View a markdown version of this page

Sicurezza - Best practice per la distribuzione di applicazioni Amazon WorkSpaces

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza

La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Per ulteriori informazioni, consulta il Modello di responsabilità condivisa. In qualità di cliente di AWS and WorkSpaces Applications, è importante implementare misure di sicurezza su diversi livelli come stack, fleet, image e networking.

A causa della sua natura effimera, WorkSpaces Applications è spesso preferita come soluzione sicura per la distribuzione di applicazioni e desktop. Valuta se le soluzioni antivirus comuni nelle distribuzioni di Windows sono pertinenti nei casi d'uso per un ambiente predefinito ed eliminato alla fine di una sessione utente. L'antivirus aggiunge un sovraccarico alle istanze virtualizzate, quindi è una best practice per mitigare le attività non necessarie. Ad esempio, la scansione del volume di sistema (che è temporaneo) all'avvio, ad esempio, non aumenta la sicurezza complessiva delle applicazioni. WorkSpaces

Le due domande chiave per le WorkSpaces applicazioni di sicurezza sono incentrate su:

  • La persistenza dello stato utente oltre la sessione è un requisito?

  • Quanto accesso deve avere un utente all'interno di una sessione?

Protezione dei dati persistenti

Le distribuzioni di WorkSpaces applicazioni possono richiedere che lo stato dell'utente persista in qualche modo. Potrebbe trattarsi di rendere persistenti i dati per singoli utenti o di rendere persistenti i dati per la collaborazione utilizzando una cartella condivisa. WorkSpaces Lo storage delle istanze delle applicazioni è temporaneo e non prevede alcuna opzione di crittografia.

WorkSpaces Le applicazioni forniscono la persistenza dello stato utente tramite le cartelle home e le impostazioni delle applicazioni in Amazon S3. Alcuni casi d'uso richiedono un maggiore controllo sulla persistenza dello stato utente. Per questi casi d'uso, AWS consiglia di utilizzare una condivisione di file Server Message Block (SMB).

Stato e dati dell'utente

Poiché la maggior parte delle applicazioni Windows offre prestazioni migliori e più sicure se collocate insieme ai dati delle applicazioni creati dall'utente, è consigliabile conservare questi dati nello stesso Regione AWS ambiente delle flotte di WorkSpaces applicazioni. La crittografia di questi dati è una procedura consigliata. Il comportamento predefinito della cartella home dell'utente consiste nel crittografare file e cartelle inattivi utilizzando le chiavi di S3-managed crittografia Amazon dai servizi di gestione delle AWS chiavi (AWS KMS). È importante notare che gli utenti AWS amministrativi con accesso alla AWS console o al bucket Amazon S3 potranno accedere direttamente a tali file.

Nei progetti che richiedono una destinazione Server Message Block (SMB) da una condivisione di file di Windows per archiviare file e cartelle utente, il processo è automatico o richiede una configurazione.

Tabella 5 — Opzioni per la protezione dei dati degli utenti

Obiettivo SMB

Encryption-at-rest Encryption-in-transit

Antivirus (AV)

FSx per File Server Windows Automatico tramite KMS AWS Automatico tramite crittografia SMB

L'AV installato su un'istanza remota esegue la scansione sull'unità mappata

Gateway di file, Gateway AWS di archiviazione

Per impostazione predefinita, tutti i dati archiviati Gateway di archiviazione AWS in S3 sono crittografati lato server con Amazon S3-Managed Encryption Keys (). SSE-S3 Facoltativamente, puoi configurare diversi tipi di gateway per crittografare i dati archiviati con (KMS) AWS Key Management Service Tutti i dati trasferiti tra qualsiasi tipo di dispositivo gateway e AWS storage sono crittografati tramite SSL.

L'AV installato su un'istanza remota esegue la scansione sull'unità mappata

EC2-based File server Windows Abilita la crittografia EBS PowerShell; Set- SmbServerConfiguration – EncryptData $True

L'AV installato sul server esegue la scansione sulle unità locali

Sicurezza degli endpoint e antivirus

La breve natura effimera delle istanze di Amazon WorkSpaces Applications e la mancanza di persistenza dei dati richiedono un approccio diverso per garantire che l'esperienza utente e le prestazioni non siano compromesse da attività che sarebbero necessarie su un desktop persistente. Gli agenti di Endpoint Security vengono installati nelle immagini WorkSpaces delle applicazioni quando esiste una politica organizzativa o quando vengono utilizzati con dati esterni, ad esempio e-mail, ingresso di file, navigazione Web esterna.

Rimozione di identificatori univoci

Gli agenti di Endpoint Security possono avere un identificatore univoco globale (GUID) che deve essere reimpostato durante il processo di creazione del parco istanze. I fornitori dispongono di istruzioni sull'installazione dei loro prodotti nelle immagini che assicureranno la generazione di un nuovo GUID per ogni istanza generata da un'immagine.

Per garantire che il GUID non venga generato, installa l'agente Endpoint Security come ultima azione prima di eseguire l' WorkSpaces Applications Assistant per generare l'immagine.

Ottimizzazione delle prestazioni

I fornitori di Endpoint Security forniscono switch e impostazioni che ottimizzano le prestazioni delle applicazioni. WorkSpaces Le impostazioni variano da un fornitore all'altro e sono disponibili nella relativa documentazione, in genere in una sezione dedicata alla VDI. Alcune impostazioni comuni includono, a titolo esemplificativo ma non esaustivo:

  • Disattiva le scansioni di avvio per garantire che i tempi di creazione, avvio e accesso delle istanze siano ridotti al minimo

  • Disattiva le scansioni pianificate per evitare scansioni non necessarie

  • Disattiva le cache delle firme per impedire l'enumerazione dei file

  • Abilita le impostazioni IO ottimizzate per VDI

  • Esclusioni richieste dalle applicazioni per garantire le prestazioni

I fornitori di sicurezza degli endpoint forniscono istruzioni per l'uso con ambienti desktop virtuali che ottimizzano le prestazioni.

Esclusioni dalla scansione

Se il software di sicurezza è installato nelle istanze WorkSpaces delle Applicazioni, il software di sicurezza non deve interferire con i seguenti processi.

Tabella 6 — Processi WorkSpaces applicativi Il software di sicurezza non deve interferire con i seguenti processi.

Servizio Processes
AmazonCloudWatchAgent «C:\Program Files\ Amazon\AmazonCloudWatchAgent\ start-amazon-cloudwatch-agent.exe»
AmazonSSMagent «C:\Program Files\ Amazon\ SSM\ amazon-ssm-agent.exe»
NICE DCV "C:\Program File\ NICE\ DCV\ Server\ bin\ dcvserver.exe» "C:\Program File\ NICE\ DCV\ Server\ bin\ dcvagent.exe»
WorkSpaces Applicazioni

«C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe»

Nella cartella "C:\Program Files\ Amazon\ Photon\»

». \ Agente\PhotonAgent.exe»

». \ Agente\ s5cmd.exe»

".\WebServer\PhotonAgentWebServer.exe"

".\CustomShell\PhotonWindowsAppSwitcher.exe"

".\CustomShell\PhotonWindowsCustomShell.exe"

".\CustomShell\PhotonWindowsCustomShellBackground.exe"

Cartelle

Se il software di sicurezza è installato nelle istanze delle WorkSpaces Applicazioni, il software non deve interferire con le seguenti cartelle:

Esempio
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

Igiene della console di sicurezza degli endpoint

Amazon WorkSpaces Applications creerà nuove istanze uniche ogni volta che un utente si connette oltre i timeout di inattività e disconnessione. Le istanze avranno un nome univoco e verranno inserite nelle condoglianze relative alla gestione della sicurezza degli endpoint. L'impostazione dell'eliminazione di macchine obsolete non utilizzate più vecchie di 4 o più giorni (o meno a seconda dei timeout WorkSpaces delle sessioni delle Applicazioni) ridurrà al minimo il numero di istanze scadute nella console.

Esclusioni di rete

L'intervallo di rete di gestione delle WorkSpaces applicazioni (198.19.0.0/16) e le porte e gli indirizzi seguenti non devono essere bloccati da alcuna soluzione di sicurezza/firewall o antivirus all'interno WorkSpaces delle istanze di Applications.

Tabella 7 — Porte nelle WorkSpaces Applicazioni, istanze in streaming, il software di sicurezza non deve interferire con

Porta

Utilizzo

8300, 3128

Viene utilizzato per stabilire la connessione di streaming

8000

Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni

8443

Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni

53

DNS

Tabella 8 — Gli indirizzi dei servizi gestiti WorkSpaces delle applicazioni con cui il software di sicurezza non deve interferire

Porta Utilizzo
169.254.169123 NTP
169,254,169,249 Servizio di licenza NVIDIA GRID
169,254,169,250 KMS
169,254,169,251 KMS
169,254,169,253 DNS
169,254,169,254 Metadati

Protezione di una sessione delle applicazioni WorkSpaces

Limitazione dei controlli delle applicazioni e del sistema operativo

WorkSpaces Le applicazioni offrono all'amministratore la possibilità di specificare esattamente quali applicazioni possono essere avviate dalla pagina Web in modalità streaming delle applicazioni. Tuttavia, ciò non garantisce che possano essere eseguite solo le applicazioni specificate.

Le utilità e le applicazioni di Windows possono essere avviate tramite il sistema operativo con mezzi aggiuntivi. AWS consiglia di utilizzare Microsoft AppLocker per garantire che possano essere eseguite solo le applicazioni richieste dall'organizzazione. Le regole predefinite devono essere modificate, in quanto garantiscono a tutti l'accesso tramite percorsi alle directory di sistema critiche.

Nota

Windows Server 2016 e 2019 richiedono l'esecuzione del servizio Windows Application Identity per applicare le regole AppLocker . L'accesso alle WorkSpaces applicazioni da Applicazioni che utilizzano Microsoft AppLocker è dettagliato nella WorkSpaces Applications Admin Guide.

Per le istanze del parco istanze unite a un dominio Active Directory, utilizza Group Policy Objects (GPO) per fornire impostazioni utente e di sistema per proteggere l'accesso alle applicazioni e alle risorse degli utenti.

Firewall e routing

Quando si crea un parco di WorkSpaces applicazioni, è necessario assegnare sottoreti e un gruppo di sicurezza. Le sottoreti hanno assegnazioni esistenti di elenchi di controllo dell'accesso alla rete (NACL) e tabelle di routing. È possibile associare fino a cinque gruppi di sicurezza durante l'avvio di un nuovo generatore di immagini o durante la creazione di una nuova flotta. I gruppi di sicurezza possono avere fino a cinque assegnazioni tra i gruppi di sicurezza esistenti. Per ogni gruppo di sicurezza, aggiungi regole che controllano il traffico di rete in uscita e in entrata da e verso le tue istanze

Un NACL è un livello di sicurezza opzionale per il tuo VPC che funge da firewall stateless per controllare il traffico in entrata e in uscita da una o più sottoreti. Si possono impostare liste di controllo accessi di rete con regole simili a quelle del gruppo di sicurezza, in modo tale da aggiungere un ulteriore livello di sicurezza al VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e ACL di rete, consulta la pagina di confronto tra gruppi di sicurezza e NACL.

Quando progetti e applichi le regole Security Group e NACL, prendi in considerazione le Well-Architected best practice di AWS per il privilegio minimo. Il privilegio minimo è il principio di concessione solo delle autorizzazioni necessarie per completare un'attività.

Per i clienti che dispongono di una rete privata ad alta velocità che collega il proprio ambiente locale ad AWS (tramite AWS Direct Connect), potresti prendere in considerazione l'utilizzo degli Endpoints for WorkSpaces Applications VPC, il che significa che il traffico di streaming verrà instradato tramite la connettività di rete privata anziché attraverso la rete Internet pubblica. Per ulteriori informazioni su questo argomento, consulta la sezione WorkSpaces Applications Streaming Interface VPC endpoint di questo documento.

Prevenzione della perdita di dati

Esamineremo due tipi di prevenzione della perdita di dati.

Controlli del trasferimento dei dati da istanza da client ad WorkSpaces applicazioni

Tabella 9 — Linee guida per il controllo dell'ingresso e dell'uscita dei dati

Impostazione Opzioni Linee guida
Appunti
  • Copia e incolla solo nella sessione remota

  • Copia solo su dispositivo locale

  • Disabilitato

La disabilitazione di questa impostazione non disabilita il copia e incolla all'interno della sessione. Se è necessario copiare i dati nella sessione, scegliete Incolla solo nella sessione remota per ridurre al minimo il rischio di perdita di dati.
Trasferimento di file
  • Caricare e scaricare

  • Solo caricamento

  • Solo download

  • Disabilitato

Evita di abilitare questa impostazione per prevenire la perdita di dati.
Stampa su dispositivo locale
  • Abilitato

  • Disabilitato

Se è necessaria la stampa, utilizzate stampanti mappate di rete controllate e monitorate dall'organizzazione.

Considerate i vantaggi della soluzione esistente per il trasferimento dei dati organizzativi rispetto alle impostazioni dello stack. Queste configurazioni non sono progettate per sostituire una soluzione completa e sicura per il trasferimento dei dati.

Controllo del traffico in uscita dall'istanza Applications WorkSpaces

Se la perdita di dati è un problema, è importante nascondere a cosa può accedere un utente una volta entrato nell'istanza WorkSpaces Applications. Che aspetto ha il percorso di uscita (o uscita) della rete? È un requisito comune che l'utente finale disponga dell'accesso pubblico a Internet all'interno dell'istanza WorkSpaces Applications, pertanto è necessario prendere in considerazione l'inserimento di una WebProxy o più soluzioni di filtraggio dei contenuti nel percorso di rete. Altre considerazioni includono un'applicazione antivirus locale e altre misure di sicurezza degli endpoint all'interno dell'istanza WorkSpaces Applications (vedi la sezione «Endpoint Security and Antivirus» per ulteriori informazioni).

Utilizzo AWS services

AWS Identity and Access Management

L'utilizzo di un ruolo IAM per accedere ai AWS servizi e la specificità della policy IAM ad esso associata è una best practice che consente l'accesso solo agli utenti WorkSpaces delle sessioni delle Applicazioni senza dover gestire credenziali aggiuntive. Segui le best practice per l'utilizzo di IAM Roles with WorkSpaces Applications.

Crea policy IAM per proteggere i bucket Amazon S3 creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò impedisce l'accesso ai non amministratori WorkSpaces delle applicazioni.

Endpoint VPC

Un endpoint VPC consente connessioni private tra il tuo VPC e i servizi supportati AWS e i servizi endpoint VPC forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli endpoint VPC eliminano completamente il requisito dei gateway NAT e dei gateway Internet.

Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare chiamate API per WorkSpaces le applicazioni, crea un endpoint VPC di interfaccia WorkSpaces per le operazioni API delle applicazioni. Ad esempio, se sono presenti istanze EC2 in sottoreti private senza accesso pubblico a Internet, è possibile utilizzare un'API VPC endpoint for WorkSpaces Applications per richiamare WorkSpaces le operazioni dell'API Applications come l'URL. CreateStreaming Il diagramma seguente mostra un esempio di configurazione in cui l'API WorkSpaces delle applicazioni e gli endpoint VPC di streaming vengono utilizzati dalle funzioni Lambda e dalle istanze EC2.

Un diagramma dell'architettura di riferimento per l'endpoint VPC

Endpoint VPC

L'endpoint VPC di streaming consente di trasmettere sessioni tramite un endpoint VPC. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per utilizzare l'endpoint VPC, l'impostazione dell'endpoint VPC deve essere abilitata nello stack Applicazioni. WorkSpaces Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un endpoint VPC richiede quanto segue:

  • I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta 443 (TCP) e alle porte 1400–1499 (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.

  • L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee 1024-65535 (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.

  • La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alle applicazioni per funzionare. WorkSpaces

Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con WorkSpaces Applicazioni, consulta la guida amministrativa per la creazione e lo streaming da endpoint VPC.

Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disattivare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consulta la guida all'amministrazione delle WorkSpaces applicazioni per disabilitare la configurazione di sicurezza avanzata di Internet Explorer.