Segurança - Melhores práticas para implantar o Amazon 2.0 AppStream

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

A segurança da nuvem na Amazon Web Services (AWS) é a nossa maior prioridade. Segurança e conformidade são uma responsabilidade compartilhada entre a AWS e o cliente. Para obter mais informações, consulte o Modelo de responsabilidade compartilhada. Como cliente da AWS e do AppStream 2.0, é importante implementar medidas de segurança em diferentes camadas, como pilha, frota, imagem e rede.

Devido à sua natureza efêmera, o AppStream 2.0 geralmente é preferido como uma solução segura para a entrega de aplicativos e desktops. Considere se as soluções antivírus comuns nas implantações do Windows são relevantes em seus casos de uso para um ambiente predefinido e eliminado no final de uma sessão de usuário. O antivírus adiciona sobrecarga às instâncias virtualizadas. Dessa forma, a prática recomendada é reduzir atividades desnecessárias. Por exemplo, a varredura do volume do sistema (que é efêmera) na inicialização não aumenta a segurança geral do AppStream 2.0.

As duas principais questões de segurança do AppStream 2.0:

  • A persistência do estado do usuário além da sessão é um requisito?

  • Quanto acesso um usuário deve ter em uma sessão?

Como proteger dados persistentes

As implantações do AppStream 2.0 podem exigir que o estado do usuário persista de alguma forma. Pode ser para manter os dados de usuários individuais ou para manter os dados para colaboração usando uma pasta compartilhada. O armazenamento de instâncias do AppStream 2.0 é efêmero e não tem opção de criptografia.

O AppStream 2.0 fornece persistência do estado do usuário por meio de pastas iniciais e configurações do aplicativo no Amazon S3. Alguns casos de uso exigem maior controle sobre a persistência do estado do usuário. Para esses casos de uso, a AWS recomenda usar um compartilhamento de arquivos do protocolo de Server Message Block (SMB).

Estado e dados do usuário

Como a maioria dos aplicativos do Windows tem um desempenho melhor e mais seguro quando usados em conjunto com os dados do aplicativo criados pelo usuário, é uma prática recomendada manter esses dados na mesma Região da AWS que as frotas do AppStream 2.0. A prática recomendada é criptografar os dados. O comportamento padrão da pasta inicial do usuário é criptografar arquivos e pastas inativos usando chaves de criptografia gerenciadas pelo Amazon S3 dos serviços de gerenciamento de chaves do AWS (AWS KMS). É importante observar que os usuários administrativos da AWS com acesso ao console da AWS ou ao bucket do Amazon S3 poderão acessar esses arquivos diretamente.

Em designs que exigem um destino de SMB (Server Message Block) de um compartilhamento de arquivos do Windows para armazenar arquivos e pastas do usuário, o processo é automático ou requer configuração.

Tabela 5: opções para proteger os dados do usuário

Meta do SMB

Criptografia em repouso Criptografia em trânsito

Antivírus (AV)

FSx para Windows File Server Automático por meio do AWS KMS Automático por meio de criptografia de SMB

O AV instalado em uma instância remota executa a varredura na unidade mapeada

Gateway de arquivos, AWS Storage Gateway

Por padrão, todos os dados armazenados pelo AWS Storage Gateway no S3 são criptografados usando chaves de criptografia no lado do servidor gerenciadas do Amazon S3 (SSE-S3). Como alternativa, você pode configurar diferentes tipos de gateway para criptografar dados armazenados com AWS Key Management Service (KMS) Todos os dados transferidos entre qualquer tipo de dispositivo de gateway e armazenamento da AWS são criptografados usando SSL.

O AV instalado em uma instância remota executa a varredura na unidade mapeada

Servidores de arquivos do Windows com base no EC2 Habilitar criptografia do EBS PowerShell; Set- SmbServerConfiguration – EncryptData $True

O AV instalado no servidor executa a varredura em unidades locais

Segurança de endpoints e antivírus

A breve natureza efêmera das instâncias do Amazon AppStream 2.0 e a falta de persistência dos dados significam que é necessária uma abordagem diferente para garantir que a experiência e o desempenho do usuário não sejam comprometidos por atividades que seriam necessárias em uma área de trabalho persistente. Os agentes de segurança do endpoint são instalados nas imagens do AppStream 2.0 quando há uma política organizacional ou quando usados com entrada de dados externos, por exemplo, e-mail, entrada de arquivos, navegação externa na Web.

Como remover identificadores exclusivos

Os agentes de segurança do endpoint podem ter um identificador global exclusivo (GUID) que deve ser redefinido durante o processo de criação da instância da frota. Os fornecedores têm instruções sobre como instalar seus produtos em imagens, garantindo que um novo GUID seja gerado para cada instância gerada a partir de uma imagem.

Para garantir que o GUID não seja gerado, instale o agente de segurança do endpoint como a última ação antes de executar o assistente do AppStream 2.0 para gerar a imagem.

Otimização do desempenho

Os fornecedores de segurança de endpoints fornecem switches e configurações que otimizam o desempenho do AppStream 2.0. As configurações variam entre os fornecedores e podem ser encontradas em sua documentação, normalmente em uma seção sobre VDI. Algumas configurações comuns incluem:

  • Desativar as verificações de inicialização para garantir que os tempos de criação, inicialização e login da instância sejam minimizados

  • Desativar as varreduras agendadas para evitar varreduras desnecessárias

  • Desativar os caches de assinatura para evitar a enumeração de arquivos

  • Ativar configurações de E/S otimizadas para VDI

  • Exclusões exigidas pelos aplicativos para garantir o desempenho

Os fornecedores de segurança de terminais fornecem instruções para uso com ambientes de área de trabalho virtual que otimizam o desempenho.

Exclusões de verificação

Se o software de segurança estiver instalado nas instâncias do AppStream 2.0, o software de segurança não deve interferir nos processos a seguir.

Tabela 6: o software de segurança de processos do AppStream 2.0 não deve interferir nos processos a seguir.

Serviço Processos
AmazonCloudWatchAgent "C:\Program Files\Amazon\AmazonCloudWatchAgent\start-amazon- cloudwatch-agent.exe"
AmazonSSMAgent "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe"
NICE DCV "C:\Program Files\NICE\DCV\Server\bin\dcvserver.exe" "C:\Program Files\NICE\DCV\Server\bin\dcvagent.exe"
AppStream 2.0

"C:\ProgramFiles\Amazon\AppStream2\StorageConnector\StorageConnector.exe"

Na pasta "C:\Program Files\Amazon\Photon\"

".\Agent\PhotonAgent.exe"

".\WebServer\PhotonAgentWebServer.exe"

".\CustomShell\PhotonWindowsAppSwitcher.exe"

".\CustomShell\PhotonWindowsCustomShell.exe"

".\CustomShell\PhotonWindowsCustomShellBackground.exe"

Pastas

Se o software de segurança estiver instalado nas instâncias do AppStream 2.0, o software não deve interferir nas seguintes pastas:

C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\

Limpeza do console de segurança de endpoints

O Amazon AppStream 2.0 criará novas instâncias exclusivas sempre que um usuário se conectar além dos tempos limite de inatividade e desconexão. As instâncias terão um nome exclusivo e se acumularão em consoles de gerenciamento de segurança de endpoints. A configuração de máquinas antigas não utilizadas com mais de quatro dias (ou menos, dependendo do tempo limite de sessão do AppStream 2.0) para serem excluídas minimizará o número de instâncias expiradas no console.

Exclusões de rede

O alcance da rede de gerenciamento do AppStream 2.0 (198.19.0.0/16), além de portas e endereços seguintes não devem ser bloqueados por nenhuma solução de segurança/firewall ou antivírus nas instâncias do AppStream 2.0.

Tabela 7: as portas no AppStream 2.0 que o software de segurança de instâncias de streaming não deve interferir

Porta

Uso

8300, 3128

Usado para estabelecer a conexão de streaming

8000

Isso é usado para gerenciar a instância de streaming pelo AppStream 2.0

8443

Isso é usado para gerenciar a instância de streaming pelo AppStream 2.0

53

DNS

Tabela 8: o software de segurança para endereços de serviços gerenciados do AppStream 2.0 não deve interferir com

Porta Uso
169.254.169.123 NTP
169.254.169.249 Serviço de licença NVIDIA GRID
169.254.169.250 KMS
169.254.169.251 KMS
169.254.169.253 DNS
169.254.169.254 Metadados

Como proteger uma sessão do AppStream

Como limitar os controles de aplicativos e sistemas operacionais

O AppStream 2.0 dá ao administrador a capacidade de especificar exatamente quais aplicativos podem ser iniciados a partir da página da Web no modo de streaming de aplicativos. No entanto, isso não garante que somente os aplicativos especificados possam ser executados.

Os utilitários e aplicativos do Windows podem ser iniciados por meio do sistema operacional por meios adicionais. A AWS recomenda usar o Microsoft AppLocker para garantir que somente os aplicativos que sua organização exige possam ser executados. É necessário modificar as regras padrão, pois concedem a todos acesso por caminhos aos diretórios essenciais do sistema.

nota

O Windows Server 2016 e 2019 exigem que o serviço Windows Application Identity esteja em execução para impor as regras do AppLocker. O acesso a aplicativos a partir do AppStream 2.0 usando o Microsoft AppLocker está detalhado no Guia de administração do AppStream.

Para instâncias de frota unidas a um domínio do Active Directory, use Objetos de política de grupo (GPOs) para fornecer configurações de usuário e sistema, protegendo o acesso dos usuários aos aplicativos e recursos.

Firewalls e roteamento

Ao criar uma frota do AppStream 2.0, é necessário atribuir sub-redes e um grupo de segurança. As sub-redes têm atribuições existentes de listas de controle de acesso à rede (NACLs) e tabelas de rotas. Você pode associar até cinco grupos de segurança ao iniciar um novo criador de imagens ou ao criar uma nova frota. Os grupos de segurança podem ter até cinco atribuições dos grupos de segurança existentes. Para cada grupo de segurança, adicione regras que controlam o tráfego de saída e entrada da rede de e para instâncias

A NACL é uma camada de segurança opcional para a VPC que atua como um firewall sem estado para controlar o tráfego de entrada e saída em sub-redes. Você pode configurar Network ACLs com regras semelhantes às dos grupos de segurança a fim de adicionar uma camada extra de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte a página de comparação entre grupos de segurança e NACLs.

Ao projetar e aplicar as regras do grupo de segurança e da NACL, considere as práticas recomendadas do AWS Well-Architected para obter o privilégio mínimo. O privilégio mínimo é o princípio de conceder somente as permissões necessárias para concluir uma tarefa.

Para clientes que têm uma rede privada de alta velocidade conectando seu ambiente local à AWS (por meio de um AWS Direct Connect), considere usar os endpoints da VPC para AppStream, ou seja, o tráfego de streaming será roteado por meio de sua conectividade de rede privada em vez de passar pela Internet pública. Para obter mais informações sobre esse tópico, consulte a seção Endpoint da VPC da interface de streaming do AppStream 2.0 deste documento.

Prevenção de perda de dados

Vamos analisar dois tipos de prevenção de perda de dados.

Controles de transferência de dados do cliente para instâncias do AppStream 2.0

Tabela 9: orientação para controlar a entrada e saída de dados

Configuração Opções Orientação
Área de transferência
  • Copiar e colar somente na sessão remota

  • Copiar somente para o dispositivo local

  • Desabilitado

Desabilitar essa configuração não desabilita copiar e colar na sessão. Se for necessário copiar dados para a sessão, escolha Colar somente na sessão remota para minimizar o potencial do vazamento de dados.
Transferência de arquivos
  • Fazer upload e baixar

  • Somente upload

  • Somente baixar

  • Desabilitado

Evite ativar essa configuração para impedir o vazamento de dados.
Imprimir no dispositivo local
  • Habilitado

  • Desabilitado

Se a impressão for necessária, use impressoras mapeadas em rede que sejam controladas e monitoradas pela organização.

Considere as vantagens da solução de transferência de dados organizacional existente em relação às configurações da pilha. Essas configurações não foram projetadas para substituir uma solução abrangente de transferência segura de dados.

Como controlar o tráfego de saída da instância do AppStream 2.0

Quando a perda de dados é uma preocupação, é importante cobrir o que um usuário pode acessar quando estiver na instância do AppStream 2.0. Qual é a aparência do caminho de saída (ou regressão) da rede? É um requisito comum ter acesso público à Internet disponível para o usuário final em sua instância do AppStream 2.0. Portanto, é preciso considerar a possibilidade de colocar um WebProxy ou uma solução de filtragem de conteúdo no caminho da rede. Outras considerações incluem um aplicativo antivírus local e outras medidas de segurança de endpoints na instância do AppStream (consulte a seção “Segurança de endpoint e antivírus” para obter mais informações).

Como usar serviços da AWS

AWS Identity and Access Management

Usar um perfil do IAM para acessar serviços da AWS e ser específico na política do IAM associada a ela é uma prática recomendada, permitindo que somente os usuários nas sessões do AppStream 2.0 tenham acesso sem gerenciar credenciais adicionais. Siga as práticas recomendadas para usar funções do IAM com o AppStream 2.0.

Crie políticas do IAM para proteger os buckets do Amazon S3 que são criados para manter os dados do usuário nas pastas iniciais e na persistência das configurações do aplicativo. Isso impede o acesso de administradores que não fazem parte do AppStream 2.0.

Endpoints da VPC

Um endpoint da VPC permite conexões privadas entre sua VPC e serviços da AWS compatíveis e serviços de endpoint da VPC desenvolvidos pelo AWS PrivateLink. O AWS PrivateLink é uma tecnologia que permite acessar serviços de maneira privada usando endereços IP privados. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon. Se o acesso público à Internet for necessário somente para serviços da AWS, os endpoints da VPC eliminarão completamente a exigência de gateways NAT e gateways de Internet.

Nos ambientes em que as rotinas de automação ou os desenvolvedores exigem fazer chamadas de API para o AppStream 2.0, crie uma interface de endpoint da VPC para operações de API do AppStream 2.0. Por exemplo, se houver instâncias do EC2 em sub-redes privadas sem acesso público à Internet, um endpoint da VPC para a API do AppStream 2.0 pode ser usado para chamar operações da API do AppStream 2.0, como CreateStreamingURL. O diagrama a seguir mostra um exemplo de configuração em que a API do AppStream 2.0 e os endpoints da VPC de streaming são consumidos por funções do Lambda e instâncias do EC2.

Um diagrama de arquitetura de referência para o endpoint da VPC

Endpoint da VPC

O endpoint da VPC de streaming permite que você transmita sessões por meio de um endpoint da VPC. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para usar o endpoint da VPC, a configuração do endpoint da VPC deve estar habilitada na pilha do AppStream 2.0. Isso serve como uma alternativa ao streaming de sessões de usuários pela Internet pública a partir de locais com acesso limitado à Internet e que se beneficiariam do acesso por meio de uma instância do Direct Connect. O streaming de sessões de usuário por meio de um endpoint da VPC exige o seguinte:

  • Os Grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) e às portas 1400–1499 (TCP) do intervalo de endereços IP do qual os usuários se conectam.

  • A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.

  • A conectividade com a internet é necessária para autenticar usuários e entregar os ativos da web que o AppStream 2.0 requer para funcionar.

Para saber mais sobre como restringir o tráfego para serviços da AWS com o AppStream 2.0, consulte o guia de administração para criar e transmitir a partir de endpoints da VPC.

Quando o acesso público total à Internet é necessário, a prática recomendada é desativar a Configuração de Segurança Reforçada (ESC) do Internet Explorer no Image Builder. Para obter mais informações, consulte o guia de administração do AppStream 2.0 para desativar a configuração de segurança aprimorada do Internet Explorer.