本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkSpaces 應用程式的安全最佳實務
雲端安全是 Amazon Web Services (AWS) 最重視的一環。安全與合規是 AWS 和 客戶之間的共同責任。如需詳細資訊,請參閱 [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/)。身為 AWS 和 WorkSpaces 應用程式客戶,在堆疊、機群、映像和聯網等不同層上實作安全措施非常重要。
由於 WorkSpaces 應用程式具有暫時性性質,因此通常偏好做為應用程式和桌面交付的安全解決方案。考慮 Windows 部署中常見的防毒解決方案是否與使用者工作階段結束時預先定義和清除的環境的使用案例相關。防毒為虛擬化執行個體增加額外負荷,因此這是減輕不必要的活動的最佳實務。例如,在開機時掃描系統磁碟區 (暫時性) 並不會增加 WorkSpaces 應用程式的整體安全性。
安全 WorkSpaces 應用程式的兩個關鍵問題以 為中心:
+ 保留工作階段以外的使用者狀態是否為必要?
+ 使用者在工作階段中應擁有多少存取權?
**Topics**
+ [保護持久性資料](securing-persistent-data.md)
+ [端點安全與防毒](endpoint-security-antivirus.md)
+ [網路排除](network-exclusions.md)
+ [保護 WorkSpaces 應用程式工作階段](securing-session.md)
+ [防火牆和路由](firewalls-routing.md)
+ [資料外洩防護](data-loss-prevention.md)
+ [控制輸出流量](controlling-egress-traffic.md)
+ [使用 AWS 服務](using-services.md)
# 保護持久性資料
WorkSpaces 應用程式的部署可能需要以某種形式保留使用者狀態。這可能是為個別使用者保留資料,或使用共用資料夾保留資料以進行協同合作。AppStream 2.0 執行個體儲存體是暫時性的,沒有加密選項。
WorkSpaces 應用程式透過 Amazon S3 中的主資料夾和應用程式設定提供使用者狀態持續性。有些使用案例需要更妥善地控制使用者狀態持久性。對於這些使用案例, AWS 建議使用伺服器訊息區塊 (SMB) 檔案共用。
## 使用者狀態和資料
由於大多數 Windows 應用程式在與使用者建立的應用程式資料共置時執行最佳且最安全,因此最佳實務是將此資料保留在與 WorkSpaces 應用程式機群 AWS 區域 相同的 中。加密此資料是最佳實務。使用者主資料夾的預設行為是使用來自金鑰 AWS 管理服務 () 的 Amazon S3-managed加密金鑰來加密靜態檔案和資料夾AWS KMS。請務必注意,具有 AWS 主控台或 Amazon S3 儲存貯體存取權的 AWS 管理使用者將能夠直接存取這些檔案。
在需要來自 Windows 檔案共享的伺服器訊息區塊 (SMB) 目標來存放使用者檔案和資料夾的設計中,此程序為自動或需要組態。
*表 5 — 保護使用者資料的選項*
| **SMB 目標** | **Encryption-at-rest** | **Encryption-in-transit** | **防毒 (AV)** |
| --- | --- | --- | --- |
| FSx for Windows File Server | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html) | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) | 安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描 |
| **檔案閘道、 AWS Storage Gateway** | 根據預設,存放在 S3 AWS Storage Gateway 中的所有資料都會使用 Amazon S3-Managed管加密金鑰 (SSE-S3) 加密伺服器端。您可以選擇性地設定不同的閘道類型,以使用 AWS Key Management Service (KMS) 加密儲存的資料 | 在任何類型的閘道設備與 AWS 儲存體之間傳輸的所有資料都會使用 SSL 加密。 | 安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描 |
| EC2-based Windows 檔案伺服器 | [啟用 EBS 加密](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) | PowerShell; Set- SmbServerConfiguration – EncryptData \$1True | 安裝在伺服器上的 AV 會在本機磁碟機上執行掃描 |
# 端點安全與防毒
WorkSpaces 應用程式執行個體的短暫暫時性性質和資料的持久性不足表示需要不同的方法,以確保使用者體驗和效能不會因持久性桌面上所需的活動而受到影響。端點安全代理程式會在有組織政策或與外部資料輸入搭配使用時,安裝在 WorkSpaces 應用程式映像中,例如電子郵件、檔案傳入、外部 Web 瀏覽。
## 移除唯一識別符
Endpoint Security 代理程式可能有全域唯一識別符 (GUID),必須在機群執行個體建立程序期間重設。供應商在映像中安裝其產品的指示,可確保為從映像產生的每個執行個體產生新的 GUID。
為了確保不會產生 GUID,請先安裝端點安全代理程式做為最後一個動作,再執行 WorkSpaces 應用程式助理來產生映像。
## 效能最佳化
Endpoint Security Vendors 提供最佳化 WorkSpaces 應用程式效能的切換和設定。設定因廠商而異,可以在其文件中找到,通常是在 VDI 的 區段中。某些常見設定包括但不限於:
+ 關閉開機掃描,以確保執行個體建立、啟動和登入時間最小化
+ 關閉排程掃描以防止不必要的掃描
+ 關閉簽章快取以防止檔案列舉
+ 啟用 VDI 最佳化 IO 設定
+ 應用程式確保效能所需的排除項目
端點安全廠商提供與虛擬桌面環境搭配使用的指示,以最佳化效能。
+ 適用於[虛擬桌面基礎設施的 Trend Micro Office Scan Support - Apex One/OfficeScan (trendmicro.com://)](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)
+ CrowdStrike 和[如何在資料中心安裝 CrowdStrike Falcon](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos 和 [Sophos Central Endpoint:如何在黃金映像上安裝 ,以避免重複的身分](https://support.sophos.com/support/s/article/KB-000035040?language=en_US)和 [Sophos Central:在虛擬桌面環境中安裝 Windows 端點時的最佳實務](https://support.sophos.com/support/s/article/KB-000039009?language=en_US)
+ 在虛擬桌面基礎設施系統上佈建和部署 McAfee 和 McAfee 代理程式 [McAfee ](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security 和[為非持久性 VDI 機器設定 Microsoft Defender 防毒 - Microsoft Tech Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633)
## 掃描排除項目
如果安全軟體安裝在 WorkSpaces 應用程式執行個體中,則安全軟體不得干擾下列程序。
*表 6 — WorkSpaces 應用程式處理安全軟體時,不得干擾下列程序。*
| **服務** | **Processes** |
| --- | --- |
| AmazonCloudWatchAgent | 「C:\$1Program Files\$1Amazon\$1AmazonCloudWatchAgent\$1start-amazon- cloudwatch-agent.exe」 |
| AmazonSSMAgent | 「C:\$1Program Files\$1Amazon\$1SSM\$1amazon-ssm-agent.exe」 |
| NICE DCV | "C:\$1Program Files\$1NICE\$1DCV\$1Server\$1bin\$1dcvserver.exe" "C:\$1Program Files\$1NICE\$1DCV\$1Server\$1bin\$1dcvagent.exe" |
| WorkSpaces 應用程式 | 「C:\$1Program Files\$1Amazon\$1AppStream2\$1StorageConnector\$1StorageConnector.exe" 在資料夾 "C:\$1Program Files\$1Amazon\$1Photon\$1" 中 "。\$1Agent\$1PhotonAgent.exe" "。\$1Agent\$1s5cmd.exe" "。\$1WebServer\$1PhotonAgentWebServer.exe" "。\$1CustomShell\$1PhotonWindowsAppSwitcher.exe" "。\$1CustomShell\$1PhotonWindowsCustomShell.exe" "。\$1CustomShell\$1PhotonWindowsCustomShellBackground.exe" |
## 資料夾
如果安全軟體安裝在 WorkSpaces 應用程式執行個體中,則軟體不得干擾下列資料夾:
**Example**
```
C:\Program Files\Amazon\*
C:\ProgramData\Amazon\*
C:\Program Files (x86)\AWS Tools\*
C:\Program Files (x86)\AWS SDK for .NET\*
C:\Program Files\NICE\*
C:\ProgramData\NICE\*
C:\AppStream\*
```
## 端點安全主控台衛生
WorkSpaces 應用程式將在每次使用者連線超過閒置和中斷連線逾時時建立新的唯一執行個體。執行個體會有唯一的名稱,並會在端點安全管理 condole 中累積。將超過 4 天或更長時間 (或更短時間,視 WorkSpaces 應用程式工作階段逾時而定) 的未使用過時機器設定為刪除,可將主控台中過期的執行個體數量降至最低。
# 網路排除
WorkSpaces 應用程式管理網路範圍 (`198.19.0.0/16`) 和下列連接埠和地址不應被 WorkSpaces 應用程式執行個體內的任何安全/防火牆或防毒解決方案封鎖。
*表 7 — WorkSpaces 應用程式串流執行個體安全軟體中的連接埠不得干擾*
| **連接埠** | **用途** |
| --- | --- |
| 8300 | 這用於建立串流連線 |
| 3128 | 這用於管理 WorkSpaces 應用程式串流執行個體 |
| 8000 | 這用於管理 WorkSpaces 應用程式串流執行個體 |
| 8443 | 這用於管理 WorkSpaces 應用程式串流執行個體 |
| 53 | DNS |
*表 8 — WorkSpaces 應用程式受管服務地址安全軟體不得干擾*
| **連接埠** | **用途** |
| --- | --- |
| 169.254.169.123 | NTP |
| 169.254.169.249 | NVIDIA GRID 授權服務 |
| 169.254.169.250 | KMS |
| 169.254.169.251 | KMS |
| 169.254.169.253 | DNS |
| 169.254.169.254 | 中繼資料 |
# 保護 WorkSpaces 應用程式工作階段
## 限制應用程式和作業系統控制
WorkSpaces 應用程式可讓管理員指定可在應用程式串流模式下從網頁啟動哪些應用程式。不過,這並不保證只有指定的應用程式才能執行。
Windows 公用程式和應用程式可透過其他方式透過作業系統啟動。 AWS 建議使用 [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/),以確保您組織所需的應用程式只能執行。預設規則必須修改,因為它們會授予每個人關鍵系統目錄的路徑存取權。
**注意**
Windows Server 2016 和 2019 需要執行 Windows Application Identity 服務,才能強制執行 AppLocker 規則。使用 Microsoft AppLocker 從 WorkSpaces 應用程式存取應用程式的詳細資訊,請參閱 [AppStream 管理員指南。](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)
對於加入 Active Directory 網域的機群執行個體,請使用群組政策物件 (GPOs) 提供使用者和系統設定,以保護使用者應用程式和資源存取。
# 防火牆和路由
建立 WorkSpaces 應用程式機群時,必須指派子網路和安全群組。子網路具有現有的網路存取控制清單 (NACLs和路由表 (NACL) 指派。啟動新的映像建置器或建立新的機群[安全群組](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html)時,最多可以建立五個安全群組的關聯,最多可以有[五個來自現有安全群組的指派](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html)。對於每個安全群組,您新增規則來控制進出執行個體的傳出和傳入網路流量
NACL 是 VPC 的選用安全層,可做為無狀態防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊,請參閱[比較安全群組和 NACLs頁面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。
設計和套用安全群組和 NACL 規則時,請考慮 AWS Well-Architected 最佳實務的最低權限。*最低權限*是僅授予完成任務所需許可的原則。
對於具有高速私有網路將內部部署環境連線至 AWS (透過 AWS Direct Connect) 的客戶,您可以考慮使用 AppStream 的 VPC 端點,這表示串流流量將透過私有網路連線路由,而不是透過公有網際網路。如需本主題的詳細資訊,請參閱本文件的 WorkSpaces 應用程式串流介面 VPC 端點一節。
# 資料外洩防護
我們將探討兩種類型的資料遺失預防。
## 用戶端到 AppStream 2.0 執行個體資料傳輸控制
*表 9 — 控制資料輸入和輸出的指引*
| **設定** | **選項** | **指引** |
| --- | --- | --- |
| 剪貼簿 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/data-loss-prevention.html) | 停用此設定不會停用工作階段中的複製和貼上。如果需要將資料複製到工作階段,請選擇僅貼到遠端工作階段,以將資料外洩的可能性降至最低。 |
| 檔案傳輸 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/data-loss-prevention.html) | 避免啟用此設定以防止資料外洩。 |
| 列印至本機裝置 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/data-loss-prevention.html) | 如果需要列印,請使用由組織控制和監控的網路映射印表機。 |
考慮現有組織資料傳輸解決方案相較於堆疊設定的優點。這些組態並非設計用來取代全面的安全資料傳輸解決方案。
# 控制輸出流量
當資料遺失是問題時,請務必涵蓋使用者在 WorkSpaces 應用程式執行個體內時可存取的內容。網路結束 (或輸出) 路徑是什麼樣子? 一般要求使用者在其 WorkSpaces 應用程式執行個體中擁有公有網際網路存取,因此在網路路徑中放置 WebProxy 或內容篩選解決方案需要考慮。其他考量包括本機防毒應用程式和 AppStream 執行個體內的其他端點安全措施 (如需詳細資訊,請參閱「端點安全和防毒」一節)。
# 使用 AWS 服務
## AWS Identity and Access Management
使用 IAM 角色來存取 AWS 服務,並在連接到服務的 IAM 政策中具有特定性,這是最佳實務,只提供 WorkSpaces 應用程式工作階段中的使用者存取 ,而無需管理其他登入資料。遵循將 [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances)。
建立 [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html)體,以在主資料夾和應用程式設定持續性中保留使用者資料。這[https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access)存取。
## VPC 端點
VPC 端點可讓您的 VPC 與支援的 AWS 服務,以及採用 技術的 VPC 端點服務之間的私有連線 AWS PrivateLink。 AWS PrivateLink 是一種技術,可讓您使用私有 IP 地址來私有存取服務。VPC 與另一個服務之間的流量都會保持在 Amazon 網路的範圍內。如果只有 AWS 服務需要公有網際網路存取,VPC 端點會完全移除對 NAT 閘道和網際網路閘道的需求。
在自動化常式或開發人員需要對 WorkSpaces 應用程式進行 API 呼叫的環境中,[https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html)。例如,如果私有子網路中有 EC2 執行個體沒有公有網際網路存取,WorkSpaces 應用程式 API 的 VPC 端點可用來呼叫 AppStream 2.0 API 操作,例如 [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html)。下圖顯示範例設定,其中 Lambda 函數和 EC2 執行個體會耗用 WorkSpaces 應用程式 API 和串流 VPC 端點。
![\[VPC 端點的參考架構圖\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)
*VPC 端點*
串流 VPC 端點可讓您透過 VPC 端點串流工作階段。此串流界面端點可將串流流量保持在 VPC 內。串流流量包含像素、USB、使用者輸入、音訊、剪貼簿、檔案上傳和下載,以及印表機流量。若要使用 VPC 端點,必須在 WorkSpaces 應用程式堆疊中啟用 VPC 端點設定。這可做為從網際網路存取有限且可透過 Direct Connect 執行個體存取之位置透過公有網際網路串流使用者工作階段的替代方案。透過 VPC 端點串流使用者工作階段需要下列項目:
+ 與介面端點相關聯的安全群組必須允許從使用者連線的 IP 地址範圍存取連接埠 `443`(TCP) 和連接埠 `1400–1499`(TCP)。
+ 子網路的網路存取控制清單必須允許從暫時性網路連接埠 `1024-65535`(TCP) 到使用者連線之 IP 地址範圍的傳出流量。
+ 需要網際網路連線才能驗證使用者,並提供 WorkSpaces 應用程式運作所需的 Web 資產。
若要進一步了解如何使用 WorkSpaces 應用程式限制 AWS 服務的流量,請參閱[https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html)的管理指南。
需要完整公有網際網路存取時,最佳實務是在映像建置器上停用 Internet Explorer 增強型安全組態 (ESC)。如需詳細資訊,請參閱 WorkSpaces 應用程式管理指南,以[https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc)。
## 在執行個體上設定執行個體中繼資料服務 (IMDS)
本主題說明執行個體中繼資料服務 (IMDS)。
*執行個體中繼資料*是與 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體相關的資料,可供應用程式用來設定或管理執行中的執行個體。執行個體中繼資料服務 (IMDS) 是一種執行個體上的元件,可供執行個體上的程式碼用來安全地存取執行個體中繼資料。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[執行個體中繼資料與使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)。
程式碼可使用下列兩種方法之一,從執行中執行個體存取執行個體中繼資料:執行個體中繼資料服務第 1 版 (IMDSv1) 或執行個體中繼資料服務第 2 版 (IMDSv2)。IMDSv2 會使用工作階段導向的請求,並減緩可能用來嘗試存取 IMDS 的幾種漏洞類型。如需這兩種方法的資訊,請參閱《*Amazon EC2 使用者指南*》中的[設定執行個體中繼資料服務](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。
### IMDS 的資源支援
Always-On、On-Demand、Single-Session 和 Multi-Session Fleets,以及所有映像建置器,在使用 2024 年 1 月 16 日當天或之後發行的代理程式版本或受管映像更新執行 WorkSpaces 應用程式映像時,都支援 IMDSv1 和 IMDSv2。 IMDSv2
Elastic Fleets 和 AppBlock Builders 執行個體也同時支援 IMDSv1 和 IMDSv2。
### IMDS 屬性設定的範例
以下是選擇 IMDS 方法的兩個範例:
#### Java v2 SDK 範例
以下範例請求使用`disableIMDSV1`屬性停用 IMDSv1
```
CreateFleetRequest request = CreateFleetRequest.builder()
.name("TestFleet")
.imageArn("arn:aws:appstream:us-east-1::image/TestImage")
.instanceType("stream.standard.large")
.fleetType(FleetType.ALWAYS_ON)
.computeCapacity(ComputeCapacity.builder()
.desiredInstances(5)
.build())
.description("Test fleet description")
.displayName("Test Fleet Display Name")
.enableDefaultInternetAccess(true)
.maxUserDurationInSeconds(3600)
.disconnectTimeoutInSeconds(900)
.idleDisconnectTimeoutInSeconds(600)
.iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
.streamView(StreamView.APP)
.platform(PlatformType.WINDOWS)
.maxConcurrentSessions(10)
.maxSessionsPerInstance(2)
.tags(tags)
.disableIMDSV1(true)
.build();
```
將 **disableIMDSV1** 設為 true 以停用 IMDSv1 並強制執行 IMDSv2。
將 **disableIMDSV1** 設定為 false 以啟用 IMDSv1 和 IMDSv2。
#### CLI 範例
以下範例請求使用`--disable-imdsv1`屬性停用 IMDSv1
```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```
`--disable-imdsv1` 設為 true 以停用 IMDSv1 並強制執行 IMDSv2。
`--no-disable-imdsv1` 設定為 false 以啟用 IMDSv1 和 IMDSv2。