancia de Direct Connect. La transmisión de sesiones de usuario a través de un punto de conexión de VPC requiere lo siguiente:
-
Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto
443(TCP) y a los puertos1400–1499(TCP) desde el rango de direcciones IP desde el que se conecten los usuarios. -
La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros
1024-65535(TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios. -
Se requiere conectividad a Internet para autenticar a los usuarios y entregar los activos web que WorkSpaces las aplicaciones necesitan para funcionar.
Para obtener más información sobre cómo restringir el tráfico a AWS los servicios con WorkSpaces aplicaciones, consulta la guía de administración para crear y transmitir desde puntos de conexión de VPC.
Cuando se requiere acceso público completo a Internet, se recomienda deshabilitar la Configuración de seguridad mejorada (ESC) de Internet Explorer en Image Builder. Para obtener más información, consulte la guía de administración de WorkSpaces aplicaciones para deshabilitar la configuración de seguridad mejorada de Internet Explorer.