View a markdown version of this page

安全 - 部署 Amazon WorkSpaces 應用程式的最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全

雲端安全是 Amazon Web Services (AWS) 最重視的一環。安全與合規是 AWS 和 客戶之間的共同責任。如需詳細資訊,請參閱 共同責任模型。身為 AWS 和 WorkSpaces 應用程式客戶,在堆疊、機群、映像和聯網等不同層上實作安全措施非常重要。

由於 WorkSpaces 應用程式具有暫時性性質,因此通常偏好 WorkSpaces 應用程式做為應用程式和桌面交付的安全解決方案。考慮 Windows 部署中常見的防毒解決方案是否與使用者工作階段結束時預先定義和清除的環境的使用案例相關。防毒為虛擬化執行個體增加額外負荷,因此這是減輕不必要的活動的最佳實務。例如,在開機時掃描系統磁碟區 (暫時性) 並不會增加 WorkSpaces 應用程式的整體安全性。

安全 WorkSpaces 應用程式的兩個關鍵問題以 為中心:

  • 保留工作階段以外的使用者狀態是否為必要?

  • 使用者在工作階段中應擁有多少存取權?

保護持久性資料

WorkSpaces 應用程式的部署可能需要以某種形式保留使用者狀態。這可能是為個別使用者保留資料,或使用共用資料夾保留資料以進行協同合作。WorkSpaces 應用程式執行個體儲存體是暫時性的,沒有加密選項。

WorkSpaces 應用程式透過 Amazon S3 中的主資料夾和應用程式設定提供使用者狀態持續性。有些使用案例需要更妥善地控制使用者狀態持久性。對於這些使用案例, AWS 建議使用伺服器訊息區塊 (SMB) 檔案共用。

使用者狀態和資料

由於大多數 Windows 應用程式在與使用者建立的應用程式資料共置時執行最佳且最安全,因此最佳實務是將此資料保留在與 WorkSpaces 應用程式機群 AWS 區域 相同的 中。加密此資料是最佳實務。使用者主資料夾的預設行為是使用來自金鑰 AWS 管理服務 () 的 Amazon S3-managed加密金鑰來加密靜態檔案和資料夾AWS KMS。請務必注意,具有 AWS 主控台或 Amazon S3 儲存貯體存取權的 AWS 管理使用者將能夠直接存取這些檔案。

在需要來自 Windows 檔案共享的伺服器訊息區塊 (SMB) 目標來存放使用者檔案和資料夾的設計中,程序為自動或需要組態。

表 5 — 保護使用者資料的選項

SMB 目標

Encryption-at-rest Encryption-in-transit

防毒 (AV)

FSx for Windows File Server 透過 AWS KMS 自動執行 透過 SMB 加密自動執行

安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描

檔案閘道、 AWS Storage Gateway

根據預設,存放在 S3 AWS Storage Gateway 中的所有資料都會使用 Amazon S3-Managed管加密金鑰 (SSE-S3) 加密伺服器端。您可以選擇性地設定不同的閘道類型,以使用 AWS Key Management Service (KMS) 加密儲存的資料 在任何類型的閘道設備與 AWS 儲存體之間傳輸的所有資料都會使用 SSL 加密。

安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描

EC2-based Windows 檔案伺服器 啟用 EBS 加密 PowerShell; Set- SmbServerConfiguration – EncryptData $True

安裝在伺服器上的 AV 會在本機磁碟機上執行掃描

端點安全與防毒

Amazon WorkSpaces 應用程式執行個體的短暫性本質和資料的持久性不足表示需要不同的方法,以確保使用者體驗和效能不會因持久性桌面上所需的活動而受到影響。端點安全代理程式會在有組織政策或與外部資料輸入搭配使用時,安裝在 WorkSpaces 應用程式映像中,例如電子郵件、檔案傳入、外部 Web 瀏覽。

移除唯一識別符

Endpoint Security 代理程式可能有全域唯一識別符 (GUID),必須在機群執行個體建立程序期間重設。供應商在映像中安裝其產品的指示,將確保為每個從映像產生的執行個體產生新的 GUID。

為了確保不會產生 GUID,請先安裝端點安全代理程式做為最後一個動作,再執行 WorkSpaces 應用程式助理來產生映像。

效能最佳化

端點安全廠商提供最佳化 WorkSpaces 應用程式效能的切換和設定。設定因廠商而異,可以在其文件中找到,通常是在 VDI 的 區段中。某些常見的設定包括但不限於:

  • 關閉開機掃描,以確保執行個體建立、啟動和登入時間降到最低

  • 關閉排程掃描以防止不必要的掃描

  • 關閉簽章快取以防止檔案列舉

  • 啟用 VDI 最佳化 IO 設定

  • 應用程式確保效能所需的排除項目

端點安全廠商提供與虛擬桌面環境搭配使用的指示,以最佳化效能。

掃描排除項目

如果安全軟體安裝在 WorkSpaces 應用程式執行個體中,則安全軟體不得干擾下列程序。

表 6 — WorkSpaces 應用程式處理安全軟體時,不得干擾下列程序。

服務 Processes
AmazonCloudWatchAgent 「C:\Program Files\Amazon\AmazonCloudWatchAgent\start-amazon- cloudwatch-agent.exe」
AmazonSSMAgent 「C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe」
NICE DCV "C:\Program Files\NICE\DCV\Server\bin\dcvserver.exe" "C:\Program Files\NICE\DCV\Server\bin\dcvagent.exe"
WorkSpaces 應用程式

「C:\ProgramFiles\Amazon\AppStream2\StorageConnector\StorageConnector.exe"

在資料夾 "C:\Program Files\Amazon\Photon\" 中

"。\Agent\PhotonAgent.exe"

"。\Agent\s5cmd.exe"

"。\WebServer\PhotonAgentWebServer.exe"

"。\CustomShell\PhotonWindowsAppSwitcher.exe"

"。\CustomShell\PhotonWindowsCustomShell.exe"

"。\CustomShell\PhotonWindowsCustomShellBackground.exe"

資料夾

如果安全軟體安裝在 WorkSpaces 應用程式執行個體中,則軟體不得干擾下列資料夾:

範例
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

端點安全主控台衛生

每次使用者連線超過閒置和中斷連線逾時時,Amazon WorkSpaces 應用程式都會建立新的唯一執行個體。執行個體會有唯一的名稱,並會在端點安全管理 condoles 中建置。將超過 4 天或更長時間 (或更短時間,視 WorkSpaces 應用程式工作階段逾時而定) 的未使用過時機器設定為刪除,可將主控台中過期的執行個體數量降至最低。

網路排除

WorkSpaces 應用程式管理網路範圍 (198.19.0.0/16) 和下列連接埠和地址不應被 WorkSpaces 應用程式執行個體內的任何安全/防火牆或防毒解決方案封鎖。

表 7 — WorkSpaces 應用程式串流執行個體安全軟體中的連接埠不得干擾

連接埠

用途

8300、3128

這用於建立串流連線

8000

這用於管理 WorkSpaces 應用程式串流執行個體

8443

這用於管理 WorkSpaces 應用程式串流執行個體

53

DNS

表 8 — WorkSpaces 應用程式受管服務地址安全軟體不得干擾

連接埠 用途
169.254.169.123 NTP
169.254.169.249 NVIDIA GRID 授權服務
169.254.169.250 KMS
169.254.169.251 KMS
169.254.169.253 DNS
169.254.169.254 中繼資料

保護 WorkSpaces 應用程式工作階段

限制應用程式和作業系統控制

WorkSpaces 應用程式可讓管理員指定可在應用程式串流模式下從網頁啟動哪些應用程式。不過,這並不保證只有指定的應用程式才能執行。

Windows 公用程式和應用程式可透過其他方法透過作業系統啟動。 AWS 建議使用 Microsoft AppLocker 以確保只有您組織所需的應用程式才能執行。預設規則必須修改,因為它們會授予每個人關鍵系統目錄的路徑存取權。

注意

Windows Server 2016 和 2019 需要執行 Windows Application Identity 服務,才能強制執行 AppLocker 規則。使用 Microsoft AppLocker 從 WorkSpaces 應用程式存取應用程式的詳細資訊,請參閱 WorkSpaces 應用程式管理員指南。

對於加入 Active Directory 網域的機群執行個體,請使用群組政策物件 (GPOs) 提供使用者和系統設定,以保護使用者應用程式和資源存取。

防火牆和路由

建立 WorkSpaces 應用程式機群時,必須指派子網路和安全群組。子網路具有網路存取控制清單 (NACLs) 和路由表 (NACL) 的現有指派。您可以在啟動新的映像建置器時關聯最多五個安全群組,或在建立新的機群安全群組時,最多可以從現有的安全群組進行五個指派。對於每個安全群組,您可以新增規則來控制來自和傳入執行個體的傳出和傳入網路流量

NACL 是 VPC 的選用安全層,可做為無狀態防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊,請參閱比較安全群組和 NACLs頁面

設計和套用安全群組和 NACL 規則時,請考慮 AWS Well-Architected 最佳實務的最低權限。最低權限是僅授予完成任務所需許可的原則。

對於具有高速私有網路將內部部署環境連線至 AWS (透過 AWS Direct Connect) 的客戶,您可以考慮使用適用於 WorkSpaces 應用程式的 VPC 端點,這表示串流流量將透過私有網路連線路由,而不是透過公有網際網路。如需本主題的詳細資訊,請參閱本文件的 WorkSpaces 應用程式串流介面 VPC 端點一節。

資料外洩防護

我們將探討兩種類型的資料遺失預防。

用戶端對 WorkSpaces 應用程式執行個體資料傳輸控制

表 9 — 控制資料輸入和輸出的指引

設定 選項 指引
剪貼簿
  • 僅複製並貼到遠端工作階段

  • 僅複製到本機裝置

  • Disabled

停用此設定不會停用工作階段中的複製和貼上。如果需要將資料複製到工作階段,請選擇僅貼到遠端工作階段,以將資料外洩的可能性降至最低。
檔案傳輸
  • 上傳和下載

  • 僅上傳

  • 僅下載

  • Disabled

避免啟用此設定以防止資料外洩。
列印至本機裝置
  • 已啟用

  • Disabled

如果需要列印,請使用由組織控制和監控的網路映射印表機。

考慮現有組織資料傳輸解決方案相較於堆疊設定的優點。這些組態並非設計用來取代全方位的安全資料傳輸解決方案。

控制來自 WorkSpaces 應用程式執行個體的輸出流量

當資料遺失是問題時,請務必涵蓋使用者在 WorkSpaces 應用程式執行個體內時可存取的內容。網路結束 (或輸出) 路徑是什麼樣子? 一般要求使用者在其 WorkSpaces 應用程式執行個體內擁有公有網際網路存取,因此需要考慮在網路路徑中放置 WebProxy 或內容篩選解決方案。其他考量包括本機防毒應用程式和 WorkSpaces 應用程式執行個體內的其他端點安全措施 (如需詳細資訊,請參閱「端點安全和防毒」一節)。

使用 AWS 服務

AWS Identity and Access Management

使用 IAM 角色來存取 AWS 服務,並在連接到服務的 IAM 政策中具有特定性,這是最佳實務,只提供 WorkSpaces 應用程式工作階段中的使用者存取 ,而無需管理其他登入資料。遵循將 IAM 角色與 WorkSpaces 應用程式搭配使用的最佳實務

建立 IAM 政策以保護為將使用者資料保留在主資料夾和應用程式設定持續性而建立的 Amazon S3 儲存貯體。這可防止非 WorkSpaces 應用程式管理員存取。

VPC 端點

VPC 端點可讓您的 VPC 與支援的 AWS 服務,以及採用 技術的 VPC 端點服務之間的私有連線 AWS PrivateLink。 AWS PrivateLink 是一種技術,可讓您使用私有 IP 地址來私有存取服務。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。如果只有 AWS 服務需要公有網際網路存取,VPC 端點會完全移除對 NAT 閘道和網際網路閘道的需求。

在自動化常式或開發人員需要對 WorkSpaces 應用程式進行 API 呼叫的環境中,為 WorkSpaces 應用程式 API 操作建立介面 VPC 端點。例如,如果私有子網路中有 EC2 執行個體沒有公有網際網路存取,則 WorkSpaces 應用程式 API 的 VPC 端點可用來呼叫 WorkSpaces 應用程式 API 操作,例如 CreateStreamingURL。下圖顯示範例設定,其中 Lambda 函數和 EC2 執行個體會耗用 WorkSpaces 應用程式 API 和串流 VPC 端點。

VPC 端點的參考架構圖

VPC 端點

串流 VPC 端點可讓您透過 VPC 端點串流工作階段。此串流界面端點可將串流流量保持在 VPC 內。串流流量包含像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載,以及印表機流量。若要使用 VPC 端點,必須在 WorkSpaces 應用程式堆疊中啟用 VPC 端點設定。這可做為從網際網路存取受限的位置,透過公有網際網路串流使用者工作階段的替代方案,並受益於透過 Direct Connect 執行個體存取 。透過 VPC 端點串流使用者工作階段需要下列項目:

  • 與介面端點相關聯的安全群組必須允許從使用者連線的 IP 地址範圍存取連接埠 443(TCP) 和連接埠 1400–1499(TCP)。

  • 子網路的網路存取控制清單必須允許從暫時性網路連接埠 1024-65535(TCP) 到使用者連線之 IP 地址範圍的傳出流量。

  • 需要網際網路連線才能驗證使用者,並提供 WorkSpaces 應用程式運作所需的 Web 資產。

若要進一步了解如何使用 WorkSpaces 應用程式限制 AWS 服務的流量,請參閱從 VPC 端點建立和串流的管理指南。

需要完整公有網際網路存取時,最佳實務是在映像建置器上停用 Internet Explorer 增強型安全組態 (ESC)。如需詳細資訊,請參閱 WorkSpaces 應用程式管理指南,以停用 Internet Explorer 增強型安全組態