Mettre en place une base d'identité solide Maintenir la traçabilité Appliquer la sécurité à tous les niveaux Automatisez les meilleures pratiques de sécurité Éloignez les utilisateurs des données Préparez-vous aux événements de sécurité

Pilier de sécurité

Le pilier de sécurité du AWS Well-Architected Framework vise à tirer parti des fonctionnalités du cloud pour aider à établir des mécanismes de protection robustes pour vos informations, votre infrastructure et vos ressources. Ces principes contribuent à améliorer votre posture globale en matière de sécurité tout en favorisant l'innovation.

Principaux domaines d'intérêt pour appliquer ce pilier à votre environnement de streaming d' WorkSpaces applications :

Intégrité et confidentialité des données
Gestion des autorisations utilisateur
Mise en place de contrôles pour détecter les événements de sécurité

Mettre en place une base d'identité solide

Utilisez les autorisations minimales requises pour accéder aux AWS ressources tout en centralisant la gestion des identités et en évitant les identifiants à long terme.

Accordez les autorisations les moins privilégiées pour WorkSpaces les ressources des applications :
- Créez des rôles IAM spécifiques pour les flottes WorkSpaces d'applications avec les autorisations minimales requises.
- Configurez des autorisations IAM limitées pour les générateurs d'images.
- Limitez l'accès administratif aux fonctions de gestion des WorkSpaces applications.
- Définissez des autorisations granulaires pour la gestion des stocks et des flottes.
Mettez en œuvre des mécanismes d'authentification utilisateur appropriés :
- Configurez la fédération SAML 2.0 pour l'intégration des fournisseurs d'identité d'entreprise.
- Configuration AWS IAM Identity Centerpour la gestion des utilisateurs.
- Utilisez des courtiers d'identité personnalisés uniquement lorsque cela est nécessaire pour des scénarios d'authentification spécifiques.
- Mettez en œuvre l'authentification multifactorielle (MFA) lorsqu'elle est prise en charge.
Contrôlez l'accès des utilisateurs aux applications :
- Configurez les droits des applications pour restreindre l'accès à des applications spécifiques.
- Créez des groupes d'attribution d'applications en fonction des rôles des utilisateurs.
- Gérez l'accès aux applications via des autorisations de pile.
- Mettez en œuvre des politiques de session pour contrôler le comportement des applications.
Sécurisez les sessions utilisateur avec des contrôles appropriés :
- Configurez les politiques de temporisation des sessions.
- Définissez les actions de temporisation de déconnexion.
- Implémentez les exigences de persistance des sessions.
- Contrôlez les autorisations de redirection du système de fichiers.
Configurez l'authentification basée sur des certificats pour les applications WorkSpaces . Pour plus d'informations, consultez le billet de AWS blog Simplifier l'authentification basée sur les certificats pour les WorkSpaces applications et WorkSpaces avec Autorité de certification privée AWS Connector for Active Directory.
Utilisez des balises de session pour mettre en œuvre un contrôle d'accès précis. Pour plus d'informations, consultez le billet de AWS blog Utiliser les balises de session pour simplifier WorkSpaces les autorisations des applications.

Maintenir la traçabilité

Mettez en œuvre une surveillance en temps réel et des systèmes de réponse automatisés pour tous les changements et activités liés à l'environnement.

Configurez la CloudWatch journalisation des journaux des applications afin de surveiller les événements spécifiques aux applications, notamment les lancements d'applications, les pannes et les erreurs. Configurez les journaux de session pour suivre les informations des sessions de streaming, notamment les démarrages, les arrêts et les événements de connexion utilisateur.
Activez cette option CloudTrail pour enregistrer tous les appels d'API des WorkSpaces applications et pour suivre les événements de gestion tels que la création et la modification de flottes, les opérations de création d'images, les configurations de stack et les activités de gestion des utilisateurs.
Surveillez l'activité WorkSpaces des instances d'applications :
- Configurez la journalisation des instances pour capturer les événements au niveau du système.
- Suivez les lancements et les échecs des applications.
- Surveillez l'utilisation des ressources et les performances du système.
Suivez l'activité des utilisateurs :
- Surveillez les tentatives et les échecs d'authentification des utilisateurs. Utilisez CloudWatch les métriques et les CloudWatch journaux pour suivre les tentatives de connexion des utilisateurs, les heures de début et de fin de session et les événements de déconnexion de session.
- Suivez les habitudes d'utilisation des applications. Activez WorkSpaces les rapports d'utilisation des applications pour récupérer des informations telles que la durée des sessions, les heures de début et de fin, les types d'instances utilisés et les applications consultées.
- Enregistrez les activités du système de fichiers via les dossiers de base activés.
- Configurez les paramètres du presse-papiers et les opérations d'impression pour atteindre vos objectifs de prévention des pertes de données.
Configurez des CloudWatchalarmes pour les mesures liées à la sécurité, telles que les échecs d'authentification des utilisateurs, les modèles de session inhabituels et les violations d'accès aux ressources.
Utilisez le kit d'outils EUC pour suivre les sessions et les états actifs, surveiller les adresses IP pour les sessions actives en cours d'utilisation et exporter les données de session à des fins d'audit. Pour plus d'informations, consultez le billet de AWS blog Utiliser le kit d'outils EUC pour gérer Amazon WorkSpaces Applications et Amazon WorkSpaces.

Appliquer la sécurité à tous les niveaux

Mettez en œuvre plusieurs niveaux de contrôles de sécurité sur tous les composants de votre infrastructure, de la périphérie du réseau au code d'application.

Configurer la sécurité de la couche réseau :
- Mettez en œuvre des règles strictes relatives aux groupes de sécurité.
- Placez WorkSpaces les instances du parc d'applications dans des sous-réseaux privés qui n'ont pas d'accès direct à Internet. Contrôlez l'accès à Internet via des appareils NAT.
- Utilisez les points de terminaison de cloud privé virtuel (VPC) pour accéder aux services pris en charge Services AWS (comme Amazon S3).
- Implémentez des listes de contrôle d'accès réseau (ACLs) en tant que couche de sécurité réseau supplémentaire.
- Limitez l'accès au port de streaming (TCP 8443 pour HTTPS et WebSocket Secure) à des plages d'adresses IP spécifiques.
Configurer la sécurité de la couche d'accès :
- Mettez en œuvre des politiques de temporisation de session pour déconnecter automatiquement les utilisateurs inactifs.
- Mettez en œuvre un contrôle d'accès basé sur les attributs à l'aide de balises de session. Pour plus d'informations, consultez le billet de AWS blog Utiliser les balises de session pour simplifier WorkSpaces les autorisations des applications.
Configurer la sécurité de la couche applicative :
- Configurez les droits des applications pour contrôler quels utilisateurs peuvent accéder à des applications spécifiques.
- Activez les contrôles de redirection du système de fichiers pour restreindre l'accès aux lecteurs locaux.
- Configurez le presse-papiers, le transfert de fichiers et les autorisations d'impression en fonction des exigences de sécurité.
- Configurez les contrôles d'accès aux périphériques USB conformément aux politiques de sécurité.
Configurer la sécurité de la couche d'image :
- Créez et gérez des images de base renforcées qui répondent aux exigences de sécurité.
- Maintenez les images de base à jour avec les derniers correctifs de sécurité.
- Configurez les paramètres de sécurité Windows dans les images de base.
- Désactivez les services et fonctionnalités Windows inutiles dans les images de base.

Automatisez les meilleures pratiques de sécurité

Utilisez des contrôles de sécurité automatisés définis par code dans des modèles contrôlés par version pour permettre un déploiement d'infrastructure sécurisé et évolutif.

Utilisez l'infrastructure en tant que code (IaC) en utilisant des services tels que la mise AWS CloudFormation en œuvre de configurations de sécurité cohérentes dans tous les déploiements de flotte. Pour plus d'informations, consultez le billet de AWS blog Attacher automatiquement des groupes de sécurité supplémentaires à Amazon WorkSpaces Applications et Amazon WorkSpaces.
Automatisez les processus de sécurité liés à la création d'images à l'aide de l'interface de ligne de commande Image Assistant.
Configurez des réponses automatisées en cas de dépassement des seuils d'utilisation des capacités, de tentatives d'accès non autorisées et de modifications du groupe de sécurité en utilisant les CloudWatch alarmes Amazon, EventBridge les règles Amazon et les AWS Lambda fonctions de réponses automatisées.

Éloignez les utilisateurs des données

Automatisez les processus de traitement des données afin de minimiser l'accès humain direct et de réduire le risque d'erreurs ou de mauvaise gestion.

Configurez les droits des applications pour contrôler quels utilisateurs peuvent accéder à des applications spécifiques.
Utilisez le framework d'applications dynamiques pour créer un fournisseur d'applications dynamiques afin de rendre les applications disponibles de manière dynamique en fonction des attributs utilisateur.
Configurez la redirection du système de fichiers pour contrôler les lecteurs locaux auxquels les utilisateurs peuvent accéder, pour restreindre l'accès à des dossiers spécifiques et pour gérer les autorisations de transfert de fichiers entre les sessions locales et les sessions de streaming.
Implémentez des restrictions relatives au presse-papiers pour désactiver le partage du presse-papiers entre les sessions locales et les sessions de streaming, activer le flux unidirectionnel dans le presse-papiers si nécessaire et empêcher la copie non autorisée des données.
Configurez la persistance des paramètres des applications pour enregistrer et restaurer automatiquement les configurations des applications, éliminer les besoins de configuration manuelle et garantir une expérience utilisateur cohérente.

Préparez-vous aux événements de sécurité

Développez et mettez en pratique des plans de réponse aux incidents en utilisant des outils automatisés pour permettre une détection, une investigation et une reprise rapides après des événements de sécurité.

Configurez des CloudWatch alarmes en cas d'échec des tentatives d'authentification, de modification des groupes de sécurité du parc, de modification des configurations d'image et de modèles de session de streaming inhabituels.
Documentez les procédures de réponse pour les scénarios de sécurité des WorkSpaces applications courants tels que :
- Tentatives d'accès non autorisées
  - Détection : surveillez les échecs d'authentification.
  - Réponse : révoquez les droits des utilisateurs, consultez les journaux de session et mettez à jour les politiques d'accès.
- Instances de streaming compromises
  - Détection : surveillez le comportement de l'instance.
  - Réponse : mettez fin aux sessions concernées, remplacez les instances de flotte et passez en revue les configurations des groupes de sécurité.
- Tentatives d'exfiltration de données
  - Détection : surveillez les activités de transfert de fichiers.
  - Réponse : passez en revue le presse-papiers et les journaux de transfert de fichiers, ajustez les autorisations de transfert de fichiers et mettez à jour les politiques de protection des données.
Mettez en œuvre des processus de restauration automatisés pour le remplacement des instances du parc, la restauration des groupes de sécurité, la reconfiguration des accès utilisateurs et la restauration des paramètres des applications.
Services AWS À utiliser pour la gestion de la sécurité, par exemple AWS Security Hub CSPM pour les résultats de sécurité et Amazon GuardDuty pour la détection des menaces.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pilier d’excellence opérationnelle

Pilier de fiabilité