本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全性
雲端安全是 Amazon Web Services (AWS) 最重視的一環。安全與合規是 AWS 和客戶之間共同的責任。如需詳細資訊,請參閱共用責任模型
由於其短暫性質, AppStream 2.0 通常是應用程序和桌面交付的安全解決方案的首選。請考慮在使用者工作階段結束時,Windows 部署中常見的防毒解決方案是否與您的使用案例相關。防毒軟體會增加虛擬化執行個體的額外負荷,使其成為減輕不必要活動的最佳做法。例如,在開機時掃描系統磁碟區 (這是暫時的) 並不會增加 2.0 的整體安全性。 AppStream
安全 AppStream 2.0 的兩個關鍵問題集中在:
-
持續使用者狀態超出會話是否需要?
-
用戶在會話中應該有多少訪問權限?
保護持久性資料
AppStream 2.0 的部署可能需要使用者狀態以某種形式持續存在。這可能是為個別使用者保留資料,或是保留資料以便使用共用資料夾進行協同作業。 AppStream2.0 執行個體儲存是暫時的,且沒有加密選項。
AppStream 2.0 透過 Amazon S3 中的主資料夾和應用程式設定,提供使用者狀態持續性。某些使用案例需要更好地控制使用者狀態持續性。針對這些使用案例,AWS建議使用伺服器訊息區 (SMB) 檔案共用。
使用者狀態和資料
由於大多數 Windows 應用程式在與使用者建立的應用程式資料共置時執行最佳且最安全,因此最佳作法是將此資料保存在與 AppStream 2.0 叢集AWS 區域相同的狀態。加密此資料是最佳做法。使用者主資料夾的預設行為是使用來自金鑰管理服務的 Amazon S3 受管加密金鑰來加密靜態檔案和資料夾 () AWS KMS。AWS請務必注意,具有AWS主控台或 Amazon S3 儲存貯體存取權的AWS管理使用者將能夠直接存取這些檔案。
在需要從 Windows 檔案共用伺服器訊息區 (SMB) 目標來儲存使用者檔案和資料夾的設計中,程序會自動或需要設定。
表 5 — 保護使用者資料的選項
|
中小企目標 |
E ncryption-at-rest | E ncryption-in-transit |
防毒軟體 (AV) |
|---|---|---|---|
| FSx for Windows File Server | 透過 AWS KMS 自動化 | 透過 SMB 自動加密 |
安裝在遠程實例上的 AV 在映射驅動器上執行掃描 |
|
檔案閘道、S AWS torage Gateway |
根據預設,S3 AWS Storage Gateway 中存放的所有資料都會使用 Amazon S3 受管加密金鑰 (SSE-S3) 在伺服器端加密。您可以選擇性地設定不同的閘道類型,使用 AWS Key Management Service (KMS) 加密儲存的資料 | 在任何類型的閘道設備和AWS儲存裝置之間傳輸的所有資料均使用 SSL 加密。 |
安裝在遠程實例上的 AV 在映射驅動器上執行掃描 |
| 基於 EC2 的視窗檔案伺服器 | 啟用 EBS 加密 |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
伺服器上安裝的 AV 在本機磁碟機上執行掃描 |
端點安全性和防毒
Amazon AppStream 2.0 執行個體的短暫性質以及缺乏資料持續性,表示需要採用不同的方法,以確保持續性桌面上需要的活動不會影響使用者體驗和效能。當有組織政策或與外部資料輸入 (例如電子郵件、檔案輸入、外部網頁瀏覽) 搭配使用時,Endpoint Security 代理程式會安裝在 AppStream 2.0 映像檔中。
移除唯一識別碼
端點安全性代理程式可能具有全域唯一識別碼 (GUID),必須在叢集執行個體建立程序期間重設。供應商有關於在映像中安裝其產品的說明,這將確保為從映像生成的每個實例生成新的 GUID。
若要確保不會產生 GUID,請先安裝 Endpoint Security 代理程式做為最後一個動作,然後再執行 AppStream 2.0 助理程式來產生映像。
效能最佳化
端點安全供應商提供可最佳化 AppStream 2.0 效能的交換器和設定。這些設定因廠商而異,可以在他們的文件中找到,通常可以在 VDI 的一節中找到。一些常見的設定包括但不限於:
-
關閉開機掃描,確保執行個體的建立、啟動和登入時間降至最低
-
關閉排程掃描以避免不必要的掃描
-
關閉簽章快取以防止檔案列舉
-
啟用 VDI 最佳化 IO 設定
-
應用程式為了確保效能所需的排除
端點安全性廠商會提供可最佳化效能的虛擬桌面環境使用說明。
-
趨勢科技辦公室掃瞄 Sup port 虛擬桌面基礎架構-Apex One OfficeScan
-
CrowdStrike 以及如何在數據中心安裝 CrowdStrike 獵鷹
-
Sophos 和 Sophos Central 端點:如何在金級映像上安裝以避免重複的身分識別
和 Sophos Central:在虛擬桌面環境中安裝 Windows 端點時的最佳做法 -
McAfee 虛擬桌面基礎架構系統上的McAfee 代理程式佈建和部署
-
Microsoft 端點安全性和為非持久性 VDI 機器配置 Microsoft 防禦者防病毒軟件-Microsoft
技術社區
掃描排除
如果安全性軟體安裝在 AppStream 2.0 執行個體中,則安全性軟體不得干擾下列程序。
表 6- AppStream 2.0 進程安全軟件不得干擾以下過程。
| 服務 | Processes |
|---|---|
| AmazonCloudWatchAgent | 「C:\Program 文件\ 亞馬遜\AmazonCloudWatchAgent\ 開始-亞馬遜-cloudwatch-agent.exe」 |
| AmazonSSMAgent | 「C:\Program 文件\ 亞馬遜\ SSM\ amazon-ssm-agent .exe」 |
| NICE DCV | 「C:\Program 文件\ 尼斯\ DCV\ 服務器\ 斌\ dcvserver.exe」「C:\Program 文件\ 尼斯\ DCV\ 服務器\ 斌\ dcvagent.exe」 |
| AppStream 2.0 |
「C:\ProgramFiles\ 亞馬遜\ AppStream 2\StorageConnector\ StorageConnector .exe 文件」 在文件夾「C:\Program 文件\ 亞馬遜\ 光子\」 「。 \ 代理程式\ PhotonAgent .exe」 「。 \WebServer\ PhotonAgentWebServer .exe」 「。 \CustomShell\ PhotonWindowsAppSwitcher .exe」 「。 \CustomShell\ PhotonWindowsCustomShell .exe」 「。 \CustomShell\ PhotonWindowsCustomShellBackground .exe」 |
資料夾
如果安全性軟體安裝在 AppStream 2.0 執行個體中,則軟體不得干擾下列資料夾:
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
端點安全主控台衛生
每當使用者在閒置和中斷連線逾時之外連線時,Amazon AppStream 2.0 都會建立新的唯一執行個體。執行個體將具有唯一的名稱,並會建立在端點安全性管理套件中。將未使用的過時機器設定為超過 4 天 (或更低,視 AppStream 2.0 工作階段逾時而定),將主控台中過期的執行個體數量降至最低。
網路排除
AppStream 2.0 執行個體內的任何安全性/防火牆或防毒解決方案不應封鎖 AppStream 2.0 管理網路範圍 (198.19.0.0/16) 及下列連接埠和位址。
表 7 — AppStream 2.0 串流執行個體安全性軟體中的連接埠不得干擾
| 連接埠 |
用途 |
|---|---|
| 8300, 3128 |
這是用來建立串流連線 |
| 8000 |
這用於通過 AppStream 2.0 管理流實例 |
| 8443 |
這用於通過 AppStream 2.0 管理流實例 |
| 53 |
DNS |
表 8 — AppStream 2.0 受管理服務位址安全性軟體不得干擾
| 連接埠 | 用途 |
|---|---|
| 169.254.169.123 | NTP |
| 169.254.169.249 | 網格授權服務 |
| 169.254.169.250 | KMS |
| 169.254.169.251 | KMS |
| 169.254.169.253 | DNS |
| 169.254.169.254 | 中繼資料 |
保護 AppStream 工作階段
限制應用程式和作業系統控制
AppStream 2.0 讓管理員能夠準確指定在應用程式串流模式下可從網頁啟動的應用程式。但是,這並不保證只能執行那些指定的應用程式。
Windows 實用程序和應用程序可以通過其他方式通過操作系統啟動。 AWS建議您使 AppLocker用 Microsoft
注意
視窗伺服器 2016 和 2019 需要執行視窗應用程式識別服務才能強制執行 AppLocker 規則。在AppStream 管理指南中詳細介紹了從 AppStream 2.0 使用 Microsoft AppLocker 的應用程序訪問。
對於加入 Active Directory 網域的叢集執行個體,請使用群組原則物件 (GPO) 來提供使用者和系統設定,以保護使用者應用程式和資源存取的安全。
防火牆和路由
建立 AppStream 2.0 叢集時,必須指派子網路和安全性群組。子網路具有網路存取控制清單 (NACL) 和路由表的現有指派。在啟動新映像產生器時,您最多可以關聯五個安全性群組,或在建立新叢集安全群組時,最多可以有五個來自現有安全性群組的指派。針對每個安全性群組,您可以新增規則來控制執行個體傳出和傳入網路流量的傳出和輸入網路流量
NACL 是 VPC 的選用安全層,可做為無狀態防火牆,用於控制一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需有關安全性群組和網路 ACL 之間差異的詳細資訊,請參閱比較安全性群組和 NACL 頁面。
在設計和套用安全群組和 NACL 規則時,請考慮採用最低權限的 AWS Well-Architected 的最佳實務。最小權限是僅授予完成任務所需權限的原則。
對於擁有將內部部署環境連接到 AWS 的高速私有網路 (透過 AWS Direct Connect) 的客戶,您可以考慮使用 VPC 端點 AppStream,這表示串流流量將透過您的私有網路連線進行路由,而不是透過公用網際網路進行路由。如需此主題的詳細資訊,請參閱本文件的 AppStream 2.0 串流介面 VPC 端點一節。
資料外洩防護
我們將看看兩種數據丟失防護。
用戶端至 AppStream 2.0 執行個體資料傳輸控制
表 9 — 控制資料輸入和輸出的指引
| 設定 | 選項 | 指引 |
|---|---|---|
| 剪貼簿 |
|
停用此設定並不會停用工作階段內的複製和貼上功能。如果需要將資料複製到工作階段,請選擇「僅貼到遠端工作階段」,將資料外洩的可能性降到最低。 |
| 檔案傳輸 |
|
避免啟用此設定以防止資料外洩。 |
| 列印至本機裝置 |
|
如果需要列印,請使用由組織控制和監控的網路對應印表機。 |
考慮現有組織資料傳輸解決方案與堆疊設定相比的優勢。這些組態並不是為了取代全方位的安全資料傳輸解決方案而設計。
控制來自 AppStream 2.0 執行個體的輸出流量
如果數據丟失是一個問題,重要的是掩蓋用戶在 AppStream 2.0 實例內可以訪問的內容。網路結束 (或輸出) 路徑是什麼樣子? 在 AppStream 2.0 執行個體內,使用者可以使用公用網際網路存取是一項常見的要求,因此需要考慮在網路路徑中放置 WebProxy 或內容篩選解決方案。其他考量事項包括本機防毒應用程式和 AppStream 執行個體內的其他端點安全性措施 (如需詳細資訊,請參閱「端點安全性與防毒」一節)。
使用AWS服務
AWS Identity and Access Management
使用 IAM 角色存取AWS服務,並在附加的 IAM 政策中具體說明,這是一項最佳做法,只提供 AppStream 2.0 個工作階段中的使用者可以存取,而無需管理其他登入資料。請遵循將 IAM 角色與 AppStream 2.0 搭配使用的最佳做法。
建立 IAM 政策以保護 Amazon S3 儲存貯體,這些儲存貯體是為了將使用者資料保存在主資料夾和應用程式設定持續性中。如此可防止非 AppStream 2.0 系統管理員存取。
VPC 端點
VPC 端點可讓您的 VPC 與受支援的 AWS 服務和採用 AWS PrivateLink 的 VPC 端點服務進行私有連線。AWS PrivateLink 技術可讓您使用私有 IP 地址,以私密的方式存取服務。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。如果僅AWS服務需要公用網際網路存取,則 VPC 端點會完全移除 NAT 閘道和網際網路閘道的需求。
在自動化常式或開發人員需要針對 AppStream 2.0 進行 API 呼叫的環境中,建立 AppStream 2.0 API 作業的介面 VPC 端點。例如,如果私有子網路中有 EC2 執行個體沒有公用網際網路存取權,則 AppStream 2.0 API 的 VPC 端點可用於呼叫 AppStream 2.0 API 作業 (例如 CreateStreaming URL)。下圖顯示範例設定,其中 Lambda 函數和 EC2 執行個體使用 AppStream 2.0 API 和串流 VPC 端點。
VPC 端點
串流 VPC 端點可讓您透過 VPC 端點串流工作階段。此串流界面端點可將串流流量保持在 VPC 內。串流流量包含像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載,以及印表機流量。若要使用 VPC 端點,必須在 AppStream 2.0 堆疊上啟用 VPC 端點設定。這可作為從網際網路存取有限的位置透過公用網際網路串流使用者工作階段的替代方案,並可透過 Direct Connect 執行個體進行存取。透過 VPC 端點串流使用者工作階段需要下列項目:
-
與介面端點相關聯的「安全群組」必須允許從使用者連線的 IP 位址範圍內對連接埠
4431400–1499(TCP) 和連接埠 (TCP) 進行輸入存取。 -
子網路的「網路存取控制清單」必須允許從暫時網路連接埠
1024-65535(TCP) 到使用者連線的 IP 位址範圍的輸出流量。 -
需要網際網路連線才能驗證使用者並提供 AppStream 2.0 運作所需的 Web 資產。
若要進一步了解如何使用 AppStream 2.0 限制AWS服務流量,請參閱從 VPC 端點建立和串流的管理指南。
當需要完整的公用網際網路存取時,最佳作法是停用 Image Builder 上的 Internet Explorer 增強型安全性設定 (ESC)。如需詳細資訊,請參閱 AppStream 2.0 系統管理指南,以停用 Internet Explorer 增強型安全性設定。
