Amazon WorkSpaces: ваш рабочий стол в облаке AWS (часть 3)
- Amazon WorkSpaces: ваш рабочий стол в облаке AWS (часть 2)
Введение
В части 1 этой серии статей я представил обзор потребности в постоянных рабочих столах в облаке, различия между двумя способами их реализации — VDI и DaaS — и некоторые проблемы и проблемы, связанные с рабочим столом как услугой. Затем я начал углубляться в десктопный сервис Amazon WorkSpaces, и по мере того, как мы продолжим обсуждение, я рассмотрю различные аспекты того, как он работает, сколько он стоит, а также как его развернуть и использовать. Затем во второй части я углубился в изучение различных планов, вопросов лицензирования и выделения ресурсов для AWS WorkSpaces.
Теперь здесь, в части 3, мы собираемся начать рассмотрение некоторых других факторов, которые важны при выборе поставщика DaaS, и все они связаны с безопасностью. Мы представим краткий обзор дилеммы облачной безопасности и того, как она применима к DaaS в целом, затем мы поговорим о безопасности входа в систему, идентификации и аутентификации, контроле и ограничении доступа пользователей и безопасности программного обеспечения.
Дилемма облачной безопасности
Безопасность всегда является важным фактором при выборе «в облако или не в облако». Утечки данных стали настолько обычным явлением, что они уже почти не являются «новостями», но продолжают доминировать в заголовках; Исследование Института Понемона показало, что в 2014 году более 40% компаний столкнулись с теми или иными нарушениями, включая такие известные компании, как Morgan Chase, Home Depot и, конечно же, печально известное дело Target.
Организации боятся стать следующей жертвой (и потерять клиентов из-за плохой рекламы). Утечки данных могут происходить по-разному, и сотрудники, которые получают доступ к конфиденциальным данным на своих компьютерах, представляют собой один вектор атаки. В то время как виртуальные рабочие столы имеют преимущества в плане безопасности, они могут создавать новые проблемы. Именно здесь может иметь значение выбранный вами поставщик DaaS.
В поисках безопасного WorkSpace
Рассматривая безопасность решения DaaS, вопросы, которые вы хотите задать, и функции, которые вы хотите искать, аналогичны тем, которые вы должны учитывать при работе с любой облачной службой. Безопасная реализация DaaS зависит от ряда факторов:
- Безопасный вход в службу: проверка подлинности пользователя должна быть надежной, чтобы предотвратить доступ неавторизованных пользователей к рабочим столам, на которых они могут получить доступ к конфиденциальной информации.
- Надежные службы идентификации: независимо от силы протоколов аутентификации, аутентификация строится на основе идентификации, поэтому сама база данных идентификации должна быть защищена.
- Шифрование: когда весь рабочий стол доставляется пользователю через Интернет, он должен быть зашифрован для предотвращения перехвата посторонними лицами.
- Эффективное управление ключами: ключи, используемые для шифрования виртуальных дисков, на которых «живет» рабочий стол, должны быть защищены.
- Физическая безопасность: серверы в центре обработки данных провайдера, где фактически работают приложения, должны быть защищены от доступа несанкционированных или злонамеренных лиц, как внутренних, так и внешних.
Безопасность рабочих столов AWS
В AWS WorkSpaces Amazon реализует ряд различных механизмов безопасности, чтобы решить вышеуказанные проблемы.
Безопасность входа
Администраторы WorkSpaces могут выбрать один из нескольких способов разрешить своим пользователям входить на рабочие столы WorkSpaces. Самый простой способ — предоставить пользователям возможность создавать учетные данные (имя пользователя и пароль) по своему выбору после того, как вы подготовите их рабочие столы. В большинстве средних и крупных (и во многих малых) организациях уже развернута служба Active Directory, и вы можете интегрировать WorkSpaces с вашим доменом Active Directory, чтобы упростить пользователям работу — они входят в систему со своими знакомыми учетными данными AD.
Личность и аутентификация
Пользователи могут входить в систему с учетными данными, хранящимися в каталоге, который поддерживается и управляется Amazon на их серверах, или с учетными данными AD, в зависимости от конфигурации WorkSpaces. Active Directory — это, конечно, стандартный репозиторий удостоверений в сетях на базе Windows, и это верно и для облачных сервисов Amazon, которые интегрированы с организацией, которая интегрировала свою локальную AD с AWS.
Вы можете интегрировать WorkSpaces с вашим сервером RADIUS, если он у вас есть. Amazon добавил эту функцию в августе 2014 года, и серверы Microsoft RADIUS поддерживаются наряду с другими. Для обеспечения избыточности и высокой доступности вы можете настроить его на использование нескольких серверов RADIUS с балансировщиком нагрузки или без него.
Администраторы настраивают интеграцию RADIUS через консоль администратора WorkSpaces (в разделе «Каталоги») без дополнительных затрат. Вам потребуется настроить IP-адреса для серверов RADIUS или балансировщика нагрузки, порт, который использует ваш сервер RADIUS, общий секрет и выбрать протокол, который вы настроили для конечных точек RADIUS. Вы также можете настроить время ожидания сервера в секундах и максимальное количество попыток подключения к серверу RADIUS (до 10).
Чтобы войти в систему, пользователи вводят свое имя пользователя и пароль AD, а затем вводят одноразовый пароль, сгенерированный аппаратным или программным токеном, что обеспечивает защиту многофакторной аутентификации (MFA).
При использовании MFA вы можете использовать либо аппаратные, либо программные токены с MFA Amazon. Google Authenticator — популярное программное решение. Если ваш сервер RADIUS работает под управлением Linux, вы можете использовать библиотеку Pluggable Authentication Module (PAM), чтобы разрешить использование Google Auth. MFA работает для пользователей, которые получают доступ к WorkSpaces через клиентские устройства под управлением Windows, Mac OS X, Chrome OS, iOS, Android или Kindle OS.
Контроль доступа пользователей
Вы можете ограничить доступ ваших пользователей к приложениям и другим ресурсам из их рабочих столов WorkSpaces.
Легко лишить пользователя доступа к его/ее WorkSpace, если он покидает компанию или по какой-либо другой причине его необходимо заблокировать навсегда или временно; вы просто отключаете учетную запись в любом каталоге, в котором хранятся идентификаторы пользователей (в вашем Active Directory, если вы интегрировали AD с WorkSpaces, или со службой каталогов Amazon, если вы этого не сделали).
Обратите внимание, что пользователям Amazon Identity and Access Management (IAM) по умолчанию не предоставляется доступ к ресурсам WorkSpaces. Вы, наверное, уже знаете, что IAM — это средство для разрешения и отказа в доступе к ресурсам с помощью политик, которые могут быть привязаны к отдельным пользователям, группам или самим ресурсам.
Вам нужно будет создать политику в IAM, которая предоставляет определенным пользователям разрешение на создание и управление ресурсами для WorkSpaces и EC2. Затем вам нужно привязать политику к любым пользователям (или группам пользователей), которым вы хотите предоставить доступ к ресурсам WorkSpaces.
Amazon предоставляет в своей документации пример заявления о политике, которое можно использовать для предоставления разрешения на выполнение всех задач WorkSpaces для пользователей IAM. Этот пример сценария вместе с дополнительной информацией об указании ресурсов WorkSpaces в политиках IAM вы найдете на веб-сайте AWS.
Вы также можете контролировать и ограничивать доступ к сетевым ресурсам (включая ресурсы, находящиеся в Интернете) из рабочих столов WorkSpaces с помощью групп безопасности VPC. Возможно, вы помните, что группы безопасности VPC ведут себя как виртуальные брандмауэры, поскольку они контролируют входящий и исходящий трафик к виртуальным частным облакам AWS.
WorkSpaces создаст группу безопасности, которая будет назначена всем рабочим столам WorkSpaces, предоставленным пользователям в вашем каталоге. Вы также можете создать дополнительные группы безопасности через консоль WorkSpaces. Если вы хотите разрешить доступ к Интернету из рабочих столов WorkSpaces, вам необходимо назначить общедоступный IP-адрес, и вам необходимо настроить его до предоставления рабочих столов WorkSpaces, поскольку он будет применяться только к тем, которые созданы после включения этого параметра.. Если у вас уже есть подготовленные рабочие столы WorkSpaces, можно вручную назначить этим рабочим столам эластичный IP-адрес. Вот инструкции о том, как это сделать.
Безопасность программного обеспечения
Как известно всем ИТ-специалистам, одним из наиболее важных аспектов компьютерной и сетевой безопасности является максимально быстрое исправление уязвимостей в программном обеспечении до того, как об их существовании станет широко известно и злоумышленники воспользуются возможностью воспользоваться ими. На рабочих столах WorkSpaces работают популярные приложения в популярной клиентской операционной системе, поэтому обновления безопасности так же важны для этих виртуальных рабочих столов, как и для любого сетевого клиента.
Amazon дает вам, как администратору WorkSpaces, контроль над установкой исправлений безопасности на рабочие столы пользователей. Это можно сделать с помощью службы Центра обновления Windows, встроенной во все современные версии Windows, а Центр обновления Windows включен по умолчанию на всех новых рабочих столах WorkSpaces. Однако при желании вы можете использовать решение для управления исправлениями по своему выбору, как для обновления приложений Windows и Microsoft, так и для обновления сторонних приложений.
Другим «обязательным» элементом обеспечения максимальной безопасности является антивирусное/антивредоносное ПО, и вы можете установить свое любимое антивирусное/административное программное обеспечение на рабочие столы пользователей точно так же, как вы устанавливаете их на клиентские компьютеры Windows в вашей организации. Вы получаете Trend Micro AV как часть пакета, если покупаете один из пакетов WorkSpaces «Plus» (Value Plus, Standard Plus или Performance Plus) вместе с приложениями Microsoft Office.
Резюме
Безопасность может создать или разрушить «Рабочий стол как услугу» как в переносном, так и в буквальном смысле. В этой части 3 нашей серии статей об Amazon WorkSpaces мы рассмотрели некоторые механизмы безопасности, которые Amazon внедряет для защиты рабочих столов пользователей, предоставляемых через их предложение DaaS. Хотя мы завершаем серию этой частью, это еще не вся история. Еще одним очень важным аспектом безопасности является шифрование и то, как оно работает с WorkSpaces. Я обращусь к этому в будущем в другой статье, которая будет опубликована на сайте WindowsNetworking.com, так что следите за обновлениями, если вам интересно «остальное».
- Amazon WorkSpaces: ваш рабочий стол в облаке AWS (часть 2)