기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
아마존 AppStream 2.0에서의 데이터 보호
AWS 공동 책임 모델
데이터 보호를 위해 AWS 계정 자격 증명을 보호하고 AWS Identity and Access Management (IAM) 을 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이러한 방식에서는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
-
각 계정에 멀티 팩터 인증 설정(MFA)을 사용하세요.
-
SSL/TLS를 사용하여 리소스와 통신하세요. AWS TLS 1.2를 권장합니다.
-
를 사용하여 API 및 사용자 활동 로깅을 설정합니다. AWS CloudTrail
-
AWS 서비스 내의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용하십시오.
-
Amazon S3에 저장된 개인 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
-
명령줄 인터페이스 또는 API를 AWS 통해 액세스할 때 FIPS 140-2로 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용하십시오. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2
를 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 [이름(Name)] 필드와 같은 자유 양식 필드에 입력하지 않는 것이 좋습니다. 여기에는 콘솔, API 또는 SDK를 사용하여 AppStream 2.0 또는 기타 AWS 서비스를 사용하는 경우가 포함됩니다. AWS CLI AWS 이름에 사용되는 태그 또는 자유 형식 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함시켜서는 안됩니다.
유휴 데이터 암호화
AppStream 2.0 플릿 인스턴스는 본질적으로 일시적입니다. 사용자의 스트리밍 세션이 완료되면 기본 인스턴스 및 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨이 종료됩니다. 또한 AppStream 2.0은 사용하지 않은 인스턴스를 주기적으로 재활용하여 신선도를 유지합니다.
애플리케이션 설정 지속성, 홈 폴더, 세션 스크립트 또는 사용자 사용 보고서를 활성화하면 사용자가 생성하여 Amazon Simple Storage Service 버킷에 저장된 데이터가 안전하게 암호화됩니다. AWS Key Management Service 안전하고 가용성이 높은 하드웨어와 소프트웨어를 결합하여 클라우드에 맞게 확장된 키 관리 시스템을 제공하는 서비스입니다. Amazon S3는 AWS 관리형 CMK를 사용하여 Amazon S3 객체 데이터를 암호화합니다.
전송 중 데이터 암호화
다음 표는 전송 중 데이터가 암호화되는 방법에 대한 정보를 제공합니다. 해당하는 경우 AppStream 2.0의 다른 데이터 보호 방법도 나열되어 있습니다.
| 데이터 | 네트워크 경로 | 보호 방법 |
|---|---|---|
|
웹 자산 이 트래픽에는 이미지 및 JavaScript 파일과 같은 자산이 포함됩니다. |
사용자 AppStream 2.0명에서 AppStream 2.0명 사이 |
TLS 1.2를 사용하여 암호화 |
| 픽셀 및 관련 스트리밍 트래픽 | 사용자 AppStream 2.0명에서 AppStream 2.0명 사이 |
256비트 고급 암호화 표준(AES-256)을 사용하여 암호화 TLS 1.2를 사용하여 전송 |
| API 트래픽 | 사용자 AppStream 2.0명에서 AppStream 2.0명 사이 |
TLS 1.2를 사용하여 암호화 연결 생성 요청은 SIGv4를 사용하여 서명됩니다. |
사용자가 생성한 애플리케이션 설정 및 홈 폴더 데이터 애플리케이션 설정 지속성 및 홈 폴더가 활성화된 경우에 적용됩니다. |
AppStream 2.0명의 사용자와 아마존 S3 사이 | Amazon S3 SSL 엔드포인트를 사용하여 암호화 |
| AppStream 2.0 관리형 트래픽 |
AppStream 2.0 스트리밍 인스턴스 사이 및:
|
TLS 1.2를 사용하여 암호화 연결 생성 요청은 해당될 경우 SIGv4를 사용하여 서명됩니다. |
관리자 컨트롤
AppStream 2.0은 사용자가 로컬 컴퓨터와 AppStream 2.0 플릿 인스턴스 간에 데이터를 전송할 수 있는 방식을 제한하는 데 사용할 수 있는 관리 제어 기능을 제공합니다. AppStream 2.0 스택을 생성하거나 업데이트할 때 다음을 제한하거나 비활성화할 수 있습니다.
클립보드/복사 및 붙여넣기 작업
폴더 및 드라이브 리디렉션을 포함한 파일 업로드 및 다운로드
인쇄
AppStream 2.0 이미지를 생성할 때 Windows용 2.0 클라이언트에서 AppStream AppStream 2.0 플릿 인스턴스로 리디렉션하는 데 사용할 수 있는 USB 디바이스를 지정할 수 있습니다. 지정한 USB 디바이스는 사용자의 AppStream 2.0 스트리밍 세션 중에 사용할 수 있습니다. 자세한 정보는 스트리밍 애플리케이션과 함께 사용할 수 있는 USB 기기 인증을 참조하세요.
애플리케이션 액세스
기본적으로 AppStream 2.0은 이미지에 지정한 애플리케이션이 이미지 빌더 및 플릿 인스턴스에서 다른 애플리케이션과 실행 파일을 실행할 수 있도록 합니다. 이렇게 하면 다른 애플리케이션에 종속성이 있는 애플리케이션(예: 브라우저를 실행하여 제품 웹 사이트로 이동하는 애플리케이션)이 예상대로 작동합니다. 사용자에게 리소스에 액세스하고 로컬 컴퓨터와 플릿 인스턴스 간에 데이터를 전송하는 데 필요한 최소 권한을 부여하도록 관리자 컨트롤, 보안 그룹 및 기타 보안 소프트웨어를 구성해야 합니다.
AppLockerMicrosoft와
참고
AppStream 2.0 에이전트 소프트웨어는 Windows 명령 프롬프트와 Windows Powershell을 사용하여 스트리밍 인스턴스를 프로비저닝합니다. 사용자가 Windows 명령 프롬프트 또는 Windows Powershell을 시작하지 못하도록 선택한 경우 Windows NT AUTHORITY\SYSTEM 또는 관리자 그룹의 사용자에게 정책을 적용하면 안 됩니다.
| 규칙 타입 | 작업 | Windows 사용자 또는 그룹 | Name/Path | Condition | 설명 |
|---|---|---|---|---|---|
| 실행 가능 | 허용 | NT AUTHORITY\System | * | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. |
| 실행 가능 | 허용 | BUILTIN\Administrators | * | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요 |
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\nodejs\* | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요 |
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\NICE\* | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요 |
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\Amazon\* | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요 |
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\<default-browser>\* |
경로 | Google Drive 또는 Microsoft OneDrive for Business와 같은 영구 저장소 솔루션을 사용하는 경우 AppStream 2.0 에이전트 소프트웨어에 필요합니다. AppStream 2.0 홈 폴더를 사용하는 경우에는 이 예외가 필요하지 않습니다. |
