Protección de datos en Amazon AppStream 2.0 - Amazon AppStream 2.0
Cifrado en reposoCifrado en tránsitoControles de administradorAcceso de aplicaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon AppStream 2.0

El AWS modelo de se aplica a protección de datos en Amazon AppStream 2.0. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Es responsable de mantener el control sobre su contenido que se encuentra alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de datos, consulte Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS Identity and Access Management (IAM). De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:

  • Utilice la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Nosotros recomendamos TLS 1.2.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.

  • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de enlace de FIPS disponibles, consulte Estándar de procesIAMento de la información federal (FIPS) 140-2.

Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo Name (Nombre). Esto incluye cuando trabaja con AppStream 2.0 u otros AWS servicios mediante la consola, la API o los SDK. AWS CLI AWS Los datos que ingresa en etiquetas o campos de formato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposo

AppStream Las instancias de la flota 2.0 son de naturaleza efímera. Una vez finalizada la sesión de streaming de un usuario, termina la instancia subyacente y su volumen asociado de Amazon Elastic Block Store (Amazon EBS). Además, la AppStream versión 2.0 recicla periódicamente las instancias no utilizadas para mantenerlas frescas.

Cuando habilita la persistencia de la configuración de la aplicación, las carpetas de inicio, los scripts de sesión o los informes de uso de sus usuarios, los datos que generan sus usuarios y se almacenan en los depósitos de Amazon Simple Storage Service se cifran en reposo. AWS Key Management Service es un servicio que combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Amazon S3 usa CMK administradas por AWS para cifrar sus datos de objetos de Amazon S3.

Cifrado en tránsito

En la siguiente tabla se proporciona información sobre cómo se cifran los datos en tránsito. Cuando proceda, también se enumeran otros métodos de protección de datos para la AppStream versión 2.0.

Datos Ruta de acceso a la red Cómo se protege

Activos web

Este tráfico incluye activos como imágenes y JavaScript archivos.

Entre AppStream 2.0 usuarios y AppStream 2.0

 Cifrado mediante TLS 1.2
Pixel y tráfico de streaming relacionado Entre AppStream 2.0 usuarios y AppStream 2.0

Cifrado mediante el estándar de cifrado avanzado de 256 bits (AES-256)

Transportados con TLS 1.2
Tráfico de API Entre AppStream 2.0 usuarios y AppStream 2.0

Cifrado mediante TLS 1.2

Las solicitudes para crear una conexión se firman mediante Sigv4

Configuración de la aplicación y datos de la carpeta de inicio generados por los usuarios

Aplicable cuando la persistencia de configuración de la aplicación y las carpetas de inicio están habilitadas.

 Entre los usuarios de la AppStream versión 2.0 y Amazon S3 Cifrado mediante puntos de conexión SSL de Amazon S3
AppStream Tráfico gestionado desde la versión 2.0

Entre instancias de streaming AppStream 2.0 y:

  • AppStream Servicios de administración 2.0

  • AWS servicios y recursos de su cuenta de Amazon Web Services

  • Recursos y no AWS servicios (como Google Drive y Microsoft OneDrive)

Cifrado mediante TLS 1.2

Las solicitudes para crear una conexión se firman mediante Sigv4 si corresponde

Controles de administrador

AppStream La versión 2.0 proporciona controles administrativos que puede utilizar para limitar las formas en que los usuarios pueden transferir datos entre su ordenador local y una instancia de la flota AppStream 2.0. Puede limitar o deshabilitar lo siguiente al crear o actualizar una pila AppStream 2.0:

  • Acciones del portapapeles y de copiar y pegar

  • Cargar y descargar archivos, incluida la redirección de carpetas y unidades

  • Imprimir

Al crear una imagen AppStream 2.0, puede especificar qué dispositivos USB están disponibles para redirigirlos a las instancias de la flota AppStream 2.0 desde el cliente AppStream 2.0 para Windows. Los dispositivos USB que especifique estarán disponibles para su uso durante las sesiones de streaming AppStream 2.0 de los usuarios. Para obtener más información, consulte Califique USB los dispositivos para su uso con aplicaciones de streaming.

Acceso de aplicaciones

De forma predeterminada, la AppStream versión 2.0 permite que las aplicaciones que especifique en la imagen inicien otras aplicaciones y archivos ejecutables en el generador de imágenes y en la instancia de Fleet. Esto garantiza que las aplicaciones con dependencias en otras aplicaciones (por ejemplo, una aplicación que lanza el navegador para navegar al sitio web de un producto) funcionen como se esperaba. Asegúrese de configurar los controles administrativos, los grupos de seguridad y otro software de seguridad para conceder a los usuarios los permisos mínimos necesarios para acceder a los recursos y transferir datos entre sus equipos locales y las instancias de flota.

Puede usar software de control de aplicaciones, como Microsoft AppLocker, y políticas para controlar qué aplicaciones y archivos pueden ejecutar sus usuarios. El software y las políticas de control de aplicaciones le ayudan a controlar los archivos ejecutables, los scripts, los archivos de instalación de Windows, las bibliotecas de vínculos dinámicos y los paquetes de aplicaciones que los usuarios pueden ejecutar en los generadores de imágenes AppStream 2.0 y en las instancias de flota.

nota

El software agente AppStream 2.0 se basa en la línea de comandos de Windows y en Windows Powershell para aprovisionar las instancias de streaming. Si elige impedir que los usuarios lancen el símbolo del sistema de Windows o Windows Powershell, las políticas no deben aplicarse a Windows NT AUTHORITY\SYSTEM ni a los usuarios del grupo administradores.

Tipo de regla Acción Usuario o grupo de Windows Nombre/Ruta Condición Descripción
Ejecutable Permitir NT AUTHORITY\System * Ruta Necesario para el software de agente AppStream 2.0
Ejecutable Permitir BUILTIN\Administrators * Ruta Necesario para el software de agente AppStream 2.0
Ejecutable Permitir A todos %PROGRAMFILES%\nodejs\* Ruta Necesario para el software de agente AppStream 2.0
Ejecutable Permitir A todos %PROGRAMFILES%\NICE\* Ruta Necesario para el software de agente AppStream 2.0
Ejecutable Permitir A todos %PROGRAMFILES%\Amazon\* Ruta Necesario para el software de agente AppStream 2.0
Ejecutable Permitir A todos %PROGRAMFILES%\<navegador-predeterminado>\* Ruta Se requiere para el software del agente AppStream 2.0 cuando se utilizan soluciones de almacenamiento persistente, como Google Drive o Microsoft OneDrive for Business. Esta excepción no es necesaria cuando se utilizan las carpetas principales de la AppStream versión 2.0.