View a markdown version of this page

Sécurité - Bonnes pratiques pour le déploiement des WorkSpaces applications Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Chez Amazon Web Services (AWS), la sécurité dans le cloud est la priorité principale. La sécurité et la conformité sont une responsabilité partagée entre le client AWS et le client. Pour plus d'informations, reportez-vous au modèle de responsabilité partagée. En tant que client d' AWS and WorkSpaces Applications, il est important de mettre en œuvre des mesures de sécurité sur différentes couches telles que le stack, le parc, l'image et le réseau.

En raison de son caractère éphémère, WorkSpaces les applications sont souvent préférées en tant que solution sécurisée à la livraison d'applications et de postes de travail. Déterminez si les solutions antivirus courantes dans les déploiements Windows sont pertinentes dans vos cas d'utilisation pour un environnement prédéfini et purgé à la fin d'une session utilisateur. L'antivirus alourdit les instances virtualisées, ce qui en fait une bonne pratique pour limiter les activités inutiles. Par exemple, l'analyse du volume système (qui est éphémère) au démarrage n'améliore pas la sécurité globale des WorkSpaces applications.

Les deux questions clés relatives aux WorkSpaces applications de sécurité sont centrées sur :

  • La persistance de l'état utilisateur au-delà de la session est-elle une exigence ?

  • Quel niveau d'accès doit avoir un utilisateur au cours d'une session ?

Sécurisation des données persistantes

Les déploiements d' WorkSpaces applications peuvent nécessiter la persistance de l'état utilisateur sous une forme ou une autre. Il peut s'agir de conserver des données pour des utilisateurs individuels ou de conserver des données à des fins de collaboration à l'aide d'un dossier partagé. WorkSpaces Le stockage des instances d'applications est éphémère et ne comporte aucune option de chiffrement.

WorkSpaces Les applications assurent la persistance de l'état utilisateur via les dossiers personnels et les paramètres des applications dans Amazon S3. Certains cas d'utilisation nécessitent un meilleur contrôle de la persistance de l'état utilisateur. Dans ces cas d'utilisation, il est AWS recommandé d'utiliser un partage de fichiers SMB (Server Message Block).

État et données de l'utilisateur

Étant donné que la plupart des applications Windows fonctionnent de manière optimale et sécurisée lorsqu'elles sont colocalisées avec des données d'application créées par l'utilisateur, il est recommandé de conserver ces données au même Région AWS titre que les flottes d' WorkSpaces applications. Le chiffrement de ces données est une bonne pratique. Le comportement par défaut du dossier personnel de l'utilisateur consiste à chiffrer les fichiers et les dossiers au repos à l'aide des clés de S3-managed chiffrement Amazon fournies par les services de gestion des AWS clés (AWS KMS). Il est important de noter que les utilisateurs AWS administratifs ayant accès à la AWS console ou au compartiment Amazon S3 pourront accéder directement à ces fichiers.

Dans les conceptions qui nécessitent une cible SMB (Server Message Block) à partir d'un partage de fichiers Windows pour stocker les fichiers et dossiers utilisateur, le processus est automatique ou nécessite une configuration.

Tableau 5 — Options de sécurisation des données utilisateur

Cible pour les PME

Encryption-at-rest Encryption-in-transit

Antivirus (antivirus)

FSx for Windows File Server Automatique via AWS KMS Chiffrement automatique via le chiffrement des PME

L'AV installé sur une instance distante effectue un scan sur le lecteur mappé

Passerelle de fichiers, AWS Storage Gateway

Par défaut, toutes les données stockées AWS Storage Gateway dans S3 sont chiffrées côté serveur avec Amazon S3-Managed Encryption Keys ()SSE-S3. Vous pouvez éventuellement configurer différents types de passerelles pour chiffrer les données stockées avec AWS Key Management Service (KMS) Toutes les données transférées entre tout type d'appliance passerelle et le AWS stockage sont cryptées à l'aide du protocole SSL.

L'AV installé sur une instance distante effectue un scan sur le lecteur mappé

EC2-based Serveurs de fichiers Windows Activer le chiffrement EBS PowerShell; Set- SmbServerConfiguration – EncryptData $True

L'AV installé sur le serveur effectue un scan sur les disques locaux

Sécurité des terminaux et antivirus

La brève nature éphémère des instances Amazon WorkSpaces Applications et le manque de persistance des données obligent à adopter une approche différente pour garantir que l'expérience utilisateur et les performances ne soient pas compromises par des activités qui seraient requises sur un poste de travail persistant. Les agents Endpoint Security sont installés dans WorkSpaces les images des applications lorsqu'il existe une politique organisationnelle ou lorsqu'ils sont utilisés avec une entrée de données externes, par exemple des e-mails, des entrées de fichiers, une navigation Web externe.

Supprimer les identifiants uniques

Les agents Endpoint Security peuvent disposer d'un identifiant global unique (GUID) qui doit être réinitialisé lors du processus de création des instances du parc. Les fournisseurs disposent d'instructions sur l'installation de leurs produits sous forme d'images, qui garantissent la génération d'un nouveau GUID pour chaque instance générée à partir d'une image.

Pour vous assurer que le GUID n'est pas généré, installez l'agent Endpoint Security comme dernière action avant d'exécuter l'assistant WorkSpaces Applications pour générer l'image.

Optimisation des performances

Les fournisseurs de solutions de sécurité des terminaux fournissent des commutateurs et des paramètres qui optimisent les performances des WorkSpaces applications. Les paramètres varient selon les fournisseurs et se trouvent dans leur documentation, généralement dans une section sur le VDI. Certains paramètres courants incluent, sans toutefois s'y limiter, les suivants :

  • Désactivez les scans de démarrage pour vous assurer que les temps de création, de démarrage et de connexion des instances sont minimisés

  • Désactiver les scans programmés pour éviter les scans inutiles

  • Désactiver les caches de signatures pour empêcher l'énumération des fichiers

  • Activer les paramètres d'E/S optimisés pour le VDI

  • Exclusions requises par les applications pour garantir les performances

Les fournisseurs de solutions de sécurité des terminaux fournissent des instructions d'utilisation avec des environnements de bureau virtuels qui optimisent les performances.

Exclusions de numérisation

Si un logiciel de sécurité est installé dans WorkSpaces les instances d'applications, il ne doit pas interférer avec les processus suivants.

Tableau 6 — Processus WorkSpaces des applications Les logiciels de sécurité ne doivent pas interférer avec les processus suivants.

Service Processus
AmazonCloudWatchAgent « C:\Program Files \ Amazon \ AmazonCloudWatchAgent \ start-amazon- cloudwatch-agent.exe »
AmazonssMagent « C:\Program Files \ Amazon \ SSM \ amazon-ssm-agent.exe »
NICE DCV « C:\Program Files \ NICE \ DCV \ Server \ bin \ dcvserver.exe » "C:\Program Files \ NICE \ DCV \ Server \ bin \ dcvagent.exe »
WorkSpaces Applications

« C : \ ProgramFiles \ Amazon \ AppStream 2 \ StorageConnector \ StorageConnector.exe »

Dans le dossier « C:\Program Files \ Amazon \ Photon \ »

«. \ Agent \ PhotonAgent.exe »

«. \ Agent \ s5cmd.exe »

".\WebServer\PhotonAgentWebServer.exe"

".\CustomShell\PhotonWindowsAppSwitcher.exe"

".\CustomShell\PhotonWindowsCustomShell.exe"

".\CustomShell\PhotonWindowsCustomShellBackground.exe"

Dossiers

Si un logiciel de sécurité est installé dans WorkSpaces les instances d'applications, il ne doit pas interférer avec les dossiers suivants :

Exemple
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

Hygiène des consoles de sécurité des terminaux

Amazon WorkSpaces Applications créera de nouvelles instances uniques chaque fois qu'un utilisateur se connecte au-delà des délais d'inactivité et de déconnexion. Les instances porteront un nom unique et s'accumuleront dans les consoles de gestion de la sécurité des terminaux. Le fait de configurer la suppression des machines anciennes et inutilisées âgées de plus de 4 jours (ou moins selon les délais d'expiration des sessions des WorkSpaces applications) réduira le nombre d'instances expirées dans la console.

Exclusions de réseau

La plage du réseau de gestion des WorkSpaces applications (198.19.0.0/16) et les ports et adresses suivants ne doivent être bloqués par aucune solution de sécurité/pare-feu ou antivirus au sein des instances d' WorkSpaces applications.

Tableau 7 — Ports dans les instances de streaming WorkSpaces des applications, les logiciels de sécurité ne doivent pas interférer avec

Port

Utilisation

8300, 3128

Ceci est utilisé pour établir la connexion de streaming

8000

Ceci est utilisé pour gérer l'instance de streaming par WorkSpaces Applications

8443

Ceci est utilisé pour gérer l'instance de streaming par WorkSpaces Applications

53

DNS

Tableau 8 — Adresses des services gérés des WorkSpaces applications avec lesquelles les logiciels de sécurité ne doivent pas interférer

Port Utilisation
169,254,169,123 NTP
169,254,169,249 Service de licence NVIDIA GRID
169,254,169,250 KMS
169,254,169,251 KMS
169,254,169,253 DNS
169,254,169,254 Métadonnées

Sécurisation d'une session WorkSpaces d'applications

Limiter les contrôles des applications et du système d'exploitation

WorkSpaces Les applications permettent à l'administrateur de spécifier exactement quelles applications peuvent être lancées à partir de la page Web en mode streaming d'applications. Cela ne garantit toutefois pas que seules les applications spécifiées peuvent être exécutées.

Les utilitaires et applications Windows peuvent être lancés via le système d'exploitation par des moyens supplémentaires. AWS recommande d'utiliser Microsoft AppLocker pour s'assurer que seules les applications dont votre organisation a besoin peuvent être exécutées. Les règles par défaut doivent être modifiées, car elles accordent à tous l'accès aux chemins d'accès aux répertoires critiques du système.

Note

Windows Server 2016 et 2019 nécessitent l'exécution du service Windows Application Identity pour appliquer AppLocker les règles. L'accès aux WorkSpaces applications depuis Applications utilisant Microsoft AppLocker est détaillé dans le Guide d'administration WorkSpaces des applications.

Pour les instances de flotte associées à un domaine Active Directory, utilisez des objets de stratégie de groupe (GPO) pour fournir des paramètres utilisateur et système afin de sécuriser l'accès des utilisateurs aux applications et aux ressources.

Pare-feu et routage

Lors de la création d'un parc d' WorkSpaces applications, des sous-réseaux et un groupe de sécurité doivent être attribués. Des listes de contrôle d'accès réseau (NACL) et des tables de routage sont déjà attribuées aux sous-réseaux. Vous pouvez associer jusqu'à cinq groupes de sécurité lors du lancement d'un nouveau générateur d'images ou lors de la création d'une nouvelle flotte. Les groupes de sécurité peuvent avoir jusqu'à cinq attributions à partir des groupes de sécurité existants. Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic réseau sortant et entrant depuis et vers vos instances

Une NACL est une couche de sécurité optionnelle pour votre VPC qui agit comme un pare-feu sans état pour contrôler le trafic entrant et sortant d'un ou de plusieurs sous-réseaux. Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et les ACL réseau, consultez la page de comparaison des groupes de sécurité et des NACL.

Lors de la conception et de l'application des règles du groupe de sécurité et de la NACL, tenez compte des Well-Architected meilleures pratiques d'AWS en matière de privilège minimal. Le principe du moindre privilège consiste à n'accorder que les autorisations nécessaires à l'exécution d'une tâche.

Pour les clients disposant d'un réseau privé haut débit connectant leur environnement sur site à AWS (via AWS Direct Connect), vous pouvez envisager d'utiliser les points de terminaison VPC pour les WorkSpaces applications, ce qui signifie que le trafic de streaming sera acheminé via la connectivité de votre réseau privé plutôt que via l'Internet public. Pour plus d'informations sur ce sujet, consultez la section Point de terminaison VPC de l'interface de streaming d' WorkSpaces applications de ce document.

Prévention des pertes de données

Nous examinerons deux types de prévention des pertes de données.

Contrôles de transfert de données entre le client et l'instance d' WorkSpaces applications

Tableau 9 — Conseils pour contrôler l'entrée et la sortie des données

Réglage Options Conseils
Presse-papiers
  • Copier et coller sur une session à distance uniquement

  • Copier uniquement sur un appareil local

  • Désactivé

La désactivation de ce paramètre ne désactive pas le copier-coller dans la session. S'il est nécessaire de copier des données dans la session, choisissez Coller uniquement dans une session distante afin de minimiser le risque de fuite de données.
Transfert de fichiers
  • Charger et télécharger

  • Upload uniquement

  • Téléchargement uniquement

  • Désactivé

Évitez d'activer ce paramètre pour éviter les fuites de données.
Imprimer sur un appareil local
  • Activé

  • Désactivé

Si l'impression est requise, utilisez des imprimantes mappées en réseau contrôlées et surveillées par votre organisation.

Tenez compte des avantages de la solution de transfert de données organisationnelle existante par rapport aux paramètres de la pile. Ces configurations ne sont pas conçues pour remplacer une solution complète de transfert de données sécurisé.

Contrôle du trafic sortant de l'instance d' WorkSpaces applications

Lorsque la perte de données est préoccupante, il est important de couvrir les accès auxquels un utilisateur peut accéder une fois qu'il est dans son instance d' WorkSpaces applications. À quoi ressemble le chemin de sortie (ou de sortie) du réseau ? Il est courant que l'utilisateur final dispose d'un accès Internet public au sein de son instance d' WorkSpaces applications. Il convient donc d'envisager de placer une solution de filtrage de contenu WebProxy ou une solution de filtrage de contenu sur le chemin réseau. Les autres considérations incluent une application antivirus locale et d'autres mesures de sécurité des terminaux au sein de l'instance WorkSpaces Applications (voir la section « Sécurité des terminaux et antivirus » pour plus d'informations).

Utilisation AWS services

Gestion des identités et des accès AWS

L'utilisation d'un rôle IAM pour accéder aux AWS services, et le fait d'être spécifique dans la politique IAM qui y est associée, est une bonne pratique qui garantit que seuls les utilisateurs des sessions WorkSpaces Applications y ont accès sans gérer d'informations d'identification supplémentaires. Suivez les meilleures pratiques relatives à l'utilisation des rôles IAM avec les WorkSpaces applications.

Créez des politiques IAM pour protéger les compartiments Amazon S3 créés pour conserver les données utilisateur à la fois dans les dossiers personnels et dans les paramètres des applications. Cela empêche l'accès des administrateurs autres que les administrateurs d'WorkSpaces applications.

Points de terminaison d’un VPC

Un point de terminaison VPC permet des connexions privées entre votre VPC et les services pris en charge et les services AWS de point de terminaison VPC alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder à des services de manière privée en utilisant des adresses IP privées. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon. Si l'accès public à Internet n'est requis que pour les AWS services, les points de terminaison VPC suppriment complètement le besoin de passerelles NAT et de passerelles Internet.

Dans les environnements où les routines d'automatisation ou les développeurs nécessitent d'effectuer des appels d'API pour les WorkSpaces applications, créez un point de terminaison VPC d'interface pour les opérations de l'API WorkSpaces des applications. Par exemple, s'il existe des instances EC2 dans des sous-réseaux privés sans accès public à Internet, un point de terminaison VPC pour l'API WorkSpaces Applications peut être utilisé pour appeler des opérations d'API d' WorkSpaces applications telles que l'URL. CreateStreaming Le schéma suivant montre un exemple de configuration dans lequel l'API d' WorkSpaces applications et les points de terminaison VPC de streaming sont utilisés par des fonctions Lambda et des instances EC2.

Schéma d'architecture de référence pour le point de terminaison VPC

Point de terminaison d'un VPC

Le point de terminaison VPC de streaming vous permet de diffuser des sessions via un point de terminaison VPC. Le point de terminaison de l'interface de streaming gère le trafic de streaming au sein de votre VPC. Le trafic de streaming inclut les pixels, l’USB, l’entrée utilisateur, l’audio, le presse-papiers, le chargement et le téléchargement de fichiers et le trafic d’imprimante. Pour utiliser le point de terminaison VPC, le paramètre du point de terminaison VPC doit être activé dans la pile Applications. WorkSpaces Cela constitue une alternative à la diffusion en continu de sessions utilisateur sur Internet public à partir de sites disposant d'un accès limité à Internet et qui bénéficieraient d'un accès via une instance Direct Connect. Le streaming de sessions utilisateur via un point de terminaison VPC nécessite les éléments suivants :

  • Les groupes de sécurité associés au point de terminaison de l'interface doivent autoriser l'accès entrant aux ports (TCP) et aux ports 443 1400–1499 (TCP) à partir de la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent.

  • La liste de contrôle d'accès réseau pour les sous-réseaux doit autoriser le trafic sortant des ports réseau éphémères 1024-65535 (TCP) vers la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent.

  • La connectivité Internet est nécessaire pour authentifier les utilisateurs et fournir les ressources Web dont WorkSpaces les applications ont besoin pour fonctionner.

Pour en savoir plus sur la restriction du trafic aux AWS services dotés d' WorkSpaces applications, consultez le guide d'administration pour la création et le streaming à partir de points de terminaison VPC.

Lorsqu'un accès public complet à Internet est requis, il est recommandé de désactiver la configuration de sécurité renforcée (ESC) d'Internet Explorer sur Image Builder. Pour plus d'informations, consultez le guide WorkSpaces d'administration des applications pour désactiver la configuration de sécurité renforcée d'Internet Explorer.