Como proteger dados persistentes

As implantações do AppStream 2.0 podem exigir que o estado do usuário persista de alguma forma. Pode ser para manter os dados de usuários individuais ou para manter os dados para colaboração usando uma pasta compartilhada. O armazenamento de instâncias do AppStream 2.0 é efêmero e não tem opção de criptografia.

O AppStream 2.0 fornece persistência do estado do usuário por meio de pastas iniciais e configurações do aplicativo no Amazon S3. Alguns casos de uso exigem maior controle sobre a persistência do estado do usuário. Para esses casos de uso, a AWS recomenda usar um compartilhamento de arquivos do protocolo de Server Message Block (SMB).

Estado e dados do usuário

Como a maioria dos aplicativos do Windows tem um desempenho melhor e mais seguro quando usados em conjunto com os dados do aplicativo criados pelo usuário, é uma prática recomendada manter esses dados na mesma Região da AWS que as frotas do AppStream 2.0. A prática recomendada é criptografar os dados. O comportamento padrão da pasta inicial do usuário é criptografar arquivos e pastas inativos usando chaves de criptografia gerenciadas pelo Amazon S3 dos serviços de gerenciamento de chaves do AWS (AWS KMS). É importante observar que os usuários administrativos da AWS com acesso ao console da AWS ou ao bucket do Amazon S3 poderão acessar esses arquivos diretamente.

Em designs que exigem um destino de SMB (Server Message Block) de um compartilhamento de arquivos do Windows para armazenar arquivos e pastas do usuário, o processo é automático ou requer configuração.

Tabela 5: opções para proteger os dados do usuário

Meta do SMB	Criptografia em repouso	Criptografia em trânsito	Antivírus (AV)
FSx para Windows File Server	Automático por meio do AWS KMS	Automático por meio de criptografia de SMB	O AV instalado em uma instância remota executa a varredura na unidade mapeada
Gateway de arquivos, AWS Storage Gateway	Por padrão, todos os dados armazenados pelo AWS Storage Gateway no S3 são criptografados usando chaves de criptografia no lado do servidor gerenciadas do Amazon S3 (SSE-S3). Como alternativa, você pode configurar diferentes tipos de gateway para criptografar dados armazenados com AWS Key Management Service (KMS)	Todos os dados transferidos entre qualquer tipo de dispositivo de gateway e armazenamento da AWS são criptografados usando SSL.	O AV instalado em uma instância remota executa a varredura na unidade mapeada
Servidores de arquivos do Windows com base no EC2	Habilitar criptografia do EBS	PowerShell; `Set- SmbServerConfiguration – EncryptData $True`	O AV instalado no servidor executa a varredura em unidades locais

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas de segurança

Segurança de endpoints e antivírus