Pilar keamanan - AWS Bimbingan Preskriptif
Menerapkan fondasi identitas yang kuatPertahankan ketertelusuranTerapkan keamanan di semua lapisanMengotomatiskan praktik terbaik keamananJauhkan orang dari dataMempersiapkan acara keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilar keamanan

Pilar keamanan dari AWS Well-Architected Framework berfokus pada memanfaatkan kemampuan cloud untuk membantu membangun mekanisme perlindungan yang kuat untuk informasi, infrastruktur, dan sumber daya Anda. Prinsip-prinsip ini membantu meningkatkan postur keamanan Anda secara keseluruhan sekaligus memungkinkan inovasi.

Area fokus utama untuk menerapkan pilar ini ke lingkungan streaming WorkSpaces Aplikasi Anda:

  • Integritas dan kerahasiaan data

  • Mengelola izin pengguna

  • Membangun kontrol untuk mendeteksi peristiwa keamanan

Menerapkan fondasi identitas yang kuat

Gunakan izin minimum yang diperlukan untuk mengakses AWS sumber daya sambil memusatkan manajemen identitas dan menghindari kredensi jangka panjang.

  • Berikan izin istimewa paling sedikit untuk sumber daya WorkSpaces Aplikasi:

    • Buat peran IAM khusus untuk armada WorkSpaces Aplikasi dengan izin minimal yang diperlukan.

    • Konfigurasikan izin IAM terbatas untuk pembuat gambar.

    • Membatasi akses administratif ke fungsi manajemen WorkSpaces Aplikasi.

    • Tentukan izin granular untuk manajemen tumpukan dan armada.

  • Menerapkan mekanisme otentikasi pengguna yang tepat:

    • Konfigurasikan federasi SAMP 2.0 untuk integrasi penyedia identitas perusahaan.

    • Siapkan AWS IAM Identity Centeruntuk manajemen pengguna.

    • Gunakan pialang identitas khusus hanya jika diperlukan untuk skenario otentikasi tertentu.

    • Menerapkan otentikasi multi-faktor (MFA) jika didukung.

  • Kontrol akses pengguna ke aplikasi:

    • Konfigurasikan hak aplikasi untuk membatasi akses ke aplikasi tertentu.

    • Buat grup penugasan aplikasi berdasarkan peran pengguna.

    • Kelola akses aplikasi melalui izin tumpukan.

    • Menerapkan kebijakan sesi untuk mengontrol perilaku aplikasi.

  • Amankan sesi pengguna dengan kontrol yang sesuai:

    • Konfigurasikan kebijakan batas waktu sesi.

    • Setel tindakan batas waktu pemutusan sambungan.

    • Menerapkan persyaratan ketekunan sesi.

    • Kontrol izin pengalihan sistem file.

  • Konfigurasikan otentikasi berbasis sertifikat untuk Aplikasi. WorkSpaces Untuk informasi selengkapnya, lihat posting AWS blog Sederhanakan otentikasi berbasis sertifikat untuk WorkSpaces Aplikasi dan WorkSpaces dengan AWS Private CA Konektor untuk Direktori Aktif.

  • Gunakan tag sesi untuk menerapkan kontrol akses berbutir halus. Untuk informasi selengkapnya, lihat posting AWS blog Gunakan tag sesi untuk menyederhanakan izin WorkSpaces Aplikasi.

Pertahankan ketertelusuran

Menerapkan pemantauan real-time dan sistem respons otomatis untuk semua perubahan dan aktivitas lingkungan.

  • Konfigurasikan CloudWatch logging untuk log aplikasi untuk memantau peristiwa khusus aplikasi, termasuk peluncuran aplikasi, crash, dan kesalahan. Konfigurasikan log sesi untuk melacak informasi sesi streaming, termasuk sesi dimulai, berhenti, dan peristiwa koneksi pengguna.

  • Aktifkan CloudTrail untuk mencatat semua panggilan API WorkSpaces Aplikasi dan untuk melacak peristiwa manajemen seperti pembuatan dan modifikasi armada, operasi pembuat gambar, konfigurasi tumpukan, dan aktivitas manajemen pengguna.

  • Memantau aktivitas instance WorkSpaces Aplikasi:

    • Konfigurasikan pencatatan instance untuk menangkap peristiwa tingkat sistem.

    • Lacak peluncuran dan kegagalan aplikasi.

    • Memantau penggunaan dan kinerja sumber daya sistem.

  • Lacak aktivitas pengguna:

    • Pantau upaya dan kegagalan otentikasi pengguna. Gunakan CloudWatch metrik dan CloudWatch Log untuk melacak upaya login pengguna, waktu mulai dan akhir sesi, dan peristiwa pemutusan sesi.

    • Lacak pola penggunaan aplikasi. Aktifkan laporan penggunaan WorkSpaces Aplikasi untuk mengambil informasi seperti durasi sesi, waktu mulai dan akhir, jenis instans yang digunakan, dan aplikasi yang diakses.

    • Rekam aktivitas sistem file melalui folder rumah yang diaktifkan.

    • Konfigurasikan pengaturan clipboard dan operasi pencetakan untuk mencapai tujuan pencegahan kehilangan data Anda.

  • Konfigurasikan CloudWatchalarm untuk metrik terkait keamanan seperti otentikasi pengguna yang gagal, pola sesi yang tidak biasa, dan pelanggaran akses sumber daya.

  • Gunakan toolkit EUC untuk melacak sesi dan status aktif, memantau alamat IP untuk sesi aktif yang sedang digunakan, dan mengekspor data sesi untuk audit. Untuk informasi selengkapnya, lihat posting AWS blog Gunakan toolkit EUC untuk mengelola WorkSpaces Aplikasi Amazon dan Amazon. WorkSpaces

Terapkan keamanan di semua lapisan

Terapkan beberapa lapisan kontrol keamanan di semua komponen infrastruktur Anda, dari tepi jaringan hingga kode aplikasi.

  • Konfigurasikan keamanan lapisan jaringan:

    • Menerapkan aturan kelompok keamanan yang ketat.

    • Tempatkan instance armada WorkSpaces Aplikasi di subnet pribadi yang tidak memiliki akses internet langsung. Kontrol akses internet melalui perangkat NAT.

    • Gunakan titik akhir virtual private cloud (VPC) untuk mengakses yang didukung Layanan AWS (seperti Amazon S3).

    • Menerapkan daftar kontrol akses jaringan (ACLs) sebagai lapisan keamanan jaringan tambahan.

    • Batasi akses port streaming (TCP 8443 untuk HTTPS dan WebSocket Aman) ke rentang IP tertentu.

  • Konfigurasikan keamanan lapisan akses:

  • Konfigurasikan keamanan lapisan aplikasi:

    • Konfigurasikan hak aplikasi untuk mengontrol pengguna mana yang dapat mengakses aplikasi tertentu.

    • Aktifkan kontrol pengalihan sistem file untuk membatasi akses ke drive lokal.

    • Konfigurasikan clipboard, transfer file, dan izin pencetakan berdasarkan persyaratan keamanan.

    • Siapkan kontrol akses perangkat USB sesuai dengan kebijakan keamanan.

  • Konfigurasikan keamanan lapisan gambar:

    • Buat dan pertahankan gambar dasar yang diperkeras yang memenuhi persyaratan keamanan.

    • Tetap perbarui gambar dasar dengan tambalan keamanan terbaru.

    • Konfigurasikan pengaturan keamanan Windows dalam gambar dasar.

    • Nonaktifkan layanan dan fitur Windows yang tidak perlu dalam gambar dasar.

Mengotomatiskan praktik terbaik keamanan

Gunakan kontrol keamanan otomatis yang ditentukan kode dalam templat yang dikendalikan versi untuk mengaktifkan penerapan infrastruktur yang aman dan terukur.

  • Gunakan infrastruktur sebagai kode (IAc) dengan menggunakan layanan seperti AWS CloudFormation untuk menerapkan konfigurasi keamanan yang konsisten di semua penerapan armada. Untuk informasi selengkapnya, lihat posting AWS blog Secara otomatis melampirkan grup keamanan tambahan ke WorkSpaces Aplikasi Amazon dan Amazon WorkSpaces.

  • Otomatiskan proses keamanan pembuatan gambar dengan menggunakan Image Assistant CLI.

  • Konfigurasikan respons otomatis untuk ambang batas pemanfaatan kapasitas yang terlampaui, upaya akses tidak sah, dan perubahan grup keamanan dengan menggunakan alarm Amazon, EventBridge aturan Amazon CloudWatch, dan fungsi untuk respons otomatis. AWS Lambda

Jauhkan orang dari data

Mengotomatiskan proses penanganan data untuk meminimalkan akses manusia secara langsung dan mengurangi risiko kesalahan atau kesalahan penanganan.

  • Konfigurasikan hak aplikasi untuk mengontrol pengguna mana yang dapat mengakses aplikasi tertentu.

  • Gunakan framework aplikasi dinamis untuk membangun penyedia aplikasi dinamis agar aplikasi tersedia secara dinamis berdasarkan atribut pengguna.

  • Konfigurasikan pengalihan sistem file untuk mengontrol drive lokal mana yang dapat diakses pengguna, untuk membatasi akses ke folder tertentu, dan untuk mengelola izin transfer file antara sesi lokal dan streaming.

  • Menerapkan pembatasan clipboard untuk menonaktifkan berbagi clipboard antara sesi lokal dan streaming, mengaktifkan aliran clipboard satu arah jika diperlukan, dan mencegah penyalinan data yang tidak sah.

  • Konfigurasikan persistensi pengaturan aplikasi untuk menyimpan dan memulihkan konfigurasi aplikasi secara otomatis, menghilangkan kebutuhan konfigurasi manual, dan mempertahankan pengalaman pengguna yang konsisten.

Mempersiapkan acara keamanan

Kembangkan dan praktikkan rencana respons insiden dengan menggunakan alat otomatis untuk memungkinkan deteksi cepat, investigasi, dan pemulihan dari peristiwa keamanan.

  • Siapkan CloudWatch alarm untuk upaya otentikasi yang gagal, perubahan pada grup keamanan armada, modifikasi konfigurasi gambar, dan pola sesi streaming yang tidak biasa.

  • Prosedur respons dokumen untuk skenario keamanan WorkSpaces Aplikasi umum seperti:

    • Upaya akses tidak sah

      • Deteksi: Pantau kegagalan otentikasi.

      • Tanggapan: Cabut hak pengguna, tinjau log sesi, dan perbarui kebijakan akses.

    • Instans streaming yang dikompromikan

      • Deteksi: Pantau perilaku instance.

      • Respons: Hentikan sesi yang terpengaruh, ganti instance armada, dan tinjau konfigurasi grup keamanan.

    • Upaya eksfiltrasi data

      • Deteksi: Pantau aktivitas transfer file.

      • Tanggapan: Tinjau papan klip dan log transfer file, sesuaikan izin transfer file, dan perbarui kebijakan perlindungan data.

  • Menerapkan proses pemulihan otomatis untuk penggantian instance armada, pemulihan grup keamanan, konfigurasi ulang akses pengguna, dan pemulihan pengaturan aplikasi.

  • Gunakan Layanan AWS untuk manajemen keamanan, seperti AWS Security Hub CSPM untuk temuan keamanan dan Amazon GuardDuty untuk deteksi ancaman.