Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza
La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Per ulteriori informazioni, consulta il Modello di responsabilità condivisa
A causa della sua natura effimera, la AppStream versione 2.0 viene spesso preferita come soluzione sicura per la distribuzione di applicazioni e desktop. Valuta se le soluzioni antivirus comuni nelle distribuzioni di Windows sono pertinenti nei casi d'uso per un ambiente predefinito ed eliminato alla fine di una sessione utente. L'antivirus aggiunge un sovraccarico alle istanze virtualizzate, quindi è una best practice per mitigare le attività non necessarie. Ad esempio, la scansione del volume di sistema (che è temporaneo) all'avvio, ad esempio, non aumenta la sicurezza complessiva della versione 2.0. AppStream
Le due domande chiave per la sicurezza AppStream 2.0 sono incentrate su:
-
La persistenza dello stato utente oltre la sessione è un requisito?
-
Quanto accesso deve avere un utente all'interno di una sessione?
Protezione dei dati persistenti
Le implementazioni della AppStream versione 2.0 possono richiedere che lo stato dell'utente persista in qualche modo. Potrebbe trattarsi di rendere persistenti i dati per singoli utenti o di rendere persistenti i dati per la collaborazione utilizzando una cartella condivisa. AppStreamLo storage di istanze 2.0 è effimero e non prevede alcuna opzione di crittografia.
AppStream 2.0 fornisce la persistenza dello stato utente tramite le cartelle home e le impostazioni delle applicazioni in Amazon S3. Alcuni casi d'uso richiedono un maggiore controllo sulla persistenza dello stato utente. Per questi casi d'uso, AWS consiglia di utilizzare una condivisione di file Server Message Block (SMB).
Stato e dati dell'utente
Poiché la maggior parte delle applicazioni Windows offre prestazioni migliori e più sicure se collocate insieme ai dati delle applicazioni creati dall'utente, è consigliabile mantenere questi dati all'interno delle Regione AWS stesse flotte di applicazioni AppStream 2.0. La crittografia di questi dati è una procedura consigliata. Il comportamento predefinito della cartella home dell'utente consiste nel crittografare file e cartelle inattivi utilizzando chiavi di crittografia gestite da Amazon S3 dai servizi di gestione delle AWS chiavi ().AWS KMSÈ importante notare che gli utenti AWS amministrativi con accesso alla AWS console o al bucket Amazon S3 potranno accedere direttamente a tali file.
Nei progetti che richiedono una destinazione Server Message Block (SMB) proveniente da una condivisione di file di Windows per archiviare file e cartelle utente, il processo è automatico o richiede una configurazione.
Tabella 5 — Opzioni per la protezione dei dati degli utenti
|
SMBbersaglio |
E ncryption-at-rest | E ncryption-in-transit |
Antivirus (AV) |
|---|---|---|---|
| FSxper Windows File Server | Tramite automatico AWS KMS | Automatico tramite SMB crittografia |
L'AV installato su un'istanza remota esegue la scansione sull'unità mappata |
|
Gateway di file, Gateway AWS di archiviazione |
Per impostazione predefinita, tutti i dati archiviati da AWS Storage Gateway S3 sono crittografati lato server con Amazon S3 Managed Encryption Keys (-S3). SSE Facoltativamente, puoi configurare diversi tipi di gateway per crittografare i dati archiviati con () AWS Key Management Service KMS | Tutti i dati trasferiti tra qualsiasi tipo di dispositivo gateway e AWS storage vengono crittografati utilizzando. SSL |
AV installato su un'istanza remota esegue la scansione sull'unità mappata |
| EC2file server basati su Windows | Abilita EBS la crittografia |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
L'AV installato sul server esegue la scansione sulle unità locali |
Sicurezza degli endpoint e antivirus
La breve natura effimera delle istanze Amazon AppStream 2.0 e la mancanza di persistenza dei dati richiedono un approccio diverso per garantire che l'esperienza utente e le prestazioni non siano compromesse dalle attività che sarebbero necessarie su un desktop persistente. Gli agenti di Endpoint Security vengono installati in immagini AppStream 2.0 quando esiste una politica organizzativa o quando vengono utilizzati con dati esterni, ad esempio e-mail, ingresso di file, navigazione Web esterna.
Rimozione di identificatori univoci
Gli agenti di Endpoint Security possono avere un identificatore univoco globale (GUID) che deve essere reimpostato durante il processo di creazione del parco istanze. I fornitori dispongono di istruzioni su come installare i propri prodotti in immagini che garantiranno che ne venga generata una nuova GUID per ogni istanza generata da un'immagine.
Per evitare che GUID venga generato, installa l'agente Endpoint Security come ultima azione prima di eseguire l'Assistente AppStream 2.0 per generare l'immagine.
Ottimizzazione delle prestazioni
I fornitori di Endpoint Security forniscono switch e impostazioni che ottimizzano le prestazioni della versione 2.0. AppStream Le impostazioni variano da un fornitore all'altro e sono disponibili nella relativa documentazione, in genere in una sezione dedicata. VDI Alcune impostazioni comuni includono, a titolo esemplificativo ma non esaustivo:
-
Disattiva le scansioni di avvio per garantire che i tempi di creazione, avvio e accesso delle istanze siano ridotti al minimo
-
Disattiva le scansioni pianificate per evitare scansioni non necessarie
-
Disattiva le cache delle firme per impedire l'enumerazione dei file
-
Abilita impostazioni IO ottimizzate VDI
-
Esclusioni richieste dalle applicazioni per garantire le prestazioni
I fornitori di soluzioni per la sicurezza degli endpoint forniscono istruzioni per l'uso con ambienti desktop virtuali che ottimizzano le prestazioni.
-
Supporto Trend Micro Office Scan per l'infrastruttura desktop virtuale - Apex One/ OfficeScan (
trendmicro.com) -
CrowdStrike e come installare Falcon nel CrowdStrike
data center -
Sophos e Sophos Central Endpoint: Come eseguire l'installazione su un'immagine gold per evitare identità duplicate
e Sophos Central: best practice per l'installazione di Windows Endpoint in ambienti desktop virtuali -
McAfee e il provisioning e la distribuzione degli McAfee agenti
su sistemi di infrastruttura desktop virtuale -
Microsoft Endpoint Security e configurazione di Microsoft Defender Antivirus per macchine non persistenti VDI -
Microsoft Tech Community
Esclusioni dalla scansione
Se il software di sicurezza è installato in istanze AppStream 2.0, il software di sicurezza non deve interferire con i seguenti processi.
Tabella 6 — AppStream 2.0 Il software di sicurezza dei processi non deve interferire con i seguenti processi.
| Servizio | Processes |
|---|---|
| AmazonCloudWatchAgent | «C:\Program Files\ Amazon\AmazonCloudWatchAgent\ start-amazon-cloudwatch-agent.exe» |
| UN mazonSSMAgent | «C:\Program Files\ Amazon\SSM\ amazon-ssm-agent .exe» |
| NICE DCV | "C:\Program File\ NICEDCV\ Server\ bin\ dcvserver.exe» "C:\Program File\\NICE\ ServerDCV\ bin\ dcvagent.exe» |
| AppStream 2.0 |
«C:\ProgramFiles\ Amazon\ AppStream 2\StorageConnector\ StorageConnector .exe» Nella cartella "C:\Program Files\ Amazon\ Photon\» ». \ Agente\ PhotonAgent .exe» ». \ Agente\ s5cmd.exe» ». \WebServer\ PhotonAgentWebServer .exe» ». \CustomShell\ PhotonWindowsAppSwitcher .exe» ». \CustomShell\ PhotonWindowsCustomShell .exe» ». \CustomShell\ PhotonWindowsCustomShellBackground .exe» |
Cartelle
Se il software di sicurezza è installato in istanze AppStream 2.0, il software non deve interferire con le seguenti cartelle:
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
Igiene della console di sicurezza degli endpoint
Amazon AppStream 2.0 creerà nuove istanze uniche ogni volta che un utente si connette oltre i timeout di inattività e disconnessione. Le istanze avranno un nome univoco e verranno inserite nelle condoglianze relative alla gestione della sicurezza degli endpoint. L'impostazione dell'eliminazione delle macchine obsolete non utilizzate più vecchie di 4 o più giorni (o meno a seconda dei timeout delle sessioni AppStream 2.0) ridurrà al minimo il numero di istanze scadute nella console.
Esclusioni di rete
L'intervallo della rete di gestione AppStream 2.0 (198.19.0.0/16) e le porte e gli indirizzi seguenti non devono essere bloccati da alcuna soluzione di sicurezza/firewall o antivirus all'interno delle istanze AppStream 2.0.
Tabella 7 — Il software di sicurezza delle porte delle istanze di streaming AppStream 2.0 non deve interferire con
| Porta |
Utilizzo |
|---|---|
| 8300, 3128 |
Viene utilizzato per stabilire la connessione di streaming |
| 8000 |
Viene utilizzato per gestire l'istanza di streaming entro AppStream la versione 2.0 |
| 8443 |
Viene utilizzato per gestire l'istanza di streaming entro AppStream la versione 2.0 |
| 5.3 |
DNS |
Tabella 8 — AppStream 2.0 indirizzi dei servizi gestiti con cui il software di sicurezza non deve interferire
| Porta | Utilizzo |
|---|---|
| 169.254.169123 | NTP |
| 169,254,169,249 | NVIDIAGRIDServizio di licenza |
| 169254,169,250 | KMS |
| 169,254,169,251 | KMS |
| 169,254,169,253 | DNS |
| 169,254,169,254 | Metadati |
Proteggere una sessione AppStream
Limitazione dei controlli delle applicazioni e del sistema operativo
AppStream 2.0 offre all'amministratore la possibilità di specificare esattamente quali applicazioni possono essere avviate dalla pagina Web in modalità streaming delle applicazioni. Tuttavia, ciò non garantisce che possano essere eseguite solo le applicazioni specificate.
Le utilità e le applicazioni di Windows possono essere avviate tramite il sistema operativo con mezzi aggiuntivi. AWS consiglia di utilizzare Microsoft AppLocker
Nota
Windows Server 2016 e 2019 richiedono l'esecuzione del servizio Windows Application Identity per applicare le regole AppLocker . L'accesso alle applicazioni dalla AppStream versione 2.0 tramite Microsoft AppLocker è descritto in dettaglio nella Guida per l'AppStream amministratore.
Per le istanze del parco istanze unite a un dominio Active Directory, utilizza Group Policy Objects (GPOs) per fornire impostazioni utente e di sistema per proteggere l'accesso alle applicazioni e alle risorse degli utenti.
Firewall e routing
Quando si crea una flotta AppStream 2.0, è necessario assegnare sottoreti e un gruppo di sicurezza. Le sottoreti dispongono già delle assegnazioni delle liste di controllo dell'accesso alla rete (NACLs) e delle tabelle di routing. È possibile associare fino a cinque gruppi di sicurezza durante l'avvio di un nuovo generatore di immagini o durante la creazione di una nuova flotta. I gruppi di sicurezza possono avere fino a cinque assegnazioni tra i gruppi di sicurezza esistenti. Per ogni gruppo di sicurezza, aggiungi regole che controllano il traffico di rete in uscita e in entrata da e verso le tue istanze
A NACL è un livello di sicurezza opzionale VPC che funge da firewall stateless per controllare il traffico in entrata e in uscita da una o più sottoreti. Potresti configurare una rete ACLs con regole simili a quelle dei tuoi gruppi di sicurezza per aggiungere un ulteriore livello di sicurezza al tuo. VPC Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e reteACLs, consulta la NACLs pagina di confronto tra gruppi di sicurezza e rete.
Durante la progettazione e l'applicazione del gruppo di sicurezza e NACL delle regole, prendi in considerazione le migliori pratiche AWS Well-Architected per il privilegio minimo. Il privilegio minimo è il principio che prevede la concessione solo delle autorizzazioni necessarie per completare un'attività.
Per i clienti che dispongono di una rete privata ad alta velocità che connette il proprio ambiente locale a AWS (tramite AWS Direct Connect), potresti prendere in considerazione l'utilizzo di VPC Endpoints for AppStream, il che significa che il traffico di streaming verrà instradato tramite la connettività di rete privata anziché attraverso la rete Internet pubblica. Per ulteriori informazioni su questo argomento, consulta la sezione relativa agli VPC endpoint dell'interfaccia di streaming AppStream 2.0 di questo documento.
Prevenzione della perdita di dati
Esamineremo due tipi di prevenzione della perdita di dati.
Controlli per il trasferimento dei dati da istanza Client a AppStream 2.0
Tabella 9 — Linee guida per il controllo dell'ingresso e dell'uscita dei dati
| Impostazione | Opzioni | Guida |
|---|---|---|
| Appunti |
|
La disabilitazione di questa impostazione non disabilita il copia e incolla all'interno della sessione. Se è necessario copiare i dati nella sessione, scegliete Incolla solo nella sessione remota per ridurre al minimo il rischio di perdita di dati. |
| Trasferimento di file |
|
Evita di abilitare questa impostazione per prevenire la perdita di dati. |
| Stampa su dispositivo locale |
|
Se è necessaria la stampa, utilizzate stampanti mappate di rete controllate e monitorate dall'organizzazione. |
Considerate i vantaggi della soluzione esistente per il trasferimento dei dati organizzativi rispetto alle impostazioni dello stack. Queste configurazioni non sono progettate per sostituire una soluzione completa e sicura per il trasferimento dei dati.
Controllo del traffico in uscita dall'istanza 2.0 AppStream
Se la perdita di dati è un problema, è importante nascondere a cosa può accedere un utente una volta entrato nella propria istanza AppStream 2.0. Che aspetto ha il percorso di uscita (o uscita) della rete? La disponibilità dell'accesso pubblico a Internet per l'utente finale all'interno dell'istanza AppStream 2.0 è un requisito comune, pertanto è necessario prendere in considerazione l'inserimento di una WebProxy o più soluzioni di filtraggio dei contenuti nel percorso di rete. Altre considerazioni includono un'applicazione antivirus locale e altre misure di sicurezza degli endpoint all'interno dell' AppStream istanza (per ulteriori informazioni, consulta la sezione «Endpoint Security and Antivirus»).
Utilizzo dei servizi AWS
AWS Identity and Access Management
Utilizzare un IAM ruolo per accedere ai AWS servizi ed essere specifici nella IAM policy ad esso associata è una procedura consigliata che prevede che solo gli utenti delle sessioni AppStream 2.0 abbiano accesso senza dover gestire credenziali aggiuntive. Segui le best practice per l'utilizzo di IAM Roles con AppStream 2.0.
Crea IAMpolicy per proteggere i bucket Amazon S3 creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò impedisce l'accesso agli amministratori non AppStream 2.0.
VPCendpoint
Un VPC endpoint consente connessioni private tra l'utente VPC e i AWS servizi supportati e i servizi VPC endpoint forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il tuo VPC e l'altro servizio non esce dalla rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli VPC endpoint eliminano del tutto il requisito dei NAT gateway e dei gateway Internet.
Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare API chiamate per la AppStream versione 2.0, create un endpoint di interfaccia per le operazioni 2.0. VPC AppStream API Ad esempio, se esistono EC2 istanze in sottoreti private senza accesso pubblico a Internet, è API possibile utilizzare un VPC endpoint per AppStream 2.0 per chiamare operazioni 2.0 come. AppStream API CreateStreamingURL Il diagramma seguente mostra un esempio di configurazione in cui gli VPC endpoint AppStream 2.0 API e di streaming vengono utilizzati dalle funzioni e dalle istanze Lambda. EC2
VPCendpoint
L'VPCendpoint di streaming consente di eseguire lo streaming delle sessioni tramite un VPC endpoint. L'endpoint dell'interfaccia di streaming mantiene il traffico di streaming all'interno del tuo. VPC Il traffico di streaming include pixelUSB, input dell'utente, audio, appunti, caricamento e download di file e traffico di stampa. Per utilizzare l'VPCendpoint, l'impostazione dell'VPCendpoint deve essere abilitata nello stack 2.0. AppStream Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un VPC endpoint richiede quanto segue:
-
I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta
443(TCP) e alle porte1400–1499(TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono. -
L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee
1024-65535(TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono. -
La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alla versione 2.0 per funzionare. AppStream
Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con la AppStream versione 2.0, consulta la guida amministrativa per la creazione e lo streaming dagli VPC endpoint.
Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disabilitare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consultate la guida all'amministrazione AppStream 2.0 per disabilitare la configurazione di sicurezza avanzata di Internet Explorer.
