Implemente uma base sólida de identidade Mantenha a rastreabilidade Aplique segurança em todas as camadas Automatize as melhores práticas de segurança Mantenha as pessoas longe dos dados Prepare-se para eventos de segurança

Pilar Segurança

O pilar de segurança do AWS Well-Architected Framework se concentra em aproveitar os recursos da nuvem para ajudar a estabelecer mecanismos de proteção robustos para suas informações, infraestrutura e recursos. Esses princípios ajudam a aprimorar sua postura geral de segurança e, ao mesmo tempo, possibilitam a inovação.

Principais áreas de foco para aplicar esse pilar ao seu ambiente de streaming de WorkSpaces aplicativos:

Integridade e confidencialidade dos dados
Gerenciamento de permissões de usuário
Estabelecendo controles para detectar eventos de segurança

Implemente uma base sólida de identidade

Use as permissões mínimas necessárias para acessar AWS recursos enquanto centraliza o gerenciamento de identidades e evita credenciais de longo prazo.

Conceda permissões menos privilegiadas para recursos de WorkSpaces aplicativos:
- Crie funções específicas do IAM para frotas de WorkSpaces aplicativos com o mínimo de permissões necessárias.
- Configure permissões limitadas do IAM para criadores de imagens.
- Restrinja o acesso administrativo às funções de gerenciamento de WorkSpaces aplicativos.
- Defina permissões granulares para gerenciamento de pilhas e frotas.
Implemente mecanismos adequados de autenticação do usuário:
- Configure a federação SAML 2.0 para integração de provedores de identidade corporativa.
- Configurado AWS IAM Identity Centerpara gerenciamento de usuários.
- Use agentes de identidade personalizados somente quando necessário para cenários de autenticação específicos.
- Implemente a autenticação multifatorial (MFA) quando houver suporte.
Controle o acesso do usuário aos aplicativos:
- Configure os direitos do aplicativo para restringir o acesso a aplicativos específicos.
- Crie grupos de atribuição de aplicativos com base nas funções do usuário.
- Gerencie o acesso ao aplicativo por meio de permissões de pilha.
- Implemente políticas de sessão para controlar o comportamento do aplicativo.
Proteja as sessões do usuário com os controles apropriados:
- Configure as políticas de tempo limite da sessão.
- Defina ações de tempo limite de desconexão.
- Implemente os requisitos de persistência da sessão.
- Controle as permissões de redirecionamento do sistema de arquivos.
Configure a autenticação baseada em certificado para aplicativos. WorkSpaces Para obter mais informações, consulte a postagem do AWS blog Simplifique a autenticação baseada em certificados para WorkSpaces aplicativos e WorkSpaces com o CA privada da AWS Connector for Active Directory.
Use tags de sessão para implementar um controle de acesso refinado. Para obter mais informações, consulte a postagem do AWS blog Use tags de sessão para simplificar as permissões WorkSpaces dos aplicativos.

Mantenha a rastreabilidade

Implemente monitoramento em tempo real e sistemas de resposta automatizados para todas as mudanças e atividades do ambiente.

Configure o CloudWatch registro de registros de aplicativos para monitorar eventos específicos do aplicativo, incluindo inicializações, falhas e erros do aplicativo. Configure os registros da sessão para rastrear as informações da sessão de streaming, incluindo inícios e paradas da sessão e eventos de conexão do usuário.
Ative CloudTrail para registrar todas as chamadas da API de WorkSpaces aplicativos e rastrear eventos de gerenciamento, como criação e modificações de frotas, operações de criação de imagens, configurações de pilha e atividades de gerenciamento de usuários.
Monitore a atividade da instância de WorkSpaces aplicativos:
- Configure o registro de instâncias para capturar eventos no nível do sistema.
- Rastreie lançamentos e falhas de aplicativos.
- Monitore o uso e o desempenho dos recursos do sistema.
Rastreie a atividade do usuário:
- Monitore as tentativas e falhas de autenticação do usuário. Use CloudWatch métricas e CloudWatch registros para monitorar as tentativas de login do usuário, os horários de início e término da sessão e os eventos de desconexão da sessão.
- Acompanhe os padrões de uso do aplicativo. Ative os relatórios de uso de WorkSpaces aplicativos para recuperar informações como duração da sessão, horários de início e término, tipos de instância usados e aplicativos acessados.
- Registre as atividades do sistema de arquivos por meio de pastas pessoais habilitadas.
- Defina as configurações da área de transferência e as operações de impressão para atingir suas metas de prevenção de perda de dados.
Configure CloudWatchalarmes para métricas relacionadas à segurança, como falhas na autenticação do usuário, padrões de sessão incomuns e violações de acesso a recursos.
Use o kit de ferramentas EUC para rastrear sessões e estados ativos, monitorar endereços IP para sessões ativas em uso e exportar dados da sessão para auditoria. Para obter mais informações, consulte a postagem do AWS blog Use o kit de ferramentas EUC para gerenciar os WorkSpaces aplicativos da Amazon e a Amazon. WorkSpaces

Aplique segurança em todas as camadas

Implemente várias camadas de controles de segurança em todos os componentes da sua infraestrutura, da borda da rede ao código do aplicativo.

Configure a segurança da camada de rede:
- Implemente regras rígidas de grupos de segurança.
- Coloque WorkSpaces as instâncias da frota de aplicativos em sub-redes privadas que não têm acesso direto à Internet. Controle o acesso à Internet por meio de dispositivos NAT.
- Use endpoints de nuvem privada virtual (VPC) para acessar os compatíveis Serviços da AWS (como o Amazon S3).
- Implemente listas de controle de acesso à rede (ACLs) como uma camada adicional de segurança de rede.
- Restrinja o acesso à porta de streaming (TCP 8443 para HTTPS e WebSocket seguro) a intervalos de IP específicos.
Configure a segurança da camada de acesso:
- Implemente políticas de tempo limite de sessão para desconectar automaticamente usuários inativos.
- Implemente o controle de acesso baseado em atributos usando tags de sessão. Para obter mais informações, consulte a postagem do AWS blog Use tags de sessão para simplificar as permissões WorkSpaces dos aplicativos.
Configure a segurança da camada de aplicativo:
- Configure os direitos do aplicativo para controlar quais usuários podem acessar aplicativos específicos.
- Ative os controles de redirecionamento do sistema de arquivos para restringir o acesso às unidades locais.
- Configure as permissões de prancheta, transferência de arquivos e impressão com base nos requisitos de segurança.
- Configure os controles de acesso ao dispositivo USB de acordo com as políticas de segurança.
Configure a segurança da camada de imagem:
- Crie e mantenha imagens básicas reforçadas que atendam aos requisitos de segurança.
- Mantenha as imagens básicas atualizadas com os patches de segurança mais recentes.
- Defina as configurações de segurança do Windows nas imagens básicas.
- Desative serviços e recursos desnecessários do Windows nas imagens básicas.

Automatize as melhores práticas de segurança

Use controles de segurança automatizados e definidos por código em modelos com controle de versão para permitir a implantação segura e escalável da infraestrutura.

Use a infraestrutura como código (IaC) usando serviços como AWS CloudFormation implementar configurações de segurança consistentes em todas as implantações da frota. Para obter mais informações, consulte a postagem do AWS blog Anexar automaticamente grupos de segurança adicionais à Amazon WorkSpaces Applications e à Amazon WorkSpaces.
Automatize os processos de segurança de criação de imagens usando a CLI do Image Assistant.
Configure respostas automatizadas para limites de utilização de capacidade excedidos, tentativas de acesso não autorizado e alterações no grupo de segurança usando alarmes da Amazon CloudWatch, EventBridge regras e AWS Lambda funções da Amazon para respostas automatizadas.

Mantenha as pessoas longe dos dados

Automatize os processos de tratamento de dados para minimizar o acesso humano direto e reduzir o risco de erros ou manuseio incorreto.

Configure os direitos do aplicativo para controlar quais usuários podem acessar aplicativos específicos.
Use a estrutura dinâmica de aplicativos para criar um provedor de aplicativos dinâmico para disponibilizar aplicativos dinamicamente com base nos atributos do usuário.
Configure o redirecionamento do sistema de arquivos para controlar quais unidades locais os usuários podem acessar, restringir o acesso a pastas específicas e gerenciar permissões de transferência de arquivos entre sessões locais e de streaming.
Implemente restrições da área de transferência para desativar o compartilhamento da área de transferência entre sessões locais e de streaming, habilite o fluxo unidirecional da área de transferência quando necessário e evite a cópia não autorizada de dados.
Defina a persistência das configurações do aplicativo para salvar e restaurar automaticamente as configurações do aplicativo, eliminar as necessidades de configuração manual e manter experiências de usuário consistentes.

Prepare-se para eventos de segurança

Desenvolva e pratique planos de resposta a incidentes usando ferramentas automatizadas para permitir a rápida detecção, investigação e recuperação de eventos de segurança.

Configure CloudWatch alarmes para tentativas de autenticação malsucedidas, alterações nos grupos de segurança da frota, modificações nas configurações de imagem e padrões incomuns de sessão de streaming.
Documente os procedimentos de resposta para cenários comuns de segurança de WorkSpaces aplicativos, como:
- Tentativas de acesso não autorizado
  - Detecção: monitore falhas de autenticação.
  - Resposta: revogue os direitos do usuário, revise os registros da sessão e atualize as políticas de acesso.
- Instâncias de streaming comprometidas
  - Detecção: monitore o comportamento da instância.
  - Resposta: encerre as sessões afetadas, substitua as instâncias da frota e revise as configurações do grupo de segurança.
- Tentativas de exfiltração de dados
  - Detecção: monitore as atividades de transferência de arquivos.
  - Resposta: revise os registros da área de transferência e de transferência de arquivos, ajuste as permissões de transferência de arquivos e atualize as políticas de proteção de dados.
Implemente processos de recuperação automatizados para substituição de instâncias de frota, restauração de grupos de segurança, reconfiguração de acesso de usuários e recuperação de configurações de aplicativos.
Use Serviços da AWS para gerenciamento de segurança, como AWS Security Hub CSPM para descobertas de segurança e Amazon GuardDuty para detecção de ameaças.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pilar Excelência operacional

Pilar Confiabilidade