Implementa una solida base di identità Mantieni la tracciabilità Applica la sicurezza a tutti i livelli Automatizza le migliori pratiche di sicurezza Tieni le persone lontane dai dati Preparati per gli eventi di sicurezza

Pilastro della sicurezza

Il pilastro della sicurezza del AWS Well-Architected Framework si concentra sullo sfruttamento delle funzionalità del cloud per aiutare a stabilire solidi meccanismi di protezione per le informazioni, l'infrastruttura e le risorse. Questi principi aiutano a migliorare il livello di sicurezza generale, favorendo al contempo l'innovazione.

Principali aree di interesse per l'applicazione di questo pilastro all'ambiente di streaming WorkSpaces delle applicazioni:

Integrità e riservatezza dei dati
Gestione delle autorizzazioni utente
Stabilire controlli per rilevare gli eventi di sicurezza

Implementa una solida base di identità

Utilizza le autorizzazioni minime richieste per accedere alle AWS risorse, centralizzando al contempo la gestione delle identità ed evitando credenziali a lungo termine.

Concedi le autorizzazioni minime per le risorse delle applicazioni: WorkSpaces
- Crea ruoli IAM specifici per WorkSpaces le flotte di applicazioni con autorizzazioni minime richieste.
- Configura autorizzazioni IAM limitate per i generatori di immagini.
- Limita l'accesso amministrativo alle funzioni di gestione WorkSpaces delle applicazioni.
- Definisci autorizzazioni granulari per la gestione dello stack e del parco veicoli.
Implementa meccanismi di autenticazione utente adeguati:
- Configura la federazione SAML 2.0 per l'integrazione dei provider di identità aziendali.
- Configurazione AWS IAM Identity Centerper la gestione degli utenti.
- Utilizza broker di identità personalizzati solo quando richiesto per scenari di autenticazione specifici.
- Implementa l'autenticazione a più fattori (MFA) laddove supportata.
Controlla l'accesso degli utenti alle applicazioni:
- Configura i diritti delle applicazioni per limitare l'accesso a applicazioni specifiche.
- Crea gruppi di assegnazione delle applicazioni in base ai ruoli utente.
- Gestisci l'accesso alle applicazioni tramite le autorizzazioni dello stack.
- Implementa politiche di sessione per controllare il comportamento delle applicazioni.
Sessioni utente sicure con controlli appropriati:
- Configura le politiche di timeout delle sessioni.
- Imposta le azioni di timeout di disconnessione.
- Implementa i requisiti di persistenza della sessione.
- Controlla le autorizzazioni di reindirizzamento del file system.
Configura l'autenticazione basata su certificati per le applicazioni. WorkSpaces Per ulteriori informazioni, consulta il post AWS sul blog Semplifica l'autenticazione basata su certificati per WorkSpaces Applications and WorkSpaces with Connector for Active Directory. CA privata AWS
Utilizza i tag di sessione per implementare un controllo granulare degli accessi. Per ulteriori informazioni, consulta il post AWS sul blog Usa i tag di sessione per WorkSpaces semplificare le autorizzazioni delle applicazioni.

Mantieni la tracciabilità

Implementa sistemi di monitoraggio in tempo reale e di risposta automatizzati per tutte le modifiche e le attività ambientali.

Configura CloudWatch la registrazione per i registri delle applicazioni per monitorare gli eventi specifici dell'applicazione, inclusi lanci di applicazioni, arresti anomali ed errori. Configura i registri delle sessioni per tenere traccia delle informazioni sulle sessioni di streaming, inclusi gli avvii, gli arresti e gli eventi di connessione degli utenti.
CloudTrail Attivalo per registrare tutte le chiamate API WorkSpaces delle applicazioni e per tenere traccia degli eventi di gestione come la creazione e le modifiche della flotta, le operazioni di creazione di immagini, le configurazioni degli stack e le attività di gestione degli utenti.
Monitora l'attività delle istanze delle applicazioni WorkSpaces :
- Configura la registrazione delle istanze per acquisire gli eventi a livello di sistema.
- Tieni traccia degli avvii e degli errori delle applicazioni.
- Monitora l'utilizzo e le prestazioni delle risorse di sistema.
Tieni traccia delle attività degli utenti:
- Monitora i tentativi e gli errori di autenticazione degli utenti. Utilizza CloudWatch metriche e CloudWatch registri per tenere traccia dei tentativi di accesso degli utenti, degli orari di inizio e fine della sessione e degli eventi di disconnessione della sessione.
- Tieni traccia dei modelli di utilizzo delle applicazioni. Abilita i report sull'utilizzo WorkSpaces delle applicazioni per recuperare informazioni quali la durata della sessione, l'ora di inizio e di fine, i tipi di istanza utilizzati e le applicazioni a cui si accede.
- Registra le attività del file system tramite le home directory abilitate.
- Configura le impostazioni degli appunti e le operazioni di stampa per raggiungere gli obiettivi di prevenzione della perdita di dati.
Configura CloudWatchallarmi per parametri relativi alla sicurezza, come autenticazioni utente non riuscite, schemi di sessione insoliti e violazioni dell'accesso alle risorse.
Utilizza il toolkit EUC per tenere traccia delle sessioni e degli stati attivi, monitorare gli indirizzi IP per le sessioni attive in uso ed esportare i dati delle sessioni per il controllo. Per ulteriori informazioni, consulta il post AWS sul blog Usa il toolkit EUC per gestire Amazon WorkSpaces Applications e Amazon. WorkSpaces

Applica la sicurezza a tutti i livelli

Implementa più livelli di controlli di sicurezza su tutti i componenti della tua infrastruttura, dall'edge della rete al codice dell'applicazione.

Configura la sicurezza a livello di rete:
- Implementa regole rigorose per i gruppi di sicurezza.
- Posiziona le istanze del parco WorkSpaces Applicazioni in sottoreti private che non dispongono di accesso diretto a Internet. Controlla l'accesso a Internet tramite dispositivi NAT.
- Usa gli endpoint del cloud privato virtuale (VPC) per accedere ai supporti Servizi AWS (come Amazon S3).
- Implementa gli elenchi di controllo degli accessi alla rete (ACLs) come livello di sicurezza di rete aggiuntivo.
- Limita l'accesso delle porte di streaming (TCP 8443 per HTTPS e WebSocket Secure) a intervalli IP specifici.
Configura la sicurezza del livello di accesso:
- Implementa politiche di timeout della sessione per disconnettere automaticamente gli utenti inattivi.
- Implementa il controllo degli accessi basato sugli attributi utilizzando i tag di sessione. Per ulteriori informazioni, consulta il post AWS sul blog Usa i tag di sessione per WorkSpaces semplificare le autorizzazioni delle applicazioni.
Configura la sicurezza a livello di applicazione:
- Configura i diritti delle applicazioni per controllare quali utenti possono accedere ad applicazioni specifiche.
- Abilita i controlli di reindirizzamento del file system per limitare l'accesso alle unità locali.
- Configura le autorizzazioni per appunti, trasferimento di file e stampa in base ai requisiti di sicurezza.
- Configura i controlli di accesso ai dispositivi USB in base alle politiche di sicurezza.
Configura la sicurezza del livello di immagine:
- Crea e gestisci immagini di base rinforzate che soddisfino i requisiti di sicurezza.
- Mantieni le immagini di base aggiornate con le ultime patch di sicurezza.
- Configura le impostazioni di sicurezza di Windows nelle immagini di base.
- Disattiva i servizi e le funzionalità di Windows non necessari nelle immagini di base.

Automatizza le migliori pratiche di sicurezza

Utilizza controlli di sicurezza automatizzati e definiti dal codice in modelli a controllo di versione per consentire un'implementazione sicura e scalabile dell'infrastruttura.

Utilizza l'infrastruttura come codice (IaC) utilizzando servizi come l'implementazione di configurazioni di sicurezza coerenti in tutte AWS CloudFormation le implementazioni del parco veicoli. Per ulteriori informazioni, consulta il post del AWS blog Allega automaticamente gruppi di sicurezza aggiuntivi ad Amazon WorkSpaces Applications e Amazon WorkSpaces.
Automatizza i processi di sicurezza per la creazione di immagini utilizzando la CLI di Image Assistant.
Configura le risposte automatiche per il superamento delle soglie di utilizzo della capacità, i tentativi di accesso non autorizzati e le modifiche ai gruppi di sicurezza utilizzando Amazon alarms CloudWatch, EventBridge regole e funzioni Amazon per le risposte automatiche. AWS Lambda

Tieni le persone lontane dai dati

Automatizza i processi di gestione dei dati per ridurre al minimo l'accesso umano diretto e ridurre il rischio di errori o cattiva gestione.

Configura i diritti delle applicazioni per controllare quali utenti possono accedere ad applicazioni specifiche.
Utilizza il framework applicativo dinamico per creare un provider di app dinamico per rendere le applicazioni disponibili dinamicamente in base agli attributi utente.
Configura il reindirizzamento del file system per controllare a quali unità locali possono accedere gli utenti, limitare l'accesso a cartelle specifiche e gestire le autorizzazioni di trasferimento dei file tra sessioni locali e di streaming.
Implementa le restrizioni sugli appunti per disabilitare la condivisione degli appunti tra sessioni locali e di streaming, abilitare il flusso unidirezionale degli appunti dove necessario e impedire la copia non autorizzata dei dati.
Configura la persistenza delle impostazioni delle applicazioni per salvare e ripristinare automaticamente le configurazioni delle applicazioni, eliminare le esigenze di configurazione manuale e mantenere esperienze utente coerenti.

Preparati per gli eventi di sicurezza

Sviluppa e metti in pratica piani di risposta agli incidenti utilizzando strumenti automatizzati per consentire il rilevamento, l'indagine e il ripristino rapidi dagli eventi di sicurezza.

Imposta CloudWatch allarmi in caso di tentativi di autenticazione falliti, modifiche ai gruppi di sicurezza della flotta, modifiche alle configurazioni delle immagini e schemi insoliti delle sessioni di streaming.
Documenta le procedure di risposta per gli scenari di sicurezza WorkSpaces delle applicazioni più comuni, come:
- Tentativi di accesso non autorizzati
  - Rilevamento: monitora gli errori di autenticazione.
  - Risposta: revoca dei diritti degli utenti, revisione dei registri delle sessioni e aggiornamento delle politiche di accesso.
- Istanze di streaming compromesse
  - Rilevamento: monitora il comportamento delle istanze.
  - Risposta: termina le sessioni interessate, sostituisci le istanze del parco istanze e rivedi le configurazioni dei gruppi di sicurezza.
- Tentativi di esfiltrazione dei dati
  - Rilevamento: monitora le attività di trasferimento dei file.
  - Risposta: rivedi gli appunti e i registri di trasferimento dei file, modifica le autorizzazioni di trasferimento dei file e aggiorna le politiche di protezione dei dati.
Implementa processi di ripristino automatizzati per la sostituzione delle istanze della flotta, il ripristino dei gruppi di sicurezza, la riconfigurazione dell'accesso degli utenti e il ripristino delle impostazioni delle applicazioni.
Utilizzalo Servizi AWS per la gestione della sicurezza, ad esempio AWS Security Hub CSPM per i risultati di sicurezza e Amazon GuardDuty per il rilevamento delle minacce.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Il pilastro dell'eccellenza operativa

Pilastro dell'affidabilità