As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Pilar Segurança
O [pilar de segurança](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) do AWS Well-Architected Framework se concentra em aproveitar os recursos da nuvem para ajudar a estabelecer mecanismos de proteção robustos para suas informações, infraestrutura e recursos. Esses princípios ajudam a aprimorar sua postura geral de segurança e, ao mesmo tempo, possibilitam a inovação.
Principais áreas de foco para aplicar esse pilar ao seu ambiente de streaming de WorkSpaces aplicativos:
+ Integridade e confidencialidade dos dados
+ Gerenciamento de permissões de usuário
+ Estabelecendo controles para detectar eventos de segurança
## Implemente uma base sólida de identidade
Use as permissões mínimas necessárias para acessar AWS recursos enquanto centraliza o gerenciamento de identidades e evita credenciais de longo prazo.
+ Conceda permissões menos privilegiadas para recursos de WorkSpaces aplicativos:
+ Crie funções específicas do IAM para frotas de WorkSpaces aplicativos com o mínimo de permissões necessárias.
+ Configure permissões limitadas do IAM para criadores de imagens.
+ Restrinja o acesso administrativo às funções de gerenciamento de WorkSpaces aplicativos.
+ Defina permissões granulares para gerenciamento de pilhas e frotas.
+ Implemente mecanismos adequados de autenticação do usuário:
+ Configure a federação SAML 2.0 para integração de provedores de identidade corporativa.
+ Configurado [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)para gerenciamento de usuários.
+ Use agentes de identidade personalizados somente quando necessário para cenários de autenticação específicos.
+ Implemente a autenticação multifatorial (MFA) quando houver suporte.
+ Controle o acesso do usuário aos aplicativos:
+ Configure os direitos do aplicativo para restringir o acesso a aplicativos específicos.
+ Crie grupos de atribuição de aplicativos com base nas funções do usuário.
+ Gerencie o acesso ao aplicativo por meio de permissões de pilha.
+ Implemente políticas de sessão para controlar o comportamento do aplicativo.
+ Proteja as sessões do usuário com os controles apropriados:
+ Configure as políticas de tempo limite da sessão.
+ Defina ações de tempo limite de desconexão.
+ Implemente os requisitos de persistência da sessão.
+ Controle as permissões de redirecionamento do sistema de arquivos.
+ Configure a autenticação baseada em certificado para aplicativos. WorkSpaces Para obter mais informações, consulte a postagem do AWS blog [Simplifique a autenticação baseada em certificados para WorkSpaces aplicativos e WorkSpaces com o CA privada da AWS Connector for](https://aws.amazon.com/blogs/desktop-and-application-streaming/simplify-certificate-based-authentication-for-appstream-2-0-and-workspaces-with-aws-private-ca-connector-for-active-directory/) Active Directory.
+ Use tags de sessão para implementar um controle de acesso refinado. Para obter mais informações, consulte a postagem do AWS blog [Use tags de sessão para simplificar as permissões WorkSpaces dos aplicativos](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/).
## Mantenha a rastreabilidade
Implemente monitoramento em tempo real e sistemas de resposta automatizados para todas as mudanças e atividades do ambiente.
+ Configure o [CloudWatch registro](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) de registros de aplicativos para monitorar eventos específicos do aplicativo, incluindo inicializações, falhas e erros do aplicativo. Configure os registros da sessão para rastrear as informações da sessão de streaming, incluindo inícios e paradas da sessão e eventos de conexão do usuário.
+ [Ative CloudTrail para registrar todas as chamadas da API de WorkSpaces aplicativos](https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html) e rastrear eventos de gerenciamento, como criação e modificações de frotas, operações de criação de imagens, configurações de pilha e atividades de gerenciamento de usuários.
+ Monitore a atividade da instância de WorkSpaces aplicativos:
+ Configure o registro de instâncias para capturar eventos no nível do sistema.
+ Rastreie lançamentos e falhas de aplicativos.
+ Monitore o uso e o desempenho dos recursos do sistema.
+ Rastreie a atividade do usuário:
+ Monitore as tentativas e falhas de autenticação do usuário. Use CloudWatch métricas e CloudWatch registros para monitorar as tentativas de login do usuário, os horários de início e término da sessão e os eventos de desconexão da sessão.
+ Acompanhe os padrões de uso do aplicativo. [Ative os relatórios de uso de WorkSpaces aplicativos](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-usage-reports.html) para recuperar informações como duração da sessão, horários de início e término, tipos de instância usados e aplicativos acessados.
+ Registre as atividades do sistema de arquivos por meio de pastas pessoais habilitadas.
+ Defina as configurações da área de transferência e as operações de impressão para atingir suas metas de prevenção de perda de dados.
+ Configure [CloudWatchalarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) para métricas relacionadas à segurança, como falhas na autenticação do usuário, padrões de sessão incomuns e violações de acesso a recursos.
+ Use o kit de ferramentas EUC para rastrear sessões e estados ativos, monitorar endereços IP para sessões ativas em uso e exportar dados da sessão para auditoria. Para obter mais informações, consulte a postagem do AWS blog [Use o kit de ferramentas EUC para gerenciar os WorkSpaces aplicativos da Amazon e a Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/euc-toolkit/). WorkSpaces
## Aplique segurança em todas as camadas
Implemente várias camadas de controles de segurança em todos os componentes da sua infraestrutura, da borda da rede ao código do aplicativo.
+ Configure a segurança da camada de rede:
+ Implemente regras rígidas de grupos de segurança.
+ Coloque WorkSpaces as instâncias da frota de aplicativos em sub-redes privadas que não têm acesso direto à Internet. Controle o acesso à Internet por meio de dispositivos NAT.
+ Use endpoints de nuvem privada virtual (VPC) para acessar os compatíveis Serviços da AWS (como o Amazon S3).
+ Implemente listas de controle de acesso à rede (ACLs) como uma camada adicional de segurança de rede.
+ Restrinja o acesso à porta de streaming (TCP 8443 para HTTPS e WebSocket seguro) a intervalos de IP específicos.
+ Configure a segurança da camada de acesso:
+ Implemente políticas de tempo limite de sessão para desconectar automaticamente usuários inativos.
+ Implemente o controle de acesso baseado em atributos usando tags de sessão. Para obter mais informações, consulte a postagem do AWS blog [Use tags de sessão para simplificar as permissões WorkSpaces dos aplicativos](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/).
+ Configure a segurança da camada de aplicativo:
+ Configure os direitos do aplicativo para controlar quais usuários podem acessar aplicativos específicos.
+ Ative os controles de redirecionamento do sistema de arquivos para restringir o acesso às unidades locais.
+ Configure as permissões de prancheta, transferência de arquivos e impressão com base nos requisitos de segurança.
+ Configure os controles de acesso ao dispositivo USB de acordo com as políticas de segurança.
+ Configure a segurança da camada de imagem:
+ Crie e mantenha imagens básicas reforçadas que atendam aos requisitos de segurança.
+ Mantenha as imagens básicas atualizadas com os patches de segurança mais recentes.
+ Defina as configurações de segurança do Windows nas imagens básicas.
+ Desative serviços e recursos desnecessários do Windows nas imagens básicas.
## Automatize as melhores práticas de segurança
Use controles de segurança automatizados e definidos por código em modelos com controle de versão para permitir a implantação segura e escalável da infraestrutura.
+ Use a infraestrutura como código (IaC) usando serviços como AWS CloudFormation implementar configurações de segurança consistentes em todas as implantações da frota. Para obter mais informações, consulte a postagem do AWS blog [Anexar automaticamente grupos de segurança adicionais à Amazon WorkSpaces Applications e à Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/).
+ Automatize os processos de segurança de criação de imagens usando a CLI do Image Assistant.
+ Configure respostas automatizadas para limites de utilização de capacidade excedidos, tentativas de acesso não autorizado e alterações no grupo de segurança usando alarmes da Amazon CloudWatch, EventBridge regras e AWS Lambda funções da Amazon para respostas automatizadas.
## Mantenha as pessoas longe dos dados
Automatize os processos de tratamento de dados para minimizar o acesso humano direto e reduzir o risco de erros ou manuseio incorreto.
+ Configure os direitos do aplicativo para controlar quais usuários podem acessar aplicativos específicos.
+ Use a [estrutura dinâmica de aplicativos](https://docs.aws.amazon.com/appstream2/latest/developerguide/build-dynamic-app-provider.html) para criar um provedor de aplicativos dinâmico para disponibilizar aplicativos dinamicamente com base nos atributos do usuário.
+ Configure o redirecionamento do sistema de arquivos para controlar quais unidades locais os usuários podem acessar, restringir o acesso a pastas específicas e gerenciar permissões de transferência de arquivos entre sessões locais e de streaming.
+ Implemente restrições da área de transferência para desativar o compartilhamento da área de transferência entre sessões locais e de streaming, habilite o fluxo unidirecional da área de transferência quando necessário e evite a cópia não autorizada de dados.
+ Defina a persistência das configurações do aplicativo para salvar e restaurar automaticamente as configurações do aplicativo, eliminar as necessidades de configuração manual e manter experiências de usuário consistentes.
## Prepare-se para eventos de segurança
Desenvolva e pratique planos de resposta a incidentes usando ferramentas automatizadas para permitir a rápida detecção, investigação e recuperação de eventos de segurança.
+ Configure CloudWatch alarmes para tentativas de autenticação malsucedidas, alterações nos grupos de segurança da frota, modificações nas configurações de imagem e padrões incomuns de sessão de streaming.
+ Documente os procedimentos de resposta para cenários comuns de segurança de WorkSpaces aplicativos, como:
+ Tentativas de acesso não autorizado
+ Detecção: monitore falhas de autenticação.
+ Resposta: revogue os direitos do usuário, revise os registros da sessão e atualize as políticas de acesso.
+ Instâncias de streaming comprometidas
+ Detecção: monitore o comportamento da instância.
+ Resposta: encerre as sessões afetadas, substitua as instâncias da frota e revise as configurações do grupo de segurança.
+ Tentativas de exfiltração de dados
+ Detecção: monitore as atividades de transferência de arquivos.
+ Resposta: revise os registros da área de transferência e de transferência de arquivos, ajuste as permissões de transferência de arquivos e atualize as políticas de proteção de dados.
+ Implemente processos de recuperação automatizados para substituição de instâncias de frota, restauração de grupos de segurança, reconfiguração de acesso de usuários e recuperação de configurações de aplicativos.
+ Use Serviços da AWS para gerenciamento de segurança, como AWS Security Hub CSPM para descobertas de segurança e Amazon GuardDuty para detecção de ameaças.