View a markdown version of this page

Seguridad - Mejores prácticas para implementar WorkSpaces aplicaciones de Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

La seguridad en la nube de Amazon Web Services (AWS) es la máxima prioridad. La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Para más información, consulte el Modelo de responsabilidad compartida. Como cliente de AWS And WorkSpaces Applications, es importante implementar medidas de seguridad en diferentes niveles, como la pila, la flota, la imagen y las redes.

Debido a su naturaleza efímera, se suele preferir a WorkSpaces Applications como solución segura para la distribución de aplicaciones y escritorios. Considere si las soluciones antivirus habituales en las implementaciones de Windows son relevantes en sus casos de uso para un entorno que está predefinido y se purga al final de la sesión de usuario. El antivirus sobrecarga las instancias virtualizadas, por lo que se recomienda mitigar las actividades innecesarias. Por ejemplo, escanear el volumen del sistema (que es efímero) durante el arranque no aumenta la seguridad general de las aplicaciones. WorkSpaces

Las dos preguntas clave para las WorkSpaces aplicaciones de seguridad se centran en:

  • ¿Es obligatorio conservar el estado del usuario más allá de la sesión?

  • ¿Cuánto acceso debe tener un usuario dentro de una sesión?

Protección de datos persistentes

Las implementaciones de WorkSpaces aplicaciones pueden requerir que el estado del usuario persista de alguna forma. Puede ser para conservar los datos de usuarios individuales o para la colaboración mediante una carpeta compartida. WorkSpaces El almacenamiento de instancias de aplicaciones es efímero y no tiene opción de cifrado.

WorkSpaces Las aplicaciones proporcionan persistencia del estado del usuario a través de las carpetas de inicio y la configuración de las aplicaciones en Amazon S3. Algunos casos de uso requieren un mayor control sobre la persistencia del estado de los usuarios. Para estos casos de uso, AWS recomienda utilizar un recurso compartido de archivos de bloque de mensajes del servidor (SMB).

Estado y datos de usuario

Dado que la mayoría de las aplicaciones de Windows funcionan mejor y de forma más segura cuando se ubican junto con los datos de la aplicación creados por el usuario, se recomienda mantener estos datos al Región de AWS mismo nivel que WorkSpaces las flotas de aplicaciones. Se recomienda cifrar estos datos. El comportamiento predeterminado de la carpeta principal del usuario es cifrar los archivos y carpetas en reposo mediante las claves de S3-managed cifrado de Amazon de los servicios de administración de AWS claves (AWS KMS). Es importante tener en cuenta que los usuarios AWS administrativos con acceso a la AWS consola o al bucket de Amazon S3 podrán acceder directamente a esos archivos.

En los diseños que requieren un objetivo de bloque de mensajes de servidor (SMB) de un recurso compartido de archivos de Windows para almacenar los archivos y carpetas de los usuarios, el proceso es automático o requiere una configuración.

Tabla 5: Opciones para proteger los datos de los usuarios

Objetivo para SMB

Encryption-at-rest Encryption-in-transit

Antivirus (AV)

FSx para Windows File Server Automático a través de AWS KMS Automático mediante cifrado SMB

El AV instalado en una instancia remota escanea en la unidad mapeada

File Gateway, AWS Storage Gateway

De forma predeterminada, todos los datos almacenados AWS Storage Gateway en S3 se cifran en el servidor con Amazon S3-Managed Encryption Keys ()SSE-S3. Si lo desea, puede configurar diferentes tipos de puerta de enlace para cifrar los datos almacenados con AWS Key Management Service (KMS) Todos los datos transferidos entre cualquier tipo de dispositivo de puerta de enlace y el AWS almacenamiento se cifran mediante SSL.

El AV instalado en una instancia remota escanea en la unidad mapeada

EC2-based Servidores de archivos de Windows Habilitar cifrado de EBS PowerShell; Set- SmbServerConfiguration – EncryptData $True

El AV instalado en el servidor escanea las unidades locales

Seguridad y antivirus para puntos de conexión

La breve naturaleza efímera de WorkSpaces las instancias de Amazon Applications y la falta de persistencia de los datos obligan a adoptar un enfoque diferente para garantizar que la experiencia y el rendimiento del usuario no se vean comprometidos por actividades que serían necesarias en un escritorio persistente. Los agentes de Endpoint Security se instalan en WorkSpaces las imágenes de las aplicaciones cuando existe una política organizacional o cuando se utilizan para la entrada de datos externos, por ejemplo, el correo electrónico, la entrada de archivos o la navegación web externa.

Eliminar identificadores únicos

Los agentes de seguridad de los puntos de conexión pueden tener un identificador global único (GUID) que debe reiniciarse durante el proceso de creación de la instancia de flota. Los proveedores tienen instrucciones sobre cómo instalar sus productos en imágenes, lo que garantizará que se genere un nuevo GUID para cada instancia generada a partir de una imagen.

Para garantizar que no se genere el GUID, instale el agente de Endpoint Security como última acción antes de ejecutar el Asistente de WorkSpaces Aplicaciones para generar la imagen.

Optimización del rendimiento

Los proveedores de seguridad para terminales proporcionan conmutadores y configuraciones que optimizan el rendimiento de WorkSpaces las aplicaciones. La configuración varía de un proveedor a otro y se puede encontrar en su documentación, normalmente en una sección sobre VDI. Algunos de los ajustes más comunes son:

  • Desactive los escaneos de arranque para garantizar que se minimicen los tiempos de creación, startup e inicio de sesión de las instancias

  • Desactive los escaneos programados para evitar escaneos innecesarios

  • Desactive las cachés de firmas para evitar la enumeración de archivos

  • Habilite la configuración de IO optimizada para VDI

  • Exclusiones requeridas por las aplicaciones para garantizar el rendimiento

Los proveedores de seguridad para los puntos de conexión proporcionan instrucciones de uso para entornos de escritorios virtuales que optimizan el rendimiento.

Exclusiones de análisis

Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software de seguridad no debe interferir con los siguientes procesos.

Tabla 6: El software de seguridad de los procesos de WorkSpaces aplicaciones no debe interferir con los siguientes procesos.

Servicio Processes
AmazonCloudWatchAgent «C:\Program Files\ Amazon\AmazonCloudWatchAgent\ start-amazon- cloudwatch-agent.exe»
AmazonSSMAgent "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe"
NICE DCV "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvserver.exe" "C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvagent.exe"
WorkSpaces Aplicaciones

«C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe»

En la carpeta "C:\Program Files\Amazon\Photon\"

». \ Agente\PhotonAgent.exe»

".\Agent\s5cmd.exe"

".\WebServer\PhotonAgentWebServer.exe"

".\CustomShell\PhotonWindowsAppSwitcher.exe"

".\CustomShell\PhotonWindowsCustomShell.exe"

".\CustomShell\PhotonWindowsCustomShellBackground.exe"

Carpetas

Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software no debe interferir con las siguientes carpetas:

ejemplo
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

Higiene de la consola de seguridad para puntos de conexión

Amazon WorkSpaces Applications creará nuevas instancias únicas cada vez que un usuario se conecte más allá de los tiempos de espera de inactividad y desconexión. Las instancias tendrán un nombre único y se acumularán en las consolas de administración de la seguridad de los puntos de conexión. Si se eliminan las máquinas antiguas no utilizadas que tengan más de 4 o más días (o menos, según los tiempos de espera de WorkSpaces las sesiones de las aplicaciones), se reducirá al mínimo el número de instancias caducadas en la consola.

Exclusiones de red

Ninguna solución de seguridad, firewall o antivirus de las instancias de WorkSpaces Applications debe bloquear el rango de la red de administración de WorkSpaces aplicaciones (198.19.0.0/16) y los siguientes puertos y direcciones.

Tabla 7: Los puertos de las instancias de streaming de WorkSpaces aplicaciones con los que el software de seguridad no debe interferir

Puerto

Uso

8300, 3128

Se utiliza para establecer la conexión de transmisión

8000

Esto se usa para administrar la instancia de transmisión por parte de WorkSpaces las aplicaciones

8443

Esto se usa para administrar la instancia de transmisión por parte WorkSpaces de las aplicaciones

53

DNS

Tabla 8: WorkSpaces Aplicaciones, direcciones de servicios gestionados, con las que el software de seguridad no debe interferir

Puerto Uso
169.254.169.123 NTP
169,254,16249 Servicio de licencias NVIDIA GRID
169,254,16250 KMS
169,254,16251 KMS
169,254,16253 DNS
169,254,16254 Metadatos

Asegurar una sesión de aplicaciones WorkSpaces

Limitar los controles de las aplicaciones y del sistema operativo

WorkSpaces Las aplicaciones permiten al administrador especificar exactamente qué aplicaciones se pueden iniciar desde la página web en el modo de transmisión de aplicaciones. Sin embargo, esto no garantiza que solo se puedan ejecutar las aplicaciones especificadas.

Las utilidades y aplicaciones de Windows se pueden iniciar a través del sistema operativo a través de medios adicionales. AWS recomienda utilizar Microsoft AppLocker para garantizar que solo se puedan ejecutar las aplicaciones que su organización necesita. Las reglas predeterminadas permiten a todos los usuarios acceder a los directorios críticos del sistema, así que deben modificarse.

nota

Windows Server 2016 y 2019 requieren que el servicio de identidad de aplicaciones de Windows esté en ejecución para hacer cumplir AppLocker las reglas. El acceso a WorkSpaces las aplicaciones desde las aplicaciones que utilizan Microsoft AppLocker se detalla en la Guía de administración de WorkSpaces aplicaciones.

En el caso de las instancias de flota unidas a un dominio de Active Directory, utilice los objetos de política de grupo (GPO) para proporcionar la configuración del usuario y del sistema a fin de proteger el acceso de los usuarios a las aplicaciones y los recursos.

Firewalls y enrutamiento

Al crear una flota de WorkSpaces aplicaciones, se deben asignar subredes y un grupo de seguridad. Las subredes tienen asignaciones existentes de listas de control de acceso a la red (NACL) y tabla(s) de enrutamiento. Puede asociar hasta cinco grupos de seguridad al lanzar un nuevo generador de imágenes o al crear una nueva flota. Los grupos de seguridad pueden tener hasta cinco asignaciones de los grupos de seguridad existentes. En cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico de red entrante y saliente de las instancias

Una ACL de red es una capa de seguridad opcional para la VPC que actúa como un firewall apátrida a fin de controlar el tráfico dentro y fuera de una o más subredes. Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Compare la página de grupos de seguridad y ACL de red.

Al diseñar y aplicar las reglas de grupos de seguridad y NACL, tenga en cuenta las prácticas Well-Architected recomendadas de AWS en materia de privilegios mínimos. El privilegio mínimo es un principio que consiste en conceder únicamente los permisos necesarios para completar una tarea.

En el caso de los clientes que dispongan de una red privada de alta velocidad que conecte su entorno local a AWS (mediante AWS Direct Connect), podrían considerar la posibilidad de utilizar los puntos de enlace de VPC para WorkSpaces aplicaciones, lo que significa que el tráfico de streaming se enrutará a través de la conectividad de su red privada en lugar de ir a través de la Internet pública. Para obtener más información sobre este tema, consulte la sección Punto final de VPC de la interfaz de streaming de WorkSpaces aplicaciones de este documento.

Prevención de pérdida de datos

Analizaremos dos tipos de prevención de pérdida de datos.

Controles de transferencia de datos de una instancia de cliente a una WorkSpaces aplicación

Tabla 9: Guía para controlar la entrada y salida de datos

Opción Opciones Indicaciones
Portapapeles
  • Copie y pegue solo a una sesión remota

  • Copie únicamente a el dispositivo local

  • Deshabilitado

Al deshabilitar esta configuración, no se deshabilita la función de copiar y pegar dentro de la sesión. Si es necesario copiar datos en la sesión, seleccione Pegar solo en sesión remota para minimizar la posibilidad de que se produzcan fugas de datos.
File transfer
  • Subir y descarga

  • Subir únicamente

  • Descarga solo

  • Deshabilitado

Evite activar esta configuración para evitar la fuga de datos.
Imprima en un dispositivo local
  • Habilitado

  • Deshabilitado

Si es necesario imprimir, utilice impresoras mapeadas en red que su organización controle y supervise.

Tenga en cuenta las ventajas de la solución de transferencia de datos organizativa existente en comparación con la configuración de pila. Estas configuraciones no están diseñadas para reemplazar una solución integral de transferencia de datos segura.

Controlar el tráfico de salida de la instancia de WorkSpaces aplicaciones

Cuando la pérdida de datos es un problema, es importante ocultar los elementos a los que puede acceder un usuario una vez que se encuentra dentro de su instancia de WorkSpaces aplicaciones. ¿Qué aspecto tiene la ruta de salida (o salida) de la red? Es un requisito habitual que el usuario final disponga de acceso público a Internet desde su instancia de WorkSpaces aplicaciones, por lo que se debe considerar la posibilidad de colocar una solución de filtrado de contenido WebProxy o una solución de filtrado de contenido en la ruta de la red. Otras consideraciones incluyen una aplicación antivirus local y otras medidas de seguridad para terminales dentro de la instancia de WorkSpaces Aplicaciones (consulte la sección «Seguridad de terminales y antivirus» para obtener más información).

Utilización AWS servicios

AWS Identity and Access Management

Se recomienda utilizar un rol de IAM para acceder a los AWS servicios y especificar la política de IAM correspondiente, ya que solo los usuarios de WorkSpaces las sesiones de aplicaciones tienen acceso sin tener que gestionar credenciales adicionales. Siga las prácticas recomendadas para utilizar las funciones de IAM con las aplicaciones. WorkSpaces

Cree políticas de IAM para proteger los buckets de Amazon S3 que se crean para conservar los datos de los usuarios tanto en las carpetas de inicio como en la persistencia de la configuración de la aplicación. Esto impide el acceso a personas que no son administradores de WorkSpaces aplicaciones.

Puntos de conexión de VPC

Un punto de enlace de VPC permite conexiones privadas entre su VPC y los servicios compatibles AWS y los servicios de punto final de VPC con tecnología. AWS PrivateLink AWS PrivateLink es una tecnología que le permite acceder de forma privada a los servicios mediante direcciones IP privadas. El tráfico entre su VPC y el otro servicio no sale de la red de Amazon. Si el acceso público a Internet solo es necesario para AWS los servicios, los puntos finales de VPC eliminan por completo la necesidad de puertas de enlace NAT y puertas de enlace de Internet.

En entornos en los que las rutinas de automatización o los desarrolladores requieran realizar llamadas a la API para WorkSpaces las aplicaciones, cree un punto final de VPC de interfaz para WorkSpaces las operaciones de la API de aplicaciones. Por ejemplo, si hay instancias EC2 en subredes privadas sin acceso público a Internet, se puede usar un punto final de VPC para la API de WorkSpaces aplicaciones para llamar a las operaciones de la API de WorkSpaces aplicaciones, como la URL. CreateStreaming El siguiente diagrama muestra un ejemplo de configuración en el que las funciones Lambda y las instancias EC2 consumen la API de WorkSpaces aplicaciones y los puntos finales de VPC de streaming.

Un diagrama de arquitectura de referencia para el punto de conexión de la VPC

Punto de conexión VPC

El punto de conexión de VPC de transmisión le permite transmitir sesiones a través de un punto de conexión de VPC. El punto de enlace de interfaz de transmisión mantiene el tráfico de transmisión en la VPC. El tráfico de transmisión incluye el tráfico de píxeles, USB, entradas de usuario, audio, portapapeles, carga y descarga de archivos e impresoras. Para usar el punto de enlace de la VPC, la configuración del punto de enlace de la VPC debe estar habilitada en la pila de aplicaciones. WorkSpaces Esto sirve como alternativa a la transmisión de las sesiones de los usuarios a través de la Internet pública desde ubicaciones que tienen acceso limitado a Internet y que se beneficiarían del acceso a través de una instancia de Direct Connect. La transmisión de sesiones de usuario a través de un punto de conexión de VPC requiere lo siguiente:

  • Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto 443 (TCP) y a los puertos 1400–1499 (TCP) desde el rango de direcciones IP desde el que se conecten los usuarios.

  • La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros 1024-65535 (TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios.

  • Se requiere conectividad a Internet para autenticar a los usuarios y entregar los activos web que WorkSpaces las aplicaciones necesitan para funcionar.

Para obtener más información sobre cómo restringir el tráfico a AWS los servicios con WorkSpaces aplicaciones, consulta la guía de administración para crear y transmitir desde puntos de conexión de VPC.

Cuando se requiere acceso público completo a Internet, se recomienda deshabilitar la Configuración de seguridad mejorada (ESC) de Internet Explorer en Image Builder. Para obtener más información, consulte la guía de administración de WorkSpaces aplicaciones para deshabilitar la configuración de seguridad mejorada de Internet Explorer.