Proteção de dados na Amazon AppStream 2.0 - Amazon AppStream 2.0
Criptografia em repousoCriptografia em trânsitoControles do administradorAcesso ao aplicativo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados na Amazon AppStream 2.0

O modelo de responsabilidade AWS compartilhada de se aplica à proteção de dados na Amazon AppStream 2.0. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas Frequentes sobre Privacidade de Dados.. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS LGPD e Modelo de Responsabilidade Compartilhada no AWS Blog de Segurança.

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos. AWS Recomendamos TLS 1.2.

  • Configure a API e o registro de atividades do usuário com AWS CloudTrail.

  • Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso inclui quando você trabalha com AppStream 2.0 ou outros AWS serviços usando o console, a API ou AWS os SDKs. AWS CLI Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

Criptografia em repouso

AppStream As instâncias de frota 2.0 são de natureza efêmera. Após a conclusão da sessão de streaming de um usuário, a instância subjacente e o volume do Amazon Elastic Block Store (Amazon EBS) associado são encerrados. Além disso, o AppStream 2.0 recicla periodicamente instâncias não utilizadas para garantir o frescor.

Quando você ativa a persistência das configurações do aplicativo, as pastas iniciais, os scripts de sessão ou os relatórios de uso de seus usuários, os dados gerados por seus usuários e armazenados nos buckets do Amazon Simple Storage Service são criptografados em repouso. AWS Key Management Service é um serviço que combina hardware e software seguros e altamente disponíveis para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. O Amazon S3 usa CMKs gerenciadas pela AWS para criptografar os dados dos seus objetos do Amazon S3.

Criptografia em trânsito

A tabela a seguir fornece informações sobre como os dados são criptografados em trânsito. Quando aplicável, outros métodos de proteção de dados para AppStream 2.0 também são listados.

Dados Caminho de rede Como é protegido

Ativos da Web

Esse tráfego inclui ativos como imagens e JavaScript arquivos.

Entre AppStream 2.0 usuários e AppStream 2.0

 Criptografado usando TLS 1.2
Tráfego de pixel e streaming relacionado Entre AppStream 2.0 usuários e AppStream 2.0

Criptografado usando o Padrão de Criptografia Avançada de 256 bits (AES-256)

Transportado usando TLS 1.2
Tráfego de API Entre AppStream 2.0 usuários e AppStream 2.0

Criptografado usando TLS 1.2

As solicitações para criar uma conexão são assinadas usando SigV4

Configurações do aplicativo e dados da pasta inicial gerados pelos usuários

Aplicável quando as pastas iniciais e a persistência das configurações do aplicativo estão habilitadas.

 Entre usuários AppStream 2.0 e o Amazon S3 Criptografados usando endpoints SSL do Amazon S3
AppStream Tráfego gerenciado 2.0

Entre instâncias de streaming AppStream 2.0 e:

  • AppStream Serviços de gerenciamento 2.0

  • AWS serviços e recursos em sua conta da Amazon Web Services

  • Não AWS serviços e recursos (como Google Drive e Microsoft OneDrive)

Criptografado usando TLS 1.2

As solicitações para criar uma conexão são assinadas usando SigV4, quando aplicável

Controles do administrador

AppStream A versão 2.0 fornece controles administrativos que você pode usar para limitar as formas pelas quais os usuários podem transferir dados entre o computador local e uma instância de frota AppStream 2.0. Você pode limitar ou desativar o seguinte ao criar ou atualizar uma pilha AppStream 2.0:

  • Área de transferência/ações de copiar e colar

  • Upload e download de arquivos, incluindo redirecionamento de pastas e unidades

  • Impressão

Ao criar uma imagem AppStream 2.0, você pode especificar quais dispositivos USB estão disponíveis para redirecionamento para instâncias de frota AppStream 2.0 do cliente AppStream 2.0 para Windows. Os dispositivos USB que você especificar estarão disponíveis para uso durante as sessões de streaming AppStream 2.0 dos usuários. Para ter mais informações, consulte Qualifique USB dispositivos para uso com aplicativos de streaming.

Acesso ao aplicativo

Por padrão, o AppStream 2.0 permite que os aplicativos que você especifica em sua imagem iniciem outros aplicativos e arquivos executáveis no construtor de imagens e na instância da frota. Isso garante que aplicativos com dependências de outros aplicativos (por exemplo, um aplicativo que inicia o navegador para navegar até um site do produto) funcionem conforme esperado. Certifique-se de configurar seus controles administrativos, grupos de segurança e outros softwares de segurança para conceder aos usuários as permissões mínimas necessárias para acessar recursos e transferir dados entre os computadores locais e as instâncias de frota.

Você pode usar software de controle de aplicativos, como o Microsoft AppLocker, e políticas para controlar quais aplicativos e arquivos seus usuários podem executar. O software e as políticas de controle de aplicativos ajudam você a controlar os arquivos executáveis, scripts, arquivos do Windows Installer, bibliotecas de links dinâmicos e pacotes de aplicativos que seus usuários podem executar em construtores de imagens AppStream 2.0 e instâncias de frota.

nota

O software do agente AppStream 2.0 depende do prompt de comando do Windows e do Windows Powershell para provisionar instâncias de streaming. Se você optar por impedir que os usuários iniciem o prompt de comando do Windows ou o Windows Powershell, as políticas não deverão ser aplicadas ao Windows NT AUTHORITY\SYSTEM ou aos usuários do grupo Administradores.

Tipo de regra Ação Usuário ou grupo do Windows Nome/caminho Condição Descrição
Executável Permitir NT AUTHORITY\System * Path Necessário para o software de agente AppStream 2.0
Executável Permitir BUILTIN\Administrators * Path Necessário para o software de agente AppStream 2.0
Executável Permitir Todos %PROGRAMFILES%\nodejs\* Path Necessário para o software de agente AppStream 2.0
Executável Permitir Todos %PROGRAMFILES%\NICE\* Path Necessário para o software de agente AppStream 2.0
Executável Permitir Todos %PROGRAMFILES%\Amazon\* Path Necessário para o software de agente AppStream 2.0
Executável Permitir Todos %PROGRAMFILES%\<default-browser>\* Path Necessário para o software de agente AppStream 2.0 quando soluções de armazenamento persistente, como Google Drive ou Microsoft OneDrive for Business, são usadas. Essa exceção não é necessária quando as pastas base AppStream 2.0 são usadas.