Protezione dei dati in Amazon AppStream 2.0 - Amazon AppStream 2.0
Crittografia dei dati inattiviCrittografia in transitoControlli amministratoreAccesso all'applicazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon AppStream 2.0

Il modello di responsabilità AWS condivisa modello di si applica alla protezione dei dati in Amazon AppStream 2.0. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i AWS servizi utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Usa SSL/TLS per comunicare con le risorse. AWS Consigliamo TLS 1.2.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.

  • Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Ti suggeriamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo Nome. Ciò include quando lavori con AppStream 2.0 o altri AWS servizi utilizzando la console, l'API o gli SDK. AWS CLI AWS I dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i log di fatturazione o di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.

Crittografia dei dati inattivi

AppStream Le istanze fleet 2.0 sono di natura effimera. Al termine della sessione di streaming di un utente, l'istanza sottostante e il relativo volume Amazon Elastic Block Store (Amazon EBS) associato vengono terminati. Inoltre, la AppStream versione 2.0 ricicla periodicamente le istanze inutilizzate per aumentarne la freschezza.

Quando abiliti la persistenza delle impostazioni delle applicazioni, le home folder, gli script di sessione o i report sull'utilizzo dei tuoi utenti, i dati generati dagli utenti e archiviati nei bucket di Amazon Simple Storage Service vengono crittografati quando sono inattivi. AWS Key Management Service è un servizio che combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Amazon S3 utilizza Chiavi CMK gestite da AWS per crittografare i dati dell'oggetto Amazon S3.

Crittografia in transito

Nella tabella seguente vengono fornite informazioni sulla crittografia dei dati in transito. Ove applicabile, sono elencati anche altri metodi di protezione dei dati per la AppStream versione 2.0.

Dati Percorso di rete Modalità di protezione

Asset Web

Questo traffico include risorse come immagini e JavaScript file.

Tra AppStream 2,0 utenti e AppStream 2,0

 Crittografia eseguita mediante TLS 1.2
Pixel e traffico di streaming correlato Tra AppStream 2.0 utenti e AppStream 2.0

Crittografia eseguita mediante Advanced Encryption Standard a 256 bit (AES-256)

Trasporto eseguito mediante TLS 1.2
Traffico API Tra AppStream 2.0 utenti e AppStream 2.0

Crittografia eseguita mediante TLS 1.2

Le richieste di creazione di una connessione vengono firmate utilizzando SigV4

Impostazioni dell'applicazione e dati della home directory generati dagli utenti

Applicabile quando la persistenza delle impostazioni dell'applicazione e le home directory sono abilitate.

 Tra AppStream 2.0 utenti e Amazon S3 Crittografia eseguita mediante endpoint SSL Amazon S3
AppStream Traffico gestito 2.0

Tra istanze di streaming AppStream 2.0 e:

  • AppStream servizi di gestione 2.0

  • AWS servizi e risorse nel tuo account Amazon Web Services

  • Risorse e AWS servizi diversi (come Google Drive e Microsoft OneDrive)

Crittografia eseguita mediante TLS 1.2

Le richieste di creazione di una connessione vengono firmate utilizzando SigV4 dove applicabile

Controlli amministratore

AppStream 2.0 fornisce controlli amministrativi che è possibile utilizzare per limitare il modo in cui gli utenti possono trasferire dati tra il computer locale e un'istanza del parco istanze AppStream 2.0. È possibile limitare o disabilitare quanto segue quando si crea o si aggiorna uno stack AppStream 2.0:

  • Appunti, azioni Copia e Incolla

  • Caricamento e download di file, incluso il reindirizzamento di cartelle e unità

  • Stampa

Quando si crea un'immagine AppStream 2.0, è possibile specificare quali dispositivi USB sono disponibili per il reindirizzamento verso le istanze del parco istanze AppStream 2.0 dal client AppStream 2.0 per Windows. I dispositivi USB specificati saranno disponibili per l'uso durante le sessioni di streaming AppStream 2.0 degli utenti. Per ulteriori informazioni, consulta Qualifica USB i dispositivi per l'uso con applicazioni di streaming.

Accesso all'applicazione

Per impostazione predefinita, la AppStream versione 2.0 consente alle applicazioni specificate nell'immagine di avviare altre applicazioni e file eseguibili sull'image builder e sull'istanza fleet. Ciò garantisce che le applicazioni con dipendenze da altre applicazioni (ad esempio, un'applicazione che avvia il browser per accedere a un sito Web del prodotto) funzionino come previsto. Assicurarsi di configurare i controlli amministrativi, i gruppi di sicurezza e altri software di sicurezza per concedere agli utenti le autorizzazioni minime necessarie per accedere alle risorse e trasferire i dati tra i computer locali e le istanze del parco macchine.

È possibile utilizzare software di controllo delle applicazioni, come Microsoft AppLocker, e policy per controllare quali applicazioni e file possono essere eseguiti dagli utenti. Il software e le politiche di controllo delle applicazioni consentono di controllare i file eseguibili, gli script, i file di installazione di Windows, le librerie a collegamento dinamico e i pacchetti di applicazioni che gli utenti possono eseguire su generatori di immagini AppStream 2.0 e flotte di istanze.

Nota

Il software dell'agente AppStream 2.0 si basa sul prompt dei comandi di Windows e su Windows Powershell per il provisioning delle istanze di streaming. Se si sceglie di impedire agli utenti di avviare il prompt dei comandi di Windows o Windows Powershell, i criteri non devono essere applicati a Windows NT AUTHORITY\SYSTEM o agli utenti del gruppo Amministratori.

Tipo di regola Azione Utente o gruppo di Windows Nome/Percorso Condizione Descrizione
Eseguibile Consenso NT AUTHORITY\System * Path Richiesto per il software dell'agente 2.0 AppStream
Eseguibile Consenso BUILTIN\Administrators * Path Richiesto per il software AppStream 2.0 Agent
Eseguibile Consenso Tutti %PROGRAMFILES%\nodejs\* Path Richiesto per il software AppStream 2.0 Agent
Eseguibile Consenso Tutti %PROGRAMFILES%\ NICE\ * Path Richiesto per il software AppStream 2.0 Agent
Eseguibile Consenso Tutti %PROGRAMFILES%\Amazon\* Path Richiesto per il software AppStream 2.0 Agent
Eseguibile Consenso Tutti %PROGRAMFILES%\<default-browser>\* Path Necessario per il software AppStream 2.0 agent quando vengono utilizzate soluzioni di archiviazione persistenti, come Google Drive o Microsoft OneDrive for Business. Questa eccezione non è richiesta quando si utilizzano le home directory AppStream 2.0.