As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança
A segurança da nuvem na Amazon Web Services (AWS) é a nossa maior prioridade. Segurança e conformidade são responsabilidades compartilhadas entre o cliente AWS e o cliente. Para obter mais informações, consulte o Modelo de responsabilidade compartilhada
Devido à sua natureza efêmera, os WorkSpaces aplicativos geralmente são preferidos como uma solução segura para a entrega de aplicativos e desktops. Considere se as soluções antivírus comuns nas implantações do Windows são relevantes em seus casos de uso para um ambiente predefinido e eliminado no final de uma sessão de usuário. O antivírus adiciona sobrecarga às instâncias virtualizadas. Dessa forma, a prática recomendada é reduzir atividades desnecessárias. Por exemplo, escanear o volume do sistema (que é efêmero) na inicialização, por exemplo, não aumenta a segurança geral dos aplicativos. WorkSpaces
As duas questões-chave para WorkSpaces aplicativos de segurança estão centradas em:
-
A persistência do estado do usuário além da sessão é um requisito?
-
Quanto acesso um usuário deve ter em uma sessão?
Como proteger dados persistentes
As implantações de WorkSpaces aplicativos podem exigir que o estado do usuário persista de alguma forma. Pode ser para manter os dados de usuários individuais ou para manter os dados para colaboração usando uma pasta compartilhada. WorkSpaces O armazenamento de instâncias de aplicativos é efêmero e não tem opção de criptografia.
WorkSpaces Os aplicativos fornecem persistência do estado do usuário por meio de pastas iniciais e configurações do aplicativo no Amazon S3. Alguns casos de uso exigem maior controle sobre a persistência do estado do usuário. Para esses casos de uso, a AWS recomenda usar um compartilhamento de arquivos do protocolo de Server Message Block (SMB).
Estado e dados do usuário
Como a maioria dos aplicativos do Windows tem um desempenho melhor e mais seguro quando colocados em conjunto com os dados do aplicativo criados pelo usuário, é uma prática recomendada manter esses dados da mesma forma Região da AWS que as frotas de aplicativos. WorkSpaces A prática recomendada é criptografar os dados. O comportamento padrão da pasta inicial do usuário é criptografar arquivos e pastas em repouso usando as chaves de S3-managed criptografia da Amazon dos serviços de gerenciamento de AWS chaves (AWS KMS). É importante observar que os usuários AWS administrativos com acesso ao AWS console ou ao bucket do Amazon S3 poderão acessar esses arquivos diretamente.
Em designs que exigem um destino de SMB (Server Message Block) de um compartilhamento de arquivos do Windows para armazenar arquivos e pastas do usuário, o processo é automático ou requer configuração.
Tabela 5: opções para proteger os dados do usuário
|
Meta do SMB |
Encryption-at-rest | Encryption-in-transit |
Antivírus (AV) |
|---|---|---|---|
| FSx para Windows File Server | Automático por meio do AWS KMS | Automático por meio de criptografia de SMB |
O AV instalado em uma instância remota executa a varredura na unidade mapeada |
|
Gateway de arquivos, AWS Storage Gateway |
Por padrão, todos os dados armazenados AWS Storage Gateway no S3 são criptografados no lado do servidor com as S3-Managed Amazon Encryption Keys (). SSE-S3 Opcionalmente, você pode configurar diferentes tipos de gateway para criptografar dados armazenados com AWS Key Management Service (KMS) | Todos os dados transferidos entre qualquer tipo de dispositivo de gateway e AWS armazenamento são criptografados usando SSL. |
O AV instalado em uma instância remota executa a varredura na unidade mapeada |
| EC2-based Servidores de arquivos Windows | Habilitar criptografia do EBS |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
O AV instalado no servidor executa a varredura em unidades locais |
Segurança de endpoints e antivírus
A breve natureza efêmera das instâncias do Amazon WorkSpaces Applications e a falta de persistência de dados significam que uma abordagem diferente é necessária para garantir que a experiência e o desempenho do usuário não sejam comprometidos por atividades que seriam necessárias em um desktop persistente. Os agentes do Endpoint Security são instalados em imagens de WorkSpaces aplicativos quando há uma política organizacional ou quando usados com entrada de dados externos, por exemplo, e-mail, entrada de arquivos, navegação externa na web.
Como remover identificadores exclusivos
Os agentes de segurança do endpoint podem ter um identificador global exclusivo (GUID) que deve ser redefinido durante o processo de criação da instância da frota. Os fornecedores têm instruções sobre como instalar seus produtos em imagens, garantindo que um novo GUID seja gerado para cada instância gerada a partir de uma imagem.
Para garantir que o GUID não seja gerado, instale o agente do Endpoint Security como última ação antes de executar o Assistente de WorkSpaces Aplicativos para gerar a imagem.
Otimização do desempenho
Os fornecedores de segurança de terminais fornecem switches e configurações que otimizam o desempenho dos WorkSpaces aplicativos. As configurações variam entre os fornecedores e podem ser encontradas em sua documentação, normalmente em uma seção sobre VDI. Algumas configurações comuns incluem:
-
Desativar as verificações de inicialização para garantir que os tempos de criação, inicialização e login da instância sejam minimizados
-
Desativar as varreduras agendadas para evitar varreduras desnecessárias
-
Desativar os caches de assinatura para evitar a enumeração de arquivos
-
Ativar configurações de E/S otimizadas para VDI
-
Exclusões exigidas pelos aplicativos para garantir o desempenho
Os fornecedores de segurança de endepoints fornecem instruções para uso com ambientes de área de trabalho virtual que otimizam o desempenho.
-
CrowdStrike e como instalar o CrowdStrike Falcon no data center
-
Sophos e Sophos Central Endpoint: como instalar em uma imagem gold para evitar identidades duplicadas
e Sophos Central: práticas recomendadas ao instalar endpoints do Windows em ambientes de área de trabalho virtual -
McAfee e provisionamento e implantação de McAfee agentes em sistemas de infraestrutura de desktop virtual
-
Microsoft Endpoint Security e Configuração do Microsoft Defender Antivirus para máquinas VDI não persistentes: Microsoft Tech Community
Exclusões de verificação
Se o software de segurança estiver instalado em instâncias de WorkSpaces Aplicativos, o software de segurança não deverá interferir nos processos a seguir.
Tabela 6 — O software de segurança de processos de WorkSpaces aplicativos não deve interferir nos processos a seguir.
| Serviço | Processos |
|---|---|
| AmazonCloudWatchAgent | “C:\Program Files\ Amazon\AmazonCloudWatchAgent\ start-amazon- cloudwatch-agent.exe” |
| AmazonSSMAgent | "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe" |
| NICE DCV | "C:\Program Files\NICE\DCV\Server\bin\dcvserver.exe" "C:\Program Files\NICE\DCV\Server\bin\dcvagent.exe" |
| WorkSpaces Aplicativos |
“C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\StorageConnector.exe” Na pasta "C:\Program Files\Amazon\Photon\" “. \ Agente\PhotonAgent.exe” ".\Agent\s5cmd.exe" ".\WebServer\PhotonAgentWebServer.exe" ".\CustomShell\PhotonWindowsAppSwitcher.exe" ".\CustomShell\PhotonWindowsCustomShell.exe" ".\CustomShell\PhotonWindowsCustomShellBackground.exe" |
Pastas
Se o software de segurança estiver instalado em instâncias de WorkSpaces Aplicativos, o software não deverá interferir nas seguintes pastas:
exemplo
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
Limpeza do console de segurança de endpoints
WorkSpaces Os aplicativos da Amazon criarão novas instâncias exclusivas sempre que um usuário se conectar além dos tempos limite de inatividade e desconexão. As instâncias terão um nome exclusivo e se acumularão em consoles de gerenciamento de segurança de endpoints. Configurar máquinas antigas não utilizadas com mais de 4 dias (ou menos, dependendo do tempo limite da sessão de WorkSpaces aplicativos) para serem excluídas minimizará o número de instâncias expiradas no console.
Exclusões de rede
O intervalo da rede de gerenciamento de WorkSpaces aplicativos (198.19.0.0/16) e as seguintes portas e endereços não devem ser bloqueados por nenhuma solução de segurança/firewall ou antivírus nas instâncias de WorkSpaces aplicativos.
Tabela 7 — Portas em WorkSpaces aplicativos, instâncias de streaming, software de segurança não deve interferir com
| Porta |
Uso |
|---|---|
| 8300, 3128 |
Usado para estabelecer a conexão de streaming |
| 8000 |
Isso é usado para gerenciar a instância de streaming por WorkSpaces aplicativos |
| 8443 |
Isso é usado para gerenciar a instância de streaming por WorkSpaces aplicativos |
| 53 |
DNS |
Tabela 8 — O software de segurança de endereços de serviços gerenciados de WorkSpaces aplicativos não deve interferir com
| Porta | Uso |
|---|---|
| 169.254.169.123 | NTP |
| 169.254.169.249 | Serviço de licença NVIDIA GRID |
| 169.254.169.250 | KMS |
| 169.254.169.251 | KMS |
| 169.254.169.253 | DNS |
| 169.254.169.254 | Metadados |
Protegendo uma sessão de WorkSpaces aplicativos
Como limitar os controles de aplicativos e sistemas operacionais
WorkSpaces Os aplicativos permitem que o administrador especifique exatamente quais aplicativos podem ser iniciados a partir da página da Web no modo de streaming de aplicativos. No entanto, isso não garante que somente os aplicativos especificados possam ser executados.
Os utilitários e aplicativos do Windows podem ser iniciados por meio do sistema operacional por meios adicionais. AWS recomenda usar AppLocker a Microsoft
nota
O Windows Server 2016 e 2019 exigem que o serviço Windows Application Identity esteja em execução para impor AppLocker as regras. O acesso a WorkSpaces aplicativos a partir de aplicativos usando AppLocker a Microsoft está detalhado no Guia do administrador de WorkSpaces aplicativos.
Para instâncias de frota unidas a um domínio do Active Directory, use Objetos de política de grupo (GPOs) para fornecer configurações de usuário e sistema, protegendo o acesso dos usuários aos aplicativos e recursos.
Firewalls e roteamento
Ao criar uma frota de WorkSpaces aplicativos, sub-redes e um grupo de segurança devem ser atribuídos. As sub-redes têm atribuições existentes de listas de controle de acesso à rede (NACLs) e tabelas de rotas. Você pode associar até cinco grupos de segurança ao iniciar um novo criador de imagens ou ao criar uma nova frota. Os grupos de segurança podem ter até cinco atribuições dos grupos de segurança existentes. Para cada grupo de segurança, adicione regras que controlam o tráfego de saída e entrada da rede de e para instâncias
A NACL é uma camada de segurança opcional para a VPC que atua como um firewall sem estado para controlar o tráfego de entrada e saída em sub-redes. Você pode configurar Network ACLs com regras semelhantes às dos grupos de segurança a fim de adicionar uma camada extra de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte a página de comparação entre grupos de segurança e NACLs.
Ao projetar e aplicar as regras do Security Group e da NACL, considere as Well-Architected melhores práticas da AWS para obter o menor privilégio. O privilégio mínimo é o princípio de conceder somente as permissões necessárias para concluir uma tarefa.
Para clientes que têm uma rede privada de alta velocidade conectando seu ambiente local à AWS (por meio de um AWS Direct Connect), considere usar os VPC Endpoints for WorkSpaces Applications, o que significa que o tráfego de streaming será roteado por meio de sua conectividade de rede privada, em vez de passar pela Internet pública. Para obter mais informações sobre esse tópico, consulte a seção VPC endpoint da interface de streaming de WorkSpaces aplicativos deste documento.
Prevenção de perda de dados
Vamos analisar dois tipos de prevenção de perda de dados.
Controles de transferência de dados de instâncias de cliente para WorkSpaces aplicativos
Tabela 9: orientação para controlar a entrada e saída de dados
| Configuração | Opções | Orientação |
|---|---|---|
| Área de transferência |
|
Desabilitar essa configuração não desabilita copiar e colar na sessão. Se for necessário copiar dados para a sessão, escolha Colar somente na sessão remota para minimizar o potencial do vazamento de dados. |
| Transferência de arquivos |
|
Evite ativar essa configuração para impedir o vazamento de dados. |
| Imprimir no dispositivo local |
|
Se a impressão for necessária, use impressoras mapeadas em rede que sejam controladas e monitoradas pela organização. |
Considere as vantagens da solução de transferência de dados organizacional existente em relação às configurações da pilha. Essas configurações não foram projetadas para substituir uma solução abrangente de transferência segura de dados.
Controle do tráfego de saída da instância do WorkSpaces Applications
Quando a perda de dados é uma preocupação, é importante cobrir o que um usuário pode acessar quando estiver dentro da instância do WorkSpaces Applications. Qual é a aparência do caminho de saída (ou regressão) da rede? É um requisito comum ter acesso público à Internet disponível para o usuário final em sua instância de WorkSpaces aplicativos, portanto, é necessário considerar a colocação de uma solução de filtragem de conteúdo WebProxy ou uma solução de filtragem de conteúdo no caminho da rede. Outras considerações incluem um aplicativo antivírus local e outras medidas de segurança de terminais dentro da instância de WorkSpaces aplicativos (consulte a seção “Segurança e antivírus de terminais” para obter mais informações).
Utilizar AWS serviços
AWS Identity and Access Management
Usar uma função do IAM para acessar AWS serviços e ser específico na política do IAM anexada a ela é uma prática recomendada que permite que somente os usuários nas sessões de WorkSpaces aplicativos tenham acesso sem gerenciar credenciais adicionais. Siga as melhores práticas para usar funções do IAM com WorkSpaces aplicativos.
Crie políticas do IAM para proteger os buckets do Amazon S3 que são criados para manter os dados do usuário nas pastas iniciais e na persistência das configurações do aplicativo. Isso impede o acesso de usuários que não são administradores de WorkSpaces aplicativos.
Endpoints da VPC
Um VPC endpoint permite conexões privadas entre sua VPC e os serviços compatíveis AWS e os serviços de VPC endpoint desenvolvidos por. AWS PrivateLink AWS PrivateLink é uma tecnologia que permite acessar serviços de forma privada usando endereços IP privados. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon. Se o acesso público à Internet for necessário somente para AWS serviços, os VPC endpoints eliminarão completamente a exigência de gateways NAT e gateways de Internet.
Em ambientes em que as rotinas de automação ou os desenvolvedores exijam chamadas de API para WorkSpaces aplicativos, crie uma interface VPC endpoint WorkSpaces para operações de API de aplicativos. Por exemplo, se houver instâncias do EC2 em sub-redes privadas sem acesso público à Internet, um VPC endpoint para API de WorkSpaces aplicativos pode ser usado para chamar operações de API de WorkSpaces aplicativos, como URL. CreateStreaming O diagrama a seguir mostra um exemplo de configuração em que a API de WorkSpaces aplicativos e os endpoints de VPC de streaming são consumidos pelas funções Lambda e pelas instâncias do EC2.
Endpoint da VPC
O endpoint da VPC de streaming permite que você transmita sessões por meio de um endpoint da VPC. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para usar o VPC endpoint, a configuração do VPC endpoint deve estar habilitada na pilha de aplicativos. WorkSpaces Isso serve como uma alternativa ao streaming de sessões de usuários pela Internet pública a partir de locais com acesso limitado à Internet e que se beneficiariam do acesso por meio de uma instância do Direct Connect. O streaming de sessões de usuário por meio de um endpoint da VPC exige o seguinte:
-
Os Grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta
443(TCP) e às portas1400–1499(TCP) do intervalo de endereços IP do qual os usuários se conectam. -
A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras
1024-65535(TCP) para o intervalo de endereços IP do qual os usuários se conectam. -
A conectividade com a Internet é necessária para autenticar os usuários e fornecer os ativos da web que os WorkSpaces Aplicativos exigem para funcionar.
Para saber mais sobre como restringir o tráfego para AWS serviços com WorkSpaces aplicativos, consulte o guia de administração para criar e transmitir a partir de VPC endpoints.
Quando o acesso público total à Internet é necessário, a prática recomendada é desativar a Configuração de Segurança Reforçada (ESC) do Internet Explorer no Image Builder. Para obter mais informações, consulte o guia de administração de WorkSpaces aplicativos para desabilitar a configuração de segurança aprimorada do Internet Explorer.