Protección de datos persistentes

Es posible que las implementaciones de AppStream 2.0 requieran que el estado del usuario persista de alguna forma. Quizás para conservar los datos de usuarios individuales o para la colaboración mediante una carpeta compartida. El almacenamiento de instancias de AppStream 2.0 es efímero y no tiene opción de cifrado.

AppStream 2.0 proporciona persistencia del estado del usuario a través de las carpetas de inicio y la configuración de las aplicaciones en Amazon S3. Algunos casos de uso requieren un mayor control sobre la persistencia del estado de los usuarios. Para estos casos de uso, AWS recomienda utilizar un recurso compartido de archivos de bloque de mensajes del servidor (SMB).

Estado y datos de usuario

Dado que la mayoría de las aplicaciones de Windows funcionan mejor y de forma más segura cuando se ubican junto a los datos de la aplicación creados por el usuario, se recomienda mantener estos datos en la misma Región de AWS que las flotas de AppStream 2.0. Se recomienda cifrar estos datos. El comportamiento predeterminado de la carpeta de inicio del usuario es cifrar los archivos y carpetas en reposo mediante claves de cifrado administradas por Amazon S3 desde los servicios de administración de claves de AWS (AWS KMS). Es importante tener en cuenta que los usuarios administrativos de AWS con acceso a la consola AWS o al bucket de Amazon S3 podrán acceder directamente a esos archivos.

En los diseños que requieren un objetivo de bloque de mensajes de servidor (SMB) de un recurso compartido de archivos de Windows para almacenar los archivos y carpetas de los usuarios, el proceso es automático o requiere una configuración.

Tabla 5: Opciones para proteger los datos de los usuarios

Objetivo para SMB	Cifrado en reposo	Cifrado en tránsito	Antivirus (AV)
FSx para Windows File Server	Automático a través de KMS de AWS	Automático mediante cifrado SMB	El AV instalado en una instancia remota escanea en la unidad mapeada
Puerta de enlace de archivo, Storage Gateway de AWS	De forma predeterminada, todos los datos que AWS Storage Gateway almacena en S3 está cifrado en el lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Si lo desea, puede configurar diferentes tipos de puertas de enlace para cifrar los datos almacenados con AWS Key Management Service (KMS)	Todos los datos transferidos entre cualquier tipo de dispositivo de puerta de enlace y el almacenamiento de AWS se cifran mediante SSL.	El AV instalado en una instancia remota escanea en la unidad mapeada
Servidores de archivos Windows basados en EC2	Habilitar cifrado de EBS	PowerShell; `Set- SmbServerConfiguration – EncryptData $True`	El AV instalado en el servidor escanea las unidades locales

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas de seguridad

Seguridad y antivirus para puntos de conexión