保护持久性数据
AppStream 2.0 的部署可能需要以某种形式保留用户状态。它可能是为了保留个人用户的数据,或者是为了使用共享文件夹进行协作而保留数据。AppStream 2.0 实例存储是临时性的,没有加密选项。
AppStream 2.0 通过 Amazon S3 中的主文件夹和应用程序设置提供用户状态持久性。某些使用案例需要更好地控制用户状态的持久性。对于这些使用案例,AWS 建议使用服务器消息块 (SMB) 文件共享。
用户状态和数据
由于大多数 Windows 应用程序在与用户创建的应用程序数据位于同一位置时性能最好、最安全,因此最好是将这些数据与 AppStream 2.0 实例集保存在同一 AWS 区域 中。最好能加密这些数据。用户主文件夹的默认行为是使用 AWS 密钥管理服务 (AWS KMS) 中的 Amazon S3 托管加密密钥对文件和文件夹进行静态加密。请务必注意,有权访问 AWS 控制台或 Amazon S3 存储桶的 AWS 管理用户将能够直接访问这些文件。
在需要使用 Windows 文件共享的服务器消息块 (SMB) 来存储用户文件和文件夹的设计中,该过程要么是自动的,要么需要配置。
表 5 — 保护用户数据的选项
|
中小型企业目标 |
静态加密 | 传输中加密 |
防病毒软件 (AV) |
|---|---|---|---|
| FSx for Windows File Server | 通过 AWS KMS 自动完成 | 通过 SMB 加密自动进行 |
安装在远程实例上的 AV 在映射的驱动器上执行扫描 |
|
文件网关、AWS Storage Gateway |
默认情况下,AWS Storage Gateway 在 S3 上存储的所有数据都使用带 Amazon S3 托管的加密密钥 (SSE-S3) 进行服务器端加密。您可以选择配置不同的网关类型以使用 AWS Key Management Service (KMS) 对存储的数据进行加密。 | 任何类型的网关设备和 AWS 存储设备之间传输的所有数据均使用 SSL 进行加密。 |
安装在远程实例上的 AV 在映射的驱动器上执行扫描 |
| 基于 EC2 的 Windows 文件服务器 | 启用 EBS 加密 | PowerShell;Set- SmbServerConfiguration – EncryptData
$True |
安装在服务器上的 AV 在本地驱动器上执行扫描 |
