本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全支柱
<a name="security"></a>

 AWS Well-Architected Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)著重於利用雲端功能，協助為您的資訊、基礎設施和資源建立強大的保護機制。這些原則有助於增強您的整體安全狀態，同時實現創新。

將此支柱套用至 WorkSpaces 應用程式串流環境的主要重點領域：
+ 資料完整性和機密性
+ 管理使用者許可
+ 建立控制以偵測安全事件

## 實作強大的身分基礎
<a name="security-foundation"></a>

使用最低必要許可來存取 AWS 資源，同時集中身分管理和避免長期登入資料。
+ 授予 WorkSpaces 應用程式資源的最低權限許可：
  + 為 WorkSpaces 應用程式機群建立具有最少必要許可的特定 IAM 角色。
  + 為映像建置器設定有限的 IAM 許可。
  + 限制對 WorkSpaces 應用程式管理函數的管理存取。
  + 定義堆疊和機群管理的精細許可。
+ 實作適當的使用者身分驗證機制：
  + 為企業身分提供者整合設定 SAML 2.0 聯合。
  + 設定 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)以進行使用者管理。
  + 僅在特定身分驗證案例需要時使用自訂身分代理程式。
  + 在支援的情況下實作多重要素驗證 (MFA)。
+ 控制使用者對應用程式的存取：
  + 設定應用程式權利以限制對特定應用程式的存取。
  + 根據使用者角色建立應用程式指派群組。
  + 透過堆疊許可管理應用程式存取。
  + 實作工作階段政策來控制應用程式行為。
+ 使用適當的控制項保護使用者工作階段：
  + 設定工作階段逾時政策。
  + 設定中斷連線逾時動作。
  + 實作工作階段持續性要求。
  + 控制檔案系統重新導向許可。
+ 設定 WorkSpaces 應用程式的憑證型身分驗證。如需詳細資訊，請參閱 AWS 部落格文章[：使用 AWS 私有 CA Connector for Active Directory 簡化 WorkSpaces 應用程式和 WorkSpaces 的憑證型身分驗證](https://aws.amazon.com/blogs/desktop-and-application-streaming/simplify-certificate-based-authentication-for-appstream-2-0-and-workspaces-with-aws-private-ca-connector-for-active-directory/)。
+ 使用工作階段標籤來實作精細存取控制。如需詳細資訊，請參閱 AWS 部落格文章[使用工作階段標籤來簡化 WorkSpaces 應用程式許可](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/)。

## 維持可追蹤性
<a name="security-traceability"></a>

針對所有環境變更和活動實作即時監控和自動化回應系統。
+ 設定應用程式日誌的 [CloudWatch 記錄](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html)，以監控應用程式特定的事件，包括應用程式啟動、當機和錯誤。設定工作階段日誌以追蹤串流工作階段資訊，包括工作階段開始、停止和使用者連線事件。
+ [啟用 CloudTrail 以記錄所有 WorkSpaces 應用程式 API 呼叫](https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html)，並追蹤管理事件，例如機群建立和修改、映像建置器操作、堆疊組態和使用者管理活動。
+ 監控 WorkSpaces 應用程式執行個體活動：
  + 設定執行個體記錄以擷取系統層級事件。
  + 追蹤應用程式啟動和失敗。
  + 監控系統資源用量和效能。
+ 追蹤使用者活動：
  + 監控使用者身分驗證嘗試和失敗。使用 CloudWatch 指標和 CloudWatch Logs 來追蹤使用者登入嘗試、工作階段開始和結束時間，以及工作階段中斷連線事件。
  + 追蹤應用程式用量模式。[啟用 WorkSpaces 應用程式用量報告](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-usage-reports.html)，以擷取工作階段持續時間、開始和結束時間、使用的執行個體類型和存取的應用程式等資訊。
  + 透過已啟用的主資料夾記錄檔案系統活動。
  + 設定剪貼簿設定和列印操作，以實現防止資料遺失的目標。
+ 針對安全相關指標設定 [CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)，例如使用者身分驗證失敗、不尋常的工作階段模式，以及資源存取違規。
+ 使用 EUC 工具組追蹤作用中工作階段和狀態、監控使用中工作階段的 IP 地址，以及匯出工作階段資料以進行稽核。如需詳細資訊，請參閱 AWS 部落格文章[使用 EUC 工具組來管理 Amazon WorkSpaces 應用程式和 Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/euc-toolkit/)。

## 在所有層套用安全性
<a name="security-layers"></a>

從網路邊緣到應用程式程式碼，跨基礎設施的所有元件實作多層安全控制。
+ 設定網路層安全性：
  + 實作嚴格的安全群組規則。
  + 將 WorkSpaces 應用程式機群執行個體放置在沒有直接網際網路存取的私有子網路中。透過 NAT 裝置控制網際網路存取。
  + 使用虛擬私有雲端 (VPC) 端點來存取支援的 AWS 服務 （例如 Amazon S3)。
  + 實作網路存取控制清單 ACLs) 作為額外的網路安全層。
  + 限制串流連接埠 (TCP 8443 for HTTPS and WebSocket Secure) 對特定 IP 範圍的存取。
+ 設定存取層安全性：
  + 實作工作階段逾時政策，以自動中斷非作用中的使用者連線。
  + 使用工作階段標籤實作屬性型存取控制。如需詳細資訊，請參閱 AWS 部落格文章[使用工作階段標籤來簡化 WorkSpaces 應用程式許可](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/)。
+ 設定應用程式層安全性：
  + 設定應用程式權利，以控制哪些使用者可以存取特定應用程式。
  + 啟用檔案系統重新導向控制，以限制對本機磁碟機的存取。
  + 根據安全需求設定剪貼簿、檔案傳輸和列印許可。
  + 根據安全政策設定 USB 裝置存取控制。
+ 設定映像層安全性：
  + 建立和維護符合安全需求的強化基礎映像。
  + 使用最新的安全修補程式來保持基礎映像的更新。
  + 在基礎映像中設定 Windows 安全設定。
  + 在基礎映像中停用不必要的 Windows 服務和功能。

## 自動化安全最佳實務
<a name="security-automation"></a>

在版本控制範本中使用自動化的程式碼定義安全控制，以啟用安全且可擴展的基礎設施部署。
+ 透過使用 等服務來使用基礎設施做為程式碼 (IaC) AWS CloudFormation ，在所有機群部署中實作一致的安全組態。如需詳細資訊，請參閱 AWS 部落格文章[自動將其他安全群組連接至 Amazon WorkSpaces 應用程式和 Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/)。
+ 使用映像助理 CLI 自動化映像建立安全程序。
+ 使用 Amazon CloudWatch 警示、Amazon EventBridge 規則和自動回應的 AWS Lambda 函數，設定超過容量使用率閾值的自動回應、未經授權的存取嘗試和安全群組變更。

## 讓人員遠離資料
<a name="security-data"></a>

自動化資料處理程序，將直接人工存取降至最低，並降低錯誤或處理不當的風險。
+ 設定應用程式權利，以控制哪些使用者可以存取特定應用程式。
+ 使用[動態應用程式架構](https://docs.aws.amazon.com/appstream2/latest/developerguide/build-dynamic-app-provider.html)來建置動態應用程式提供者，以根據使用者屬性動態提供應用程式。
+ 設定檔案系統重新導向，以控制使用者可以存取的本機磁碟機、限制對特定資料夾的存取，以及管理本機和串流工作階段之間的檔案傳輸許可。
+ 實作剪貼簿限制，以停用本機和串流工作階段之間的剪貼簿共用、視需要啟用單向剪貼簿流程，並防止未經授權的資料複製。
+ 設定應用程式設定持續性，以自動儲存和還原應用程式組態、消除手動組態需求，以及維持一致的使用者體驗。

## 準備安全事件
<a name="security-events"></a>

使用自動化工具從安全事件中快速偵測、調查和復原，以制定和練習事件回應計劃。
+ 針對失敗的身分驗證嘗試、機群安全群組的變更、映像組態的修改，以及不尋常的串流工作階段模式，設定 CloudWatch 警示。
+ 常見 WorkSpaces 應用程式安全案例的文件回應程序，例如：
  + 未經授權的存取嘗試
    + 偵測：監控身分驗證失敗。
    + 回應：撤銷使用者權利、檢閱工作階段日誌和更新存取政策。
  + 遭入侵的串流執行個體
    + 偵測：監控執行個體行為。
    + 回應：終止受影響的工作階段、取代機群執行個體，以及檢閱安全群組組態。
  + 資料外洩嘗試
    + 偵測：監控檔案傳輸活動。
    + 回應：檢閱剪貼簿和檔案傳輸日誌、調整檔案傳輸許可，以及更新資料保護政策。
+ 實作機群執行個體替換、安全群組還原、使用者存取重新設定和應用程式設定復原的自動化復原程序。
+ 使用 AWS 服務 進行安全管理，例如 AWS Security Hub CSPM 用於安全調查結果和用於威脅偵測的 Amazon GuardDuty。