Amazon WorkSpaces의 인프라 보안 - 아마존 WorkSpaces
네트워크 격리물리적 호스트에서 격리기업 사용자의 권한 부여VPC 인터페이스 엔드포인트를 통해 Amazon WorkSpaces API 요청 전송Amazon WorkSpaces에 대한 VPC 엔드포인트 정책 생성VPC에 프라이빗 네트워크 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon WorkSpaces의 인프라 보안

관리형 서비스인 Amazon WorkSpaces는 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework인프라 보호를 참조하세요.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 WorkSpaces에 액세스합니다. 고객은 다음을 지원해야 합니다.

  • 전송 계층 보안(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

  • DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

네트워크 격리

Virtual Private Cloud(VPC)는 AWS 클라우드에서 논리적으로 격리된 고유한 영역의 가상 네트워크입니다. VPC의 프라이빗 서브넷에 WorkSpaces를 배포할 수 있습니다. 자세한 내용은 다음에 대해 VPC를 구성합니다. WorkSpaces 섹션을 참조하세요.

특정 주소 범위(예: 회사 네트워크에서)의 트래픽만 허용하려면 VPC에 대한 보안 그룹을 업데이트하거나 IP 액세스 제어 그룹을 사용합니다.

WorkSpace 액세스를 유효한 인증서가 있는 신뢰할 수 있는 디바이스로 제한할 수 있습니다. 자세한 내용은 신뢰할 수 있는 장치에 WorkSpaces 대한 액세스 제한 섹션을 참조하세요.

물리적 호스트에서 격리

동일한 물리적 호스트에 있는 서로 다른 WorkSpaces는 하이퍼바이저를 통해 서로 격리됩니다. 마치 별도의 물리적 호스트에 있는 것처럼 보입니다. WorkSpace가 삭제되면 새 WorkSpace에 메모리가 할당되기 전에 하이퍼바이저에 의해 WorkSpace에 할당된 메모리가 스크러빙(0으로 설정)됩니다.

기업 사용자의 권한 부여

WorkSpaces를 사용하면 디렉터리가 AWS Directory Service를 통해 관리됩니다. 사용자를 위한 독립 실행형 관리형 디렉터리를 생성할 수 있습니다. 기존 Active Directory 환경과 통합할 수 있으므로 사용자가 현재 자격 증명을 사용하여 회사 리소스에 원활하게 액세스할 수 있습니다. 자세한 내용은 WorkSpaces 디렉터리 관리 섹션을 참조하세요.

WorkSpaces에 대한 액세스를 추가로 제어하려면 Multi-Factor Authentication을 사용합니다. 자세한 내용은 How to Enable Multi-Factor Authentication for AWS Services를 참조하세요.

VPC 인터페이스 엔드포인트를 통해 Amazon WorkSpaces API 요청 전송

인터넷을 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 엔드포인트를 통해 Amazon WorkSpaces API 엔드포인트에 직접 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하는 경우 VPC와 Amazon WorkSpaces API 엔드포인트 간의 통신은 모두 AWS 네트워크에서 안전하게 수행됩니다.

참고

이 기능은 WorkSpaces API 엔드포인트에 연결하는 데만 사용할 수 있습니다. WorkSpaces 클라이언트를 사용하여 WorkSpaces에 연결하려면 IP 주소 및 포트 요구 사항 WorkSpaces의 설명과 같이 인터넷 연결이 필요합니다.

Amazon WorkSpaces API 엔드포인트는 AWS PrivateLink에서 구동되는 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 지원합니다. 각 VPC 엔드포인트는 VPC 서브넷의 프라이빗 IP 주소와 함께 하나 이상의 네트워크 인터페이스(ENI(탄력적 네트워크 인터페이스)라고도 함)로 표시됩니다.

VPC 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 VPC를 직접 Amazon WorkSpaces API 엔드포인트에 연결합니다. VPC에 있는 인스턴스는 퍼블릭 IP 주소가 없어도 Amazon WorkSpaces API 엔드포인트와 통신할 수 있습니다.

AWS Management Console 또는 AWS Command Line Interface(AWS CLI) 명령을 사용하여 Amazon WorkSpaces에 연결할 인터페이스 엔드포인트를 생성할 수 있습니다. 자세한 내용은 인터페이스 엔드포인트 생성을 참조하십시오.

VPC 엔드포인트를 생성한 후에는 endpoint-url 파라미터를 사용하는 다음 예시 CLI 명령을 사용하여 Amazon WorkSpaces API 엔드포인트에 대한 인터페이스 엔드포인트를 지정할 수 있습니다.

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하면 엔드포인트 URL을 지정할 필요가 없습니다. CLI 및 Amazon WorkSpaces SDK에서 기본적으로 사용하는 Amazon WorkSpaces API DNS 호스트 이름(https://api.workspaces.Region.amazonaws.com)은 VPC 엔드포인트로 확인됩니다.

Amazon WorkSpaces API 엔드포인트는 Amazon VPCAmazon WorkSpaces를 모두 사용할 수 있는 모든 AWS 리전에서 VPC 엔드포인트를 지원합니다. Amazon WorkSpaces는 VPC 내부에 있는 모든 퍼블릭 API에 대한 직접 호출을 지원합니다.

AWS PrivateLink에 대한 자세한 내용은 AWS PrivateLink 설명서를 참조하세요. VPC 엔드포인트 요금은 VPC 요금을 참조하십시오. VPC와 엔드포인트에 대한 자세한 내용은 Amazon VPC를 참조하십시오.

리전별 Amazon WorkSpaces API 엔드포인트 목록을 보려면 WorkSpaces API 엔드포인트를 참조하세요.

참고

AWS PrivateLink를 사용하는 Amazon WorkSpaces API 엔드포인트는 Federal Information Processing Standard(FIPS) Amazon WorkSpaces API 엔드포인트에 지원되지 않습니다.

Amazon WorkSpaces에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음을 지정할 수 있습니다.

  • 태스크를 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업입니다.

  • 태스크를 수행할 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

참고

VPC 엔드포인트 정책은 Federal Information Processing Standard(FIPS) Amazon WorkSpaces 엔드포인트에 지원되지 않습니다.

다음 예시 VPC 엔드포인트 정책에서는 VPC 인터페이스 엔드포인트에 대한 액세스 권한이 있는 모든 사용자가 ws-f9abcdefg로 명명된 Amazon WorkSpaces에 호스팅된 엔드포인트를 호출할 수 있도록 지정합니다.

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

이 예제에서 다음 작업은 거부됩니다.

  • ws-f9abcdefg 외의 Amazon WorkSpaces에 호스팅된 엔드포인트를 호출합니다.

  • 지정된 리소스(WorkSpace ID: ws-f9abcdefg) 이외의 모든 리소스에 대한 작업 수행

참고

이 예시에서 사용자는 VPC 외부로부터의 다른 Amazon WorkSpaces API 작업을 계속 사용할 수 있습니다. API 호출을 VPC 내의 호출로 제한하려면 WorkSpaces의 Identity and Access Management에서 자격 증명 기반 정책을 사용하여 Amazon WorkSpaces API 엔드포인트에 대한 액세스를 제어하는 방법을 참조하세요.

VPC를 통해 Amazon WorkSpaces API를 호출하려면 VPC 내 인스턴스에서 연결하거나 AWS Virtual Private Network(AWS VPN) 또는 AWS Direct Connect를 사용하여 VPC에 프라이빗 네트워크를 연결해야 합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPN 연결을 참조하세요. AWS Direct Connect에 대한 자세한 내용은 AWS Direct Connect 사용 설명서연결 생성을 참조하세요.