本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全性
本节介绍在使用 Amazon WorkSpaces 服务时如何使用加密来保护数据。它描述了传输中的加密和静态加密,以及使用安全组来保护对网络的访问 WorkSpaces。本节还提供有关如何使用可信设备和 IP 访问控制组 WorkSpaces 来控制对终端设备的访问的信息。
有关Di AWS rectory Service中身份验证(包括MFA支持)的其他信息可以在本节中找到。
传输中加密
Amazon WorkSpaces 使用加密技术来保护不同通信阶段(传输中)的机密性,并保护静态数据(加密 WorkSpaces)。以下各节介绍了 Amazon WorkSpaces 在传输过程中使用的每个加密阶段的流程。
有关静态加密的信息,请参阅本文档的加密 WorkSpaces部分。
注册和更新
桌面客户端应用程序使用 HTTPS 与 Amazon 通信以获取更新和注册。
身份验证阶段
桌面客户端通过向身份验证网关发送凭据来启动身份验证。桌面客户端和身份验证网关之间的通信使用 HTTPS。在此阶段结束时,如果身份验证成功,则身份验证网关将通过相同的 HTTPS 连接向桌面客户端返回 OAuth 2.0 令牌。
注意
桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量、更新、注册和身份验证。
收到来自客户端的凭据后,身份验证网关会向 AWS Directory Service 发送身份验证请求。从身份验证网关到 AWS Directory Service 的通信通过 HTTPS 进行,因此不会以明文形式传输任何用户凭证。
身份验证-活动目录连接器 (ADC)
AD Connecto r 使用 Kerberos
AWS 目录服务还支持带有 TLS 的 LDAP。任何时候都不会以纯文本形式传输用户凭证。为了提高安全性,可以使用 VPN 连接将 WorkSpaces VPC 与本地网络(AD 所在地)连接起来。使用 AWS 硬件 VPN 连接时,客户可以使用带有 AES-128 或 AES-256 对称加密密钥的标准 IPSEC(互联网密钥交换 (IKE) 和 IPSEC SA)、完整性哈希的 SHA-1 或 SHA-256 以及 DH 组(第 1 阶段为 2,14-18、22、23 和 24;第 2 阶段为 1,2,5、14-18、22、23 和 24)来设置传输中的加密。
经纪人阶段
在收到 OAuth 2.0 令牌(如果身份验证成功,则来自身份验证网关)后,桌面客户端将使用 HTTPS 查询亚马逊 WorkSpaces 服务(代理连接管理器)。桌面客户端通过发送 OAuth 2.0 令牌进行身份验证,因此,客户端会收到流媒体网关的 WorkSpaces 端点信息。
直播阶段
桌面客户端请求打开与流媒体网关的 PCoIP 会话(使用 OAuth 2.0 令牌)。此会话采用 AES-256 加密,使用 PCoIP 端口进行通信控制 (4172/TCP)。
流媒体网关使用 OAuth2.0 令牌,通过 HTTPS 向亚马逊 WorkSpaces服务请求用户特定的 WorkSpaces 信息。
流媒体网关还接收来自客户端的 TGT(使用客户端用户的密码进行加密),通过使用 Kerberos TGT 直通,网关使用用户检索到的 Kerberos TGT 在上启动 Windows 登录。 WorkSpace
WorkSpace 然后,使用标准的 Kerberos 身份验证向已配置的 AWS Directory Service 发起身份验证请求。
成功登录后,PCoIP 直播开始。 WorkSpace 连接由客户端在端口 TCP 4172 上启动,返回流量通过端口 UDP 4172 发起。此外,流媒体网关和 WorkSpaces 桌面之间通过管理接口的初始连接是通过 UDP 55002 进行的。(请参阅文档,了解 A mazon 的 IP 地址和端口要求 WorkSpaces。 初始出站 UDP 端口为 55002。) 使用端口 4172(TCP 和 UDP)的流媒体连接使用 AES 128 位和 256 位密码进行加密,但默认为 128 位。客户可以主动将其更改为 256 位,方法是使用适用于 Windows WorkSpaces 的 PCoip 特定的 AD 组策略设置,也可以使用亚马逊 Linux 的 pcoip-agent.conf 文件。 WorkSpaces有关 Amazon 组策略管理的更多信息 WorkSpaces,请参阅文档。
网络接口
每个 Amazon WorkSpace 都有两个网络接口,分别称为主网络接口和管理网络接口。
主网络接口提供与客户 VPC 内部资源的连接,例如访问 AWS Directory Service、互联网和客户公司网络。可以将安全组附加到该主网络接口。从概念上讲,根据部署范围对附加到此 ENI 的安全组进行区分: WorkSpaces 安全组和 ENI 安全组。
管理网络接口
无法通过安全组控制管理网络接口;但是,客户可以使用基于主机的防火墙 WorkSpaces 来屏蔽端口或控制访问。我们不建议对管理网络接口施加限制。如果客户决定添加基于主机的防火墙规则来管理此接口,则应打开几个端口,以便 Amazon WorkSpaces 服务可以管理该接口的运行状况和可访问性。 WorkSpace有关更多信息,请参阅《Amazon Workspaces 管理指南》中的网络接口。
WorkSpaces 安全组
默认安全组是按照 Directory Servic AWS e 创建的,该安全组会自动附加到属于 WorkSpaces 该特定目录的所有安全组。
与许多其他 AWS 服务一样 WorkSpaces,Amazon也使用安全组。当您向该 WorkSpaces 服务注册目录时,Amazon WorkSpaces 会创建两个 AWS 安全组。一个用于目录控制器 directoryID_Controllers,另一个用于目录 directoryID_workspacesMembers WorkSpaces 中。请勿删除其中任何一个安全组,否则您的安全组 WorkSpaces 将受到损害。默认情况下, WorkSpaces 成员安全组的出口开放至 0.0.0.0/0。您可以将默认 WorkSpaces安全组添加到目录中。将新的安全组与 WorkSpaces 目录关联后 WorkSpaces ,您启动的新安全组或重建 WorkSpaces 的现有安全组将拥有新的安全组。您也可以将这个新的默认安全组添加到现有安全组中, WorkSpaces 而无需对其进行重建。当您将多个安全组与一个 WorkSpaces 目录关联时,请将每个安全组中的规则 WorkSpaces聚合为一组规则。建议尽可能精简您的安全组规则。有关安全组的更多信息,请参阅 Amazon VPC 用户指南中的您的 VPC 的安全组。
有关向 WorkSpaces 目录中添加安全组或现有安全组的更多信息 WorkSpace,请参阅WorkSpaces 管理员指南。
一些客户希望限制 WorkSpaces 流量可以输出的端口和目的地。要限制来自的出站流量 WorkSpaces,必须确保保留服务通信所需的特定端口;否则,您的用户将无法登录其 WorkSpaces端口。
WorkSpaces 在 WorkSpace 登录期间,使用客户 VPC 中的弹性网络接口 (ENI) 与域控制器通信。要允许您的用户 WorkSpaces 成功登录,您必须允许以下端口访问您的域控制器或 CIDR 范围,包括您的域控制器在 _workspacesMembers 安全组中。
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos 身份验证
-
TCP/UDP 389 — LDAP
-
TCP/UDP 445 - SMB
-
TCP 3268-3269 – 全局目录
-
TCP/UDP 464-Kerberos 密码更改
-
TCP 139 - Netlogon
-
UDP 137-138 - Netlogon
-
UDP 123 - NTP
-
TCP/UDP 49152-65535 RPC 的临时端口
如果您 WorkSpaces 需要访问其他应用程序、互联网或其他位置,则需要在 _workspacesMembers 安全组中以 CIDR 表示法允许这些端口和目的地。如果您不添加这些端口和目的地,则除了上面列出的端口之外, WorkSpaces 将无法到达其他任何地方。最后一个考虑因素是,默认情况下,新的安全组没有入站规则。因此,在您向安全组添加入站规则之前,不允许来自另一台主机的入站流量传输到您的实例。只有当您想要限制来自的出站流量 WorkSpaces或将入口规则锁定为仅应有权访问它们的资源或 CIDR 范围时,才需要执行上述步骤。
注意
新关联的安全组将仅附加到修改后 WorkSpaces 创建或重建的安全组。
ENI 安全组
由于主网络接口是常规 ENI,因此可以使用不同的 AWS 管理工具对其进行管理。有关更多信息,请参阅弹性网络接口。导航到 WorkSpace IP 地址(在亚马逊 WorkSpaces 控制台的 WorkSpaces 页面中),然后使用该 IP 地址作为筛选条件来查找相应的 ENI(在 Amazon EC2 控制台的 “网络接口” 部分中)。
找到弹性网卡后,即可由安全组直接对其进行管理。手动为主网络接口分配安全组时,请考虑 Amazon 的端口要求 WorkSpaces。有关更多信息,请参阅《Amazon Workspaces 管理指南》中的网络接口。
网络访问控制列表 (ACL)
由于管理另一个防火墙会增加复杂性,网络 ACL 通常用于非常复杂的部署,通常不用作最佳实践。由于网络 ACL 连接到 VPC 中的子网,因此其功能集中在 OSI 模型的第 3 层(网络)。由于 Amazon WorkSpaces 是基于目录服务设计的,因此必须定义两个子网。网络 ACL 与目录服务分开管理,因此网络 ACL 很可能只能分配给一个 “已分配 WorkSpaces” 子网。
当需要无状态防火墙时,网络 ACL 是确保安全的最佳实践。作为最佳实践,确保对网络 ACL 所做的任何超出默认设置的更改均按子网进行验证。如果网络 ACL 的性能未达到预期,请考虑使用 VPC 流日志来分析流量。
AWS 网络防火墙
AWS Network Fi@@ rewall
Network Fire AWS wall 的部署是围绕现有的 EUC 设计设计而设计的。单个 VPC 设计可以实现简化的架构,其子网用于防火墙端点和单独的 Internet 出口路由注意事项,而多个 VPC 设计可以从带有防火墙和传输网关端点的整合检查 VPC 中受益匪浅。
设计场景
场景 1:基本实例锁定
默认 WorkSpaces 安全组不允许任何入站流量,因为默认情况下,安全组会被拒绝,并且是有状态的。这意味着无需配置其他配置即可进一步保护 WorkSpaces 实例本身。考虑允许所有流量的出站规则,以及是否符合用例。例如,最好拒绝所有发往端口 443 的出站流量到任何地址,以及适合端口用例的特定 IP 范围,例如 LDAP 的 389、LDAPS 的 636、SMB 的 445 等;但请注意,环境的复杂性可能需要多条规则,因此可以通过网络 ACL 或防火墙设备更好地提供服务。
场景 2:入库异常
虽然这不是一个固定的要求,但有时网络流量可能会被发起入站 WorkSpaces。例如,在 WorkSpaces 客户端无法连接时对实例进行分类需要其他远程连接。在这些情况下,最好暂时启用客户 ENI 安全组的入站 TCP 3389。 WorkSpace
另一种情况是组织脚本,它执行由集中式实例启动的清单或自动化功能的命令。可以永久配置该端口上来自入站上那些特定集中式实例的流量,但是,最佳做法是在附加到目录配置的其他安全组上执行此操作,因为它可以应用于 AWS 账户中的多个部署。
最后,有些网络流量不是基于状态的,需要在入站例外中指定临时端口。如果查询和脚本失败,则在确定连接失败的根本原因时,最好允许临时端口,至少是暂时允许使用临时端口。
场景 3:单个 VPC 检查
简化的部署 WorkSpaces (例如没有扩展计划的单个 VPC)不需要单独的 VPC 进行检查,因此可以通过 VPC 对等互连来简化与其他 VPC 的连接。但是,必须为防火墙端点创建单独的子网,为这些端点配置路由以及 Internet Gateway (IGW) 出口路由,否则无需配置。如果所有子网都使用整个 VPC CIDR 块,则现有部署可能没有可用的 IP 空间。在这些情况下,方案 4 可能效果更好,因为部署已经超出了其初始设计。
场景 4:集中检查
在一个 AWS 区域的多个 EUC 部署中通常是首选,它简化了 AWS 网络防火墙有状态和无状态规则的管理。现有的 VPC 对等体将被传输网关所取代,因为这种设计需要使用 Transit Gateway 附件以及只能通过这些附件配置的检查路由。此外,还可以对这种配置进行更大程度的控制,从而实现超出默认 WorkSpaces 体验的安全性。
已加密 WorkSpaces
每个亚马逊 WorkSpace 都配置了一个根卷(Windows 版 C:驱动器 WorkSpaces,亚马逊 Linux 为根盘 WorkSpaces)和一个用户卷(D:Windows 驱动器 WorkSpaces,/home 用于亚马逊 Linux WorkSpaces)。加密 WorkSpaces 功能允许对一个或两个卷进行加密。
什么是加密?
静态存储的数据、卷的磁盘输入/输出 (I/O) 以及从加密卷创建的快照都经过加密。
什么时候会加密?
在启动(创建)时 WorkSpace 应指定对的加密 WorkSpace。 WorkSpaces 只能在启动时对卷进行加密:启动后,无法更改卷加密状态。下图显示了在新版本发布期间用于选择加密的 Amazon WorkSpaces 控制台页面 WorkSpace。
新版是如何 WorkSpace 加密的?
客户可以从亚马逊 WorkSpaces 控制台或 AWS CLI在客户启动新产品时使用亚马逊 WorkSpaces API 选择 “加密” WorkSpaces 选项 WorkSpace。
为了加密卷,Amazon WorkSpaces 使用 AWS Key Management Service (AWS KMS) 中的 CMK。在区域中首次启动时会创建默认 AWS KMS CMK。 WorkSpace (CMK 具有区域范围。)
客户还可以创建客户托管的 CMK 以与加密一起使用。 WorkSpacesCMK 用于加密 Amazon WorkSpaces 服务用于加密每个 WorkSpace 卷的数据密钥。(严格来说,Amazon EBS
注意
不支持使用加密 WorkSpace 镜像创建自定义镜像。此外,在启用根卷加密的情况下 WorkSpaces启动最多可能需要一个小时才能进行配置。
有关 WorkSpaces 加密过程的详细说明,请参阅 Amazon 的 WorkSpaces 使用方式 AWS KMS。考虑如何监控 CMK 的使用,以确保加密请求得到 WorkSpace 正确处理。有关 AWS KMS 密钥和数据密钥的更多信息,请参阅AWS KMS
页面
访问控制选项和可信设备
Amazon WorkSpaces 为客户提供了管理哪些客户端设备可以访问的选项 WorkSpaces。客户只能限制对可信设备的 WorkSpaces 访问。允许 WorkSpaces 使用数字证书从 macOS 和微软 Windows 电脑上进行访问。它还可以允许或阻止 iOS、Android、Chrome 操作系统、Linux 和零客户端以及 WorkSpaces Web Access 客户端的访问。借助这些功能,它可以进一步改善安全状况。
新部署启用了访问控制选项,允许用户 WorkSpaces 从 Windows、macOS、iOS、安卓、ChromeOS 和 Zero Client 上的客户端访问他们的客户端。默认情况下,新 WorkSpaces 部署不启用使用 Web Access 或 Linux WorkSpaces 客户端进行访问,需要启用。
如果对来自可信设备(也称为托管设备)的企业数据访问有限制,则可以将 WorkSpaces 访问权限限制为具有有效证书的可信设备。启用此功能后,Amazon 将 WorkSpaces 使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信,则会阻止尝试登录或从该设备重新连接的尝试。
可信设备支持适用于以下客户端:
-
Google Play
上的亚马逊 WorkSpaces 安卓客户端应用程序,可在兼容安卓和安卓的 Chrome 操作系统 设备上运行 -
在 WorkSpaces macOS 设备上运行的亚马逊 macOS 客户端应用程序
-
WorkSpaces 在 Windows 设备上运行的亚马逊 Windows 客户端应用程序
有关控制哪些设备可以访问的更多信息 WorkSpaces,请参阅限制对可信设备的 WorkSpaces 访问。
注意
可信设备的证书仅适用于亚马逊 WorkSpaces Windows、macOS 和安卓客户端。此功能不适用于 Amazon WorkSpaces Web Access 客户端或任何第三方客户端,包括但不限于 Teradici PCoIP 软件和移动客户端、Teradici PCoIP 零客户端、RDP 客户端和远程桌面应用程序。
IP 访问控制组
使用基于 IP 地址的控制组,客户可以定义和管理可信 IP 地址组,并允许用户 WorkSpaces 仅在连接到可信网络时才能访问这些地址。此功能可帮助客户更好地控制自己的安全状况。
可以在 WorkSpaces 目录级别添加 IP 访问控制组。有两种方法可以开始使用 IP 访问控制组。
-
IP 访问控制页面-通过 WorkSpaces 管理控制台,可以在 IP 访问控制页面上创建 IP 访问控制组。通过输入可以访问的 IP 地址或 IP 范围, WorkSpaces 可以将规则添加到这些组中。然后,可以将这些组添加到更新详细信息页面上的目录中。
-
Workspace WorkSpaces AP I — API 可用于创建、删除和查看群组;创建或删除访问规则;或在目录中添加和删除群组。
有关在 Amazon WorkSpaces 加密过程中使用 IP 访问控制组的详细说明,请参阅您的 IP 访问控制组 WorkSpaces。
使用 Amazon 进行监控或记录 CloudWatch
监控网络、服务器和日志是任何基础架构不可或缺的一部分。部署 Amazon 的客户 WorkSpaces 需要监控其部署,特别是个人的整体运行状况和连接状态 WorkSpaces。
以下各项的亚马逊 CloudWatch 指标 WorkSpaces
CloudWatch 的指标旨在 WorkSpaces 为管理员提供对个人整体运行状况和连接状态的更多见解 WorkSpaces。在给定目录中 WorkSpace,可以按组织 WorkSpaces 中的每个组织提供或汇总指标。
与所有指标一样,这些 CloudWatch 指标可以在中查看 AWS Management Console (如下图所示),通过 CloudWatch API 进行访问,也可以通过 CloudWatch 警报和第三方工具进行监控。
默认情况下,以下指标处于启用状态,且无需支付额外费用即可使用:
-
可用 — WorkSpaces 对状态检查的响应计入此指标。
-
不健康 — 未 WorkSpaces对相同状态检查做出响应的计入此指标。
-
ConnectionAttempt— 尝试连接的次数 WorkSpace。
-
ConnectionSuccess— 成功连接尝试的次数。
-
ConnectionFailure— 连接尝试失败的次数。
-
SessionLaunchTime— 启动会话所花费的时间,由 WorkSpaces 客户端测量。
-
InSessionLatency— 客户与 WorkSpaces 客户测量和 WorkSpaces报告的往返时间。
-
SessionDisconnect— 用户发起和自动关闭的会话数。
此外,还可以创建警报,如下图所示。
适用于 Amazon CloudWatch 的活动 WorkSpaces
来自 Amazon Events CloudWatch 的事件可用于查看、搜索、下载、存档、分析和响应成功登录。 WorkSpaces该服务可以监控用户登录的客户端 WAN IP 地址、操作系统、ID 和目录 ID 信息。 WorkSpaces WorkSpaces例如,它可以将事件用于以下目的:
-
将 WorkSpaces 登录事件存储或存档为日志,以备将来参考,分析日志以寻找模式,然后根据这些模式采取行动。
-
使用 WAN IP 地址确定用户从何处登录,然后使用策略仅允许用户访问 WorkSpaces 符合访问 CloudWatch 事件类型中找到的访问标准的文件或数据。WorkSpaces
-
使用策略控制阻止未经授权的 IP 地址访问文件和应用程序。
有关如何使用 CloudWatch 事件的更多信息,请参阅 Amazon CloudWatch Events 用户指南。要了解有关 CloudWatch 事件的更多信息 WorkSpaces,请参阅 WorkSpaces 使用 Cloudwatch 事件监控您的。
YubiKey 对 Amazon 的支持 WorkSpaces
为了增加额外的安全层,客户通常会选择使用多因素身份验证来保护工具和网站。有些客户选择使用 Yubic YubiKey o 来执行此操作。亚马逊同时 WorkSpaces 支持一次性密码 (OTP) 和 FIDO U2F 身份验证协议。 YubiKeys
Amazon WorkSpaces 目前支持 OTP 模式,管理员或最终用户无需执行任何其他步骤即可 YubiKey 使用 OTP。用户可以将其 YubiKey 连接到计算机,确保键盘聚焦在计算机上 WorkSpace (特别是在需要输入 OTP 的字段中),然后触摸计算机上的金色触点。YubiKey YubiKey 将自动在所选字段中输入 OTP。
要使用带有 YubiKey 和的 FIDO U2F 模式 WorkSpaces,需要执行其他步骤。确保您的用户获得以下支持的 YubiKey 模型之一,以便通过以下方式使用 U2F 重定向: WorkSpaces
-
YubiKey 4
-
YubiKey 5 NFC
-
YubiKey 5 Nano
-
YubiKey 5C
-
YubiKey 5C Nano
-
YubiKey 5 NFC
为 U2F 启用 USB 重定 YubiKey 向
默认情况下,PCoIP 的 USB 重定向处于禁用状态 WorkSpaces;要使用 U2F 模式 YubiKeys,必须将其启用。
-
确保已安装最新的 PCoIP WorkSpaces组策略管理模板(32 位)或 PCoIP(64 位)的WorkSpaces组策略管理模板(64 位)。
-
在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 PC oIP 会话变量。
-
要允许用户覆盖您的设置,请选择可覆盖的管理员默认值。否则,请选择 “管理员默认值不可覆盖”。
-
打开启用/禁用 PCoIP 会话的 USB 设置。
-
选择启用,然后选择确定。
-
打开配置 PCoIP USB 允许和不允许的设备规则设置。
-
选择启用,然后在输入 USB 授权表(最多十条规则)下,配置您的 USB 设备允许列表规则。
-
授权规则 - 110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID 组合的格式为
1xxxxyyyy
,其中是十六进制格式的 VID,xxxx
是十六进制格式yyyy
的 PID。在本例中,1050 是 VID,0407 是 PID。如需了解更多 YubiKey USB 值,请参阅 YubiKeyUSB ID 值。
-
-
在 “输入 USB 授权表(最多十条规则)” 下,配置您的 USB 设备黑名单规则。
-
对于取消授权规则,设置一个空字符串。这意味着仅允许授权列表中的 USB 设备。
注意
您最多可以定义 10 条 USB 授权规则和最多 10 条 USB 取消授权规则。使用竖线 (|) 字符分隔多个规则。有关授权/取消授权规则的详细信息,请参阅 Terad
ici PCoIP Windows 标准代理
-
-
选择确定。
-
组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:
-
重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作,重启 WorkSpaces)。
-
在管理命令提示符下,输入 gpupdate /force。
-
-
设置生效后,除非通过 USB 设备规则设置配置了限制, WorkSpaces 否则所有支持的 USB 设备都可以重定向到。
为 U2F 启用 USB 重定向后,你就可以在 YubiKey Fido U2F 模式下使用你的 YubiKey USB 重定向。