本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全
雲端安全是 Amazon Web Services (AWS) 最重視的一環。安全性和合規性是 AWS 和 客戶之間的共同責任。如需詳細資訊,請參閱 共同責任模型
由於其短暫性質, AppStream 2.0 通常偏好作為應用程式和桌面交付的安全解決方案。考慮 Windows 部署中常用的防毒解決方案是否與使用者工作階段結束時預先定義和清除的環境的使用案例相關。Antivirus 為虛擬化執行個體增加額外負荷,因此這是減輕不必要的活動的最佳實務。例如,在開機時掃描系統磁碟區 (短暫) 不會增加 AppStream 2.0 的整體安全性。
安全性 AppStream 2.0 的兩個關鍵問題以下列為中心:
-
持續使用者狀態超過工作階段是否為一項要求?
-
使用者在工作階段中應該擁有多少存取權?
保護持久性資料
部署 AppStream 2.0 可能需要使用者狀態以某種形式保留。這可能是為個別使用者保留資料,或使用共用資料夾保留資料以進行協作。 AppStream 2.0 執行個體儲存是暫時性的,沒有加密選項。
AppStream 2.0 透過 Amazon S3 中的主資料夾和應用程式設定提供使用者狀態持續性。某些使用案例需要對使用者狀態持久性有更好的控制。對於這些使用案例, AWS 建議使用伺服器訊息區塊 (SMB) 檔案共用。
使用者狀態和資料
由於大多數 Windows 應用程式在與使用者建立的應用程式資料共置時執行最佳且最安全,因此最好將這些資料保留在與 AWS 區域 AppStream 2.0 機群相同的 中。加密此資料是最佳實務。使用者主資料夾的預設行為是使用金鑰 AWS 管理服務 () 中的 Amazon S3-managed加密金鑰,加密靜態檔案和資料夾AWS KMS。請務必注意,具有 AWS 主控台或 Amazon S3 儲存貯體存取權的 AWS 管理使用者將能夠直接存取這些檔案。
在需要來自 Windows File Share 的伺服器訊息區塊 (SMB) 目標來存放使用者檔案和資料夾的設計中,此程序為自動或需要組態。
表 5 — 保護使用者資料的選項
|
SMB 目標 |
Encryption-at-rest | Encryption-in-transit |
防毒 (AV) |
|---|---|---|---|
| FSx 適用於 Windows File Server | 自動通過 AWS KMS | 透過SMB加密自動執行 |
安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描 |
|
檔案閘道、 AWS Storage Gateway |
根據預設,儲存在 S3 AWS Storage Gateway 中的所有資料都會使用 Amazon S3-Managed加密伺服器端。SSE-S3 您可以選擇性地設定不同的閘道類型,以使用 AWS Key Management Service (KMS) 加密儲存的資料 | 在任何類型的閘道設備與 AWS 儲存體之間傳輸的所有資料都會使用 加密SSL。 |
安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描 |
| EC2以 為基礎的 Windows File Server | 啟用EBS加密 |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
安裝在伺服器上的 AV 會在本機磁碟機上執行掃描 |
端點安全和防毒
Amazon AppStream 2.0 執行個體的短暫性質和資料缺乏持久性,意味著需要不同的方法,以確保使用者體驗和效能不會因持久性桌面上所需的活動而受到影響。有組織政策或搭配外部資料輸入使用時,例如電子郵件、檔案傳入、外部 Web 瀏覽時,Endpoint Security 代理程式會安裝在 AppStream 2.0 映像中。
移除唯一識別碼
Endpoint Security 代理程式可能具有全域唯一識別碼 (GUID),必須在機群執行個體建立過程中重設。供應商在映像中安裝其產品的指示,可確保為每個從映像產生的執行個體GUID產生新的 。
若要確保GUID未產生 ,請先安裝 Endpoint Security 代理程式作為最後一個動作,再執行 AppStream 2.0 Assistant 來產生映像。
效能最佳化
Endpoint Security Vendors 提供最佳化 AppStream 2.0 效能的交換器和設定。這些設定會因廠商而異,您可以在其文件中找到,通常是在 的 區段中VDI。某些常見設定包括但不限於:
-
關閉開機掃描,以確保執行個體建立、啟動和登入時間最小化
-
關閉排程掃描以防止不必要的掃描
-
關閉簽章快取以防止檔案列舉
-
啟用VDI最佳化的 IO 設定
-
應用程式為確保效能所需的排除項目
端點安全供應商提供與虛擬桌面環境搭配使用的指示,以最佳化效能。
-
趨勢科技 Office Scan Support for Virtual Desktop Infrastructure - Apex One/OfficeScan (trendmicro.com)
-
CrowdStrike 以及如何在資料中心安裝 CrowdStrike Falcon
-
Sophos 和 Sophos 中央端點:如何在黃金映像上安裝 ,以避免重複的身分
,以及 Sophos 中央:在虛擬桌面環境中安裝 Windows 端點時的最佳實務 -
McAfee McAfee 在虛擬桌面基礎設施系統上佈建和部署 和 代理
程式 -
Microsoft Endpoint Security 和為非持久性VDI機器設定 Microsoft Defender Antivirus - Microsoft Tech Community
掃描排除項目
如果在 AppStream 2.0 執行個體中安裝安全軟體,則安全軟體不得干擾下列程序。
表 6 — AppStream 2.0 處理安全軟體時,不得干擾下列程序。
| 服務 | Processes |
|---|---|
| AmazonCloudWatchAgent | "C:\Program Files\AmazonAmazonCloudWatchAgent\start-amazon- cloudwatch-agent.exe" |
| AmazonSSMAgent | "C:\Program Files\AmazonSSM\amazon-ssm-agent.exe" |
| NICE DCV | "C:\Program FilesNICE\DCV\Server\bin\dcvserver.exe" "C:\Program Files\NICE\DCV\Server\bin\dcvagent.exe" |
| AppStream 2.0 |
"C:ProgramFiles\Amazon\AppStream2StorageConnector\StorageConnector.exe" 在資料夾 "C:\Program Files\Amazon\Photon\" 中 "。\Agent\PhotonAgent.exe" "。\Agent\s5cmd.exe" "。\WebServer\PhotonAgentWebServer.exe" "。\CustomShell\PhotonWindowsAppSwitcher.exe" "。\CustomShell\PhotonWindowsCustomShell.exe" "。\CustomShell\PhotonWindowsCustomShellBackground.exe" |
資料夾
如果在 AppStream 2.0 執行個體中安裝安全軟體,則軟體不得干擾下列資料夾:
C:\Program Files\Amazon\* C:\ProgramData\Amazon\* C:\Program Files (x86)\AWS Tools\* C:\Program Files (x86)\AWS SDK for .NET\* C:\Program Files\NICE\* C:\ProgramData\NICE\* C:\AppStream\* C:\Program Files\Internet Explorer\* C:\Program Files\nodejs\
端點安全主控台衛生
每次使用者連線超過閒置和中斷連線逾時時,Amazon AppStream 2.0 都會建立新的唯一執行個體。執行個體將具有唯一的名稱,並將在端點安全管理 condoles 中建置。將超過 4 天 (或更短時間,視 AppStream 2.0 工作階段逾時而定) 的未使用過時機器設定為刪除,可將主控台中過期執行個體的數量降至最低。
網路排除項目
AppStream 2.0 管理網路範圍 (198.19.0.0/16) 和下列連接埠和地址不應被 AppStream 2.0 執行個體內的任何安全/防火牆或防毒解決方案封鎖。
表 7 — AppStream 2.0 串流執行個體安全軟體中的連接埠不得干擾
| 連接埠 |
用途 |
|---|---|
| 8300、3128 |
這用於建立串流連線 |
| 8000 |
這用於在 AppStream 2.0 之前管理串流執行個體 |
| 8443 |
這用於在 AppStream 2.0 之前管理串流執行個體 |
| 53 |
DNS |
表 8 — AppStream 2.0 受管服務解決安全軟體不得干擾
| 連接埠 | 用途 |
|---|---|
| 169.254.169.123 | NTP |
| 169.254.169.249 | NVIDIA GRID 授權服務 |
| 169.254.169.250 | KMS |
| 169.254.169.251 | KMS |
| 169.254.169.253 | DNS |
| 169.254.169.254 | 中繼資料 |
保護 AppStream 工作階段
限制應用程式和作業系統控制項
AppStream 2.0 可讓管理員指定可以在應用程式串流模式下從網頁啟動哪些應用程式。不過,這並不保證只能執行指定的應用程式。
Windows 公用程式和應用程式可以透過作業系統透過 additional means. AWS recommends 使用 Microsoft AppLocker
注意
Windows Server 2016 和 2019 需要執行 Windows Application Identity 服務才能強制執行 AppLocker 規則。使用 Microsoft 從 AppStream 2.0 取得的應用程式存取權 AppLocker 詳述於 AppStream 管理指南。
對於加入 Active Directory 網域的機群執行個體,請使用群組政策物件 (GPOs) 提供使用者和系統設定,以保護使用者應用程式和資源存取。
防火牆和路由
建立 AppStream 2.0 機群時,必須指派子網路和安全群組。子網路具有網路存取控制清單 (NACLs) 和路由表 () 的現有指派。啟動新映像建置器時,或建立新機群安全群組時,您最多可以關聯五個安全群組,最多可以有五個來自現有安全群組 的指派。針對每個安全群組,您可以新增規則,以控制來自執行個體的傳出和傳入網路流量
NACL 是您的選用安全層VPC,可做為無狀態防火牆,用於控制一或多個子網路的進出流量。您可以設定ACLs具有類似安全群組之規則的網路,以便將額外的安全層新增至您的 VPC。如需安全群組與網路 之間差異的詳細資訊ACLs,請參閱比較安全群組和第 NACLs 頁。
設計和套用安全群組和NACL規則時,請考慮 AWS Well-Architected 最佳實務,以享有最低權限。最低權限是僅授予完成任務所需許可的原則。
對於具有將內部部署環境連線至 AWS(透過 AWS Direct Connect) 的高速私有網路的客戶,您可以考慮使用 的VPC端點 AppStream,這表示串流流量將透過私有網路連線路由,而不是透過公有網際網路。如需此主題的詳細資訊,請參閱本文件的 AppStream 2.0 串流介面VPC端點一節。
資料外洩防護
我們將探討兩種資料外洩預防。
用戶端至 AppStream 2.0 執行個體資料傳輸控制項
表 9 — 控制資料輸入和輸出的指引
| 設定 | 選項 | 指引 |
|---|---|---|
| 剪貼簿 |
|
停用此設定不會停用工作階段中的複製和貼上。如果需要將資料複製到工作階段,請選擇僅貼到遠端工作階段,以將資料洩漏的可能性降至最低。 |
| 檔案傳輸 |
|
避免啟用此設定以防止資料洩漏。 |
| 列印至本機裝置 |
|
如果需要列印,請使用由組織控制和監控的網路映射印表機。 |
考量現有組織資料傳輸解決方案相較於堆疊設定的優點。這些組態並非設計用來取代全面的安全資料傳輸解決方案。
控制來自 AppStream 2.0 執行個體的輸出流量
當資料遺失是問題時,請務必涵蓋使用者在 AppStream 2.0 執行個體內時可以存取的內容。網路結束 (或輸出) 路徑是什麼樣子? 一般要求使用者在其 AppStream 2.0 執行個體內擁有公有網際網路存取,因此需要考慮在網路路徑中放置 WebProxy 或 內容篩選解決方案。其他考量事項包括本機防毒應用程式和 AppStream 執行個體內部的其他端點安全措施 (如需詳細資訊,請參閱「端點安全性和防毒」一節)。
使用 AWS 服務
AWS Identity and Access Management
使用 IAM角色來存取 AWS 服務,並在附加到它的IAM政策中具體化,是最佳實務,僅提供 AppStream 2.0 工作階段中的使用者存取,而無需管理其他憑證。遵循將IAM角色與 AppStream 2.0 搭配使用的最佳實務。
建立IAM政策以保護為在主資料夾和應用程式設定持久性中保留使用者資料而建立的 Amazon S3 儲存貯體。這可防止非 AppStream 2.0 管理員存取。
VPC 端點
VPC 端點可讓您在 VPC 和 支援的 AWS 服務與由 支援的 VPC 端點服務之間進行私有連線 AWS PrivateLink。 AWS PrivateLink 是一種技術,可讓您使用私有 IP 地址來私有存取 服務。您的 VPC與其他 服務之間的流量不會離開 Amazon 網路。如果僅 AWS 服務需要公有網際網路存取,VPC端點會完全移除NAT閘道和網際網路閘道的需求。
在自動化常式或開發人員需要API呼叫 AppStream 2.0 的環境中,為 AppStream 2.0 API操作建立介面VPC端點。例如,如果私有子網路EC2中有執行個體沒有公有網際網路存取,則 AppStream 2.0 的VPC端點API可用來呼叫 AppStream 2.0 API操作,例如 CreateStreamingURL。下圖顯示 Lambda 函數API和EC2執行個體使用 AppStream 2.0 和串流VPC端點的範例設定。
VPC 端點
串流VPC端點可讓您透過VPC端點串流工作階段。串流介面端點會在您的 中維護串流流量VPC。串流流量包括像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載,以及印表機流量。若要使用VPC端點,必須在 AppStream 2.0 堆疊上啟用VPC端點設定。這可做為從網際網路存取有限,且將受益於透過 Direct Connect 執行個體存取之位置透過公有網際網路串流使用者工作階段的替代方案。透過VPC端點串流使用者工作階段需要下列項目:
-
與介面端點相關聯的安全群組必須允許從使用者連線的 IP 地址範圍存取連接埠
443(TCP) 和連接埠1400–1499(TCP)。 -
子網路的網路存取控制清單必須允許從暫時網路連接埠
1024-65535(TCP) 到使用者連線之 IP 地址範圍的傳出流量。 -
需要網際網路連線才能驗證使用者,並提供 AppStream 2.0 運作所需的 Web 資產。
若要進一步了解如何使用 AppStream 2.0 限制流量至 AWS 服務,請參閱從VPC端點建立和串流的管理指南。
當需要完整公有網際網路存取時,最佳實務是在 Image Builder 上停用 Internet Explorer 增強型安全組態 (ESC)。如需詳細資訊,請參閱 AppStream 2.0 管理指南,以停用 Internet Explorer 增強型安全組態。
