Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan
Keamanan cloud di Amazon Web Services (AWS) merupakan prioritas tertinggi. Keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggan. Untuk informasi lebih lanjut, lihat Model Tanggung Jawab Bersama
Karena sifatnya yang fana, WorkSpaces Aplikasi sering lebih disukai sebagai solusi aman untuk pengiriman aplikasi dan desktop. Pertimbangkan apakah solusi antivirus yang biasa digunakan dalam penerapan Windows relevan dalam kasus penggunaan Anda untuk lingkungan yang telah ditentukan sebelumnya dan dibersihkan di akhir sesi pengguna. Antivirus menambahkan overhead ke instance virtual, menjadikannya praktik terbaik untuk mengurangi aktivitas yang tidak perlu. Misalnya, memindai volume sistem (yang bersifat sementara) saat boot, misalnya, tidak menambah keamanan Aplikasi secara keseluruhan. WorkSpaces
Dua pertanyaan kunci untuk WorkSpaces Aplikasi keamanan berpusat pada:
-
Apakah status pengguna yang bertahan di luar sesi merupakan persyaratan?
-
Berapa banyak akses yang harus dimiliki pengguna dalam satu sesi?
Mengamankan data persisten
Penerapan WorkSpaces Aplikasi dapat memerlukan status pengguna untuk bertahan dalam beberapa bentuk. Mungkin untuk mempertahankan data untuk pengguna individu, atau untuk mempertahankan data untuk kolaborasi menggunakan folder bersama. WorkSpaces Penyimpanan instance aplikasi bersifat sementara dan tidak memiliki opsi enkripsi.
WorkSpaces Aplikasi menyediakan persistensi status pengguna melalui folder rumah dan pengaturan aplikasi di Amazon S3. Beberapa kasus penggunaan memerlukan kontrol yang lebih besar atas persistensi status pengguna. Untuk kasus penggunaan ini, AWS rekomendasikan untuk menggunakan berbagi file Server Message Block (SMB).
Status pengguna dan data
Karena sebagian besar aplikasi Windows berkinerja terbaik dan paling aman ketika ditempatkan bersama dengan data aplikasi yang dibuat oleh pengguna, itu adalah praktik terbaik untuk menyimpan data ini Wilayah AWS sama dengan armada WorkSpaces Aplikasi. Mengenkripsi data ini adalah praktik terbaik. Perilaku default folder home pengguna adalah mengenkripsi file dan folder saat istirahat menggunakan kunci S3-managed enkripsi Amazon dari layanan manajemen AWS kunci (AWS KMS). Penting untuk dicatat bahwa Pengguna AWS Administratif dengan akses ke bucket AWS Console atau Amazon S3 akan dapat mengakses file-file tersebut secara langsung.
Dalam desain yang memerlukan target Blok Pesan Server (SMB) dari Windows File Share untuk menyimpan file dan folder pengguna, prosesnya otomatis atau memerlukan konfigurasi.
Tabel 5 — Opsi untuk mengamankan data pengguna
|
Target SMB |
Encryption-at-rest | Encryption-in-transit |
Antivirus (AV) |
|---|---|---|---|
| fsX for Windows File Server | Otomatis melalui AWS KMS | Otomatis melalui enkripsi SMB |
AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan |
|
Gateway File, AWS Storage Gateway |
Secara default, semua data yang disimpan oleh AWS Storage Gateway dalam S3 dienkripsi sisi server dengan Amazon S3-Managed Encryption Keys (). SSE-S3 Anda dapat secara opsional mengonfigurasi berbagai jenis gateway untuk mengenkripsi data yang disimpan dengan AWS Key Management Service (KMS) | Semua data yang ditransfer antara semua jenis alat gateway dan AWS penyimpanan dienkripsi menggunakan SSL. |
AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan |
| EC2-based Server File Windows | Aktifkan enkripsi EBS |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
AV yang diinstal pada server melakukan pemindaian pada drive lokal |
Keamanan titik akhir dan antivirus
Sifat singkat instans WorkSpaces Aplikasi Amazon dan kurangnya persistensi data berarti diperlukan pendekatan yang berbeda untuk memastikan pengalaman dan kinerja pengguna tidak terganggu oleh aktivitas yang akan diperlukan pada desktop persisten. Agen Keamanan Endpoint diinstal dalam gambar WorkSpaces Aplikasi ketika ada kebijakan organisasi atau ketika digunakan dengan masuknya data eksternal misalnya email, masuknya file, penjelajahan web eksternal.
Menghapus pengenal unik
Agen Endpoint Security mungkin memiliki pengenal unik global (GUID) yang harus disetel ulang selama proses pembuatan instance armada. Vendor memiliki instruksi untuk menginstal produk mereka dalam gambar yang akan memastikan GUID baru dihasilkan untuk setiap instance yang dihasilkan dari gambar.
Untuk memastikan GUID tidak dihasilkan, instal agen Endpoint Security sebagai tindakan terakhir sebelum menjalankan Asisten WorkSpaces Aplikasi untuk menghasilkan gambar.
Optimalisasi kinerja
Vendor Keamanan Endpoint menyediakan sakelar dan pengaturan yang mengoptimalkan kinerja Aplikasi. WorkSpaces Pengaturan bervariasi antara vendor dan dapat ditemukan dalam dokumentasi mereka, biasanya di bagian tentang VDI. Beberapa pengaturan umum termasuk tetapi tidak terbatas pada adalah:
-
Matikan pemindaian boot up untuk memastikan pembuatan instans, waktu startup, dan login diminimalkan
-
Matikan pemindaian terjadwal untuk mencegah pemindaian yang tidak perlu
-
Matikan cache tanda tangan untuk mencegah pencacahan file
-
Aktifkan pengaturan IO yang dioptimalkan VDI
-
Pengecualian yang diperlukan oleh aplikasi untuk memastikan kinerja
Vendor keamanan endpoint memberikan instruksi untuk digunakan dengan lingkungan desktop virtual yang mengoptimalkan kinerja.
-
CrowdStrike dan Cara Memasang CrowdStrike Falcon di Pusat Data
-
Sophos dan Sophos Central Endpoint: Cara menginstal pada gambar emas untuk menghindari identitas duplikat
dan Sophos Central: Praktik terbaik saat menginstal Titik Akhir Windows di Lingkungan Desktop Virtual -
McAfee dan Penyediaan dan penyebaran McAfee Agen pada sistem Infrastruktur Desktop Virtual
-
Microsoft Endpoint Security dan Mengkonfigurasi Microsoft Defender Antivirus untuk mesin VDI yang tidak persisten
- Microsoft Tech Community
Pengecualian pemindaian
Jika perangkat lunak keamanan diinstal dalam contoh WorkSpaces Aplikasi, perangkat lunak keamanan tidak boleh mengganggu proses berikut.
Tabel 6 — WorkSpaces Aplikasi memproses perangkat lunak keamanan tidak boleh mengganggu proses berikut.
| Layanan | Proses |
|---|---|
| AmazonCloudWatchAgent | “C:\Program File\ Amazon\AmazonCloudWatchAgent\ mulai-amazon- cloudwatch-agent.exe” |
| AmazonssMagent | “C:\Program File\ Amazon\ SSM\ amazon-ssm-agent.exe” |
| NICE DCV | “C:\Program Files\ NICE\ DCV\ Server\ bin\ dcvserver.exe” "C:\Program File\ BAGUS\ DCV\ Server\ bin\ dcvagent.exe” |
| WorkSpaces Aplikasi |
“C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe” Di folder "C:\Program Files\ Amazon\ Photon\” “. \ Agen\PhotonAgent.exe” “. \ Agen\ s5cmd.exe” ".\WebServer\PhotonAgentWebServer.exe" ".\CustomShell\PhotonWindowsAppSwitcher.exe" ".\CustomShell\PhotonWindowsCustomShell.exe" ".\CustomShell\PhotonWindowsCustomShellBackground.exe" |
Folder
Jika perangkat lunak keamanan diinstal dalam instans WorkSpaces Aplikasi, perangkat lunak tidak boleh mengganggu folder berikut:
contoh
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
Kebersihan konsol keamanan titik akhir
WorkSpaces Aplikasi Amazon akan membuat instance unik baru setiap kali pengguna terhubung di luar batas waktu idle dan memutuskan sambungan. Instans akan memiliki nama yang unik dan akan dibangun di kondoles manajemen keamanan endpoint. Menyetel mesin tua yang tidak digunakan di atas 4 hari atau lebih (atau lebih rendah tergantung pada batas waktu sesi WorkSpaces Aplikasi) untuk dihapus akan meminimalkan jumlah instans kedaluwarsa di konsol.
Pengecualian jaringan
Rentang jaringan manajemen WorkSpaces Aplikasi (198.19.0.0/16) dan port serta alamat berikut tidak boleh diblokir oleh solusi keamanan/firewall atau antivirus apa pun dalam instance WorkSpaces Aplikasi.
Tabel 7 — Ports in WorkSpaces Applications streaming instance perangkat lunak keamanan tidak boleh mengganggu
| Port |
Penggunaan |
|---|---|
| 8300, 3128 |
Ini digunakan untuk membuat koneksi streaming |
| 8000 |
Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi |
| 8443 |
Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi |
| 53 |
DNS |
Tabel 8 — Alamat layanan terkelola WorkSpaces aplikasi perangkat lunak keamanan tidak boleh mengganggu
| Port | Penggunaan |
|---|---|
| 169.254.169.123 | NTP |
| 169.254.169.249 | Layanan Lisensi NVIDIA GRID |
| 169.254.169.250 | KM |
| 169.254.169.251 | KM |
| 169.254.169.253 | DNS |
| 169.254.169.254 | Metadata |
Mengamankan sesi WorkSpaces Aplikasi
Membatasi kontrol aplikasi dan sistem operasi
WorkSpaces Aplikasi memberi administrator kemampuan untuk menentukan dengan tepat aplikasi mana yang dapat diluncurkan dari halaman web dalam mode streaming aplikasi. Namun, ini tidak menjamin bahwa hanya aplikasi yang ditentukan yang dapat dijalankan.
Utilitas dan aplikasi Windows dapat diluncurkan melalui sistem operasi melalui cara tambahan. AWS merekomendasikan penggunaan Microsoft AppLocker
catatan
Windows Server 2016 dan 2019 mengharuskan layanan Identitas Aplikasi Windows berjalan untuk menegakkan AppLocker aturan. Akses aplikasi dari WorkSpaces Aplikasi yang menggunakan Microsoft AppLocker dirinci dalam Panduan Admin WorkSpaces Aplikasi.
Untuk instance armada yang bergabung dengan domain Direktori Aktif, gunakan Objek Kebijakan Grup (GPO) untuk memberikan pengaturan pengguna dan sistem guna mengamankan akses aplikasi dan sumber daya pengguna.
Firewall dan routing
Saat membuat armada WorkSpaces Aplikasi, subnet dan Grup Keamanan harus ditetapkan. Subnet memiliki tugas yang ada dari Daftar Kontrol Akses Jaringan (NACL) dan tabel rute. Anda dapat mengaitkan hingga lima grup keamanan saat meluncurkan pembuat gambar baru atau saat membuat armada baru Grup Keamanan dapat memiliki hingga lima tugas dari Grup Keamanan yang ada. Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas jaringan keluar dan masuk dari dan ke instans Anda
NACL adalah lapisan keamanan opsional untuk VPC Anda yang bertindak sebagai firewall stateless untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet. Anda boleh mengatur ACL jaringan dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan ACL jaringan, lihat halaman bandingkan grup keamanan dan NACL.
Saat merancang dan menerapkan aturan Grup Keamanan dan NACL, pertimbangkan praktik Well-Architected terbaik AWS untuk mendapatkan hak istimewa paling sedikit. Keistimewaan paling sedikit adalah prinsip pemberian hanya izin yang diperlukan untuk menyelesaikan tugas.
Untuk pelanggan yang memiliki jaringan pribadi berkecepatan tinggi yang menghubungkan lingkungan lokal mereka ke AWS (melalui AWS Direct Connect), Anda dapat mempertimbangkan untuk menggunakan Titik Akhir VPC untuk WorkSpaces Aplikasi, yang berarti lalu lintas streaming akan dirutekan melalui konektivitas jaringan pribadi Anda daripada melintasi internet publik. Untuk informasi selengkapnya tentang topik ini, lihat bagian Titik akhir VPC antarmuka streaming WorkSpaces aplikasi pada dokumen ini.
Pencegahan kehilangan data
Kita akan melihat dua jenis pencegahan kehilangan data.
Kontrol Transfer Data Instans Klien ke WorkSpaces Aplikasi
Tabel 9 — Panduan untuk mengontrol masuknya data dan keluar
| Pengaturan | Pilihan | Bimbingan |
|---|---|---|
| Papan klip |
|
Menonaktifkan pengaturan ini tidak menonaktifkan salin dan tempel dalam sesi. Jika menyalin data ke sesi diperlukan, pilih Tempel ke sesi jarak jauh hanya untuk meminimalkan potensi kebocoran data. |
| Transfer file |
|
Hindari mengaktifkan pengaturan ini untuk mencegah kebocoran data. |
| Mencetak ke perangkat lokal |
|
Jika pencetakan diperlukan, gunakan printer yang dipetakan jaringan yang dikontrol dan dipantau oleh organisasi Anda. |
Pertimbangkan keuntungan dari solusi transfer data organisasi yang ada dibandingkan pengaturan tumpukan. Konfigurasi ini tidak dirancang untuk menggantikan solusi transfer data aman yang komprehensif.
Mengontrol lalu lintas keluar dari instance Aplikasi WorkSpaces
Di mana kehilangan data menjadi perhatian, penting untuk menutupi apa yang dapat diakses Pengguna begitu mereka berada di dalam instance WorkSpaces Aplikasi mereka. Seperti apa jalur keluar (atau jalan keluar) jaringan? Merupakan persyaratan umum untuk memiliki akses internet publik yang tersedia bagi pengguna akhir di dalam instance WorkSpaces Aplikasi mereka, sehingga menempatkan Solusi Penyaringan Konten WebProxy atau di jalur jaringan perlu dipertimbangkan. Pertimbangan lain termasuk aplikasi Antivirus lokal dan langkah-langkah keamanan endpoint lainnya di dalam instance WorkSpaces Aplikasi (lihat bagian “Keamanan Titik Akhir dan Antivirus” untuk informasi lebih lanjut).
Penggunaan AWS layanan
AWS Identity and Access Management
Menggunakan peran IAM untuk mengakses AWS layanan, dan menjadi spesifik dalam kebijakan IAM yang melekat padanya, adalah praktik terbaik yang hanya menyediakan pengguna dalam sesi WorkSpaces Aplikasi yang memiliki akses tanpa mengelola kredensyal tambahan. Ikuti praktik terbaik untuk menggunakan Peran IAM dengan WorkSpaces Aplikasi.
Buat kebijakan IAM untuk melindungi bucket Amazon S3 yang dibuat untuk mempertahankan data pengguna di folder beranda dan persistensi pengaturan aplikasi. Ini mencegah administrator WorkSpaces non-Aplikasi dari akses.
Titik akhir VPC
Titik akhir VPC memungkinkan koneksi pribadi antara VPC Anda AWS dan layanan yang didukung serta layanan titik akhir VPC yang didukung oleh. AWS PrivateLink AWS PrivateLink adalah teknologi yang memungkinkan Anda mengakses layanan secara pribadi dengan menggunakan alamat IP pribadi. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon. Jika akses internet publik hanya diperlukan untuk AWS layanan, titik akhir VPC menghapus persyaratan untuk gateway NAT dan gateway internet sama sekali.
Di lingkungan di mana rutinitas otomatisasi atau pengembang memerlukan panggilan API untuk WorkSpaces Aplikasi, buat titik akhir VPC antarmuka WorkSpaces untuk operasi API Aplikasi. Misalnya, jika ada instans EC2 di subnet pribadi tanpa akses internet publik, titik akhir VPC untuk API WorkSpaces Aplikasi dapat digunakan untuk memanggil operasi API WorkSpaces Aplikasi seperti URL. CreateStreaming Diagram berikut menunjukkan contoh pengaturan di mana WorkSpaces Applications API dan streaming VPC endpoint dikonsumsi oleh fungsi Lambda dan instans EC2.
Titik akhir VPC
Titik akhir VPC streaming memungkinkan Anda melakukan streaming sesi melalui titik akhir VPC. Titik akhir antarmuka streaming mempertahankan lalu lintas streaming dalam VPC Anda. Lalu lintas streaming termasuk piksel, USB, input pengguna, audio, clipboard, unggahan dan unduhan file, dan lalu lintas printer. Untuk menggunakan titik akhir VPC, pengaturan titik akhir VPC harus diaktifkan di tumpukan Aplikasi. WorkSpaces Ini berfungsi sebagai alternatif untuk streaming sesi pengguna melalui internet publik dari lokasi yang memiliki akses internet terbatas dan akan mendapat manfaat dari mengakses melalui instance Direct Connect. Streaming sesi pengguna melalui titik akhir VPC memerlukan hal berikut:
-
Grup Keamanan yang terkait dengan titik akhir antarmuka harus mengizinkan akses masuk ke port
443(TCP) dan port1400–1499(TCP) dari rentang alamat IP dari mana pengguna Anda terhubung. -
Daftar Kontrol Akses Jaringan untuk subnet harus mengizinkan lalu lintas keluar dari port jaringan sementara
1024-65535(TCP) ke rentang alamat IP dari mana pengguna Anda terhubung. -
Konektivitas internet diperlukan untuk mengautentikasi pengguna dan mengirimkan aset web yang dibutuhkan WorkSpaces Aplikasi untuk berfungsi.
Untuk mempelajari lebih lanjut tentang membatasi lalu lintas ke AWS layanan dengan WorkSpaces Aplikasi, lihat panduan administrasi untuk membuat dan streaming dari titik akhir VPC.
Ketika akses internet publik penuh diperlukan, itu adalah praktik terbaik untuk menonaktifkan Internet Explorer Enhanced Security Configuration (ESC) pada Image Builder. Untuk informasi selengkapnya, lihat panduan Administrasi WorkSpaces aplikasi untuk menonaktifkan konfigurasi keamanan Internet Explorer yang disempurnakan.