Proteção de dados no Amazon WorkSpaces
O modelo de responsabilidade compartilhada
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do usuário do AWS CloudTrail.
-
Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui trabalhar com o WorkSpaces ou outros Serviços da AWS usando o console, a API, o AWS CLI ou os SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Para obter mais informações sobre WorkSpaces e criptografia de endpoints FIPS, consulte Configurar a autorização do FedRAMP ou a conformidade com o SRG do DoD para o WorkSpaces Personal.
Criptografia em repouso
Você pode criptografar os volumes de armazenamento dos WorkSpaces usando a chave AWS KMS do AWS Key Management Service. Para obter mais informações, consulte WorkSpaces criptografados no WorkSpaces Personal.
Quando você cria WorkSpaces com volumes criptografados, o WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Para obter mais informações, consulte Amazon EBS Encryption no Guia do usuário do Amazon EC2.
Criptografia em trânsito
Para o PCoIP, os dados em trânsito são criptografados usando a criptografia TLS 1.2 e a assinatura de solicitação SigV4. O protocolo PCoIP usa tráfego UDP criptografado, com criptografia AES, para streaming de pixels. A conexão de streaming, usando a porta 4172 (TCP e UDP), é criptografada usando cifras AES-128 e AES-256, mas o padrão de criptografia é de 128 bits. Você pode alterar esse padrão para 256 bits usando a configuração de política de grupo Definir configurações de segurança do PCoIP para WorkSpaces do Windows ou modificando as configurações de segurança do PCoIP no arquivo pcoip-agent.conf para WorkSpaces do Amazon Linux.
Para saber mais sobre a administração de política de grupo para Amazon WorkSpaces, consulte Definir configurações de segurança do PCoIP em Gerenciar os WorkSpaces do Windows no WorkSpaces Personal. Para saber mais sobre a modificação do arquivo pcoip-agent.conf, consulte Controlar o comportamento do agente PCoIP em WorkSpaces do Amazon Linux e PCoIP Security Settings
Para o DCV, os dados em trânsito de streaming e controle são criptografados usando criptografia TLS 1.3 para tráfego UDP e criptografia TLS 1.2 para tráfego TCP, com cifras AES-256.
