Вопросы и ответы по Amazon WorkSpaces Web

Вопрос. Что такое Amazon WorkSpaces Web?

Amazon WorkSpaces Web – это полностью управляемый и оптимизированный для облака хостинговый браузерный сервис, который используется для предоставления безопасного доступа к частным веб-сайтам и веб-приложениям SaaS (программное обеспечение как услуга), взаимодействия с онлайн-ресурсами и анонимного просмотра веб-страниц в Интернете. Он работает с существующими веб-браузерами пользователя, не обременяя ИТ-специалистов управлением устройствами, инфраструктурой, специализированным клиентским программным обеспечением или подключениями к виртуальной частной сети (VPN). Веб-контент передается в веб-браузер пользователя, а сам браузер и веб-контент изолированы в AWS. Используя те же базовые технологии, которые лежат в основе вычислительных сервисов AWS для конечных пользователей, таких как Amazon WorkSpaces и Amazon AppStream2.0, WorkSpaces Web может быть более экономически выгодным, чем традиционные виртуальные рабочие столы, а также снизить сложность по сравнению с корпоративными устройствами с программным обеспечением для управления.

Вопрос. Зачем использовать WorkSpaces Web?

WorkSpaces Web – это оптимизированное для облака решение, которое обеспечивает безопасный доступ к корпоративным данным через Интернет и снижает риск утечки данных или рискованных подключений к удаленным устройствам. Многие рабочие нагрузки теперь размещаются не в традиционной среде рабочего стола, а в приложениях SaaS или на внутренних пользовательских веб-сайтах. В результате браузер становится критически важным производительным приложением для многих пользователей. Альтернативные решения для защиты трафика браузера могут быть недостаточно строгими, дорогостоящими и сложными в использовании, а также ограничивать использование устройств для доступа к данным компании.

Вопрос. Как сервис WorkSpaces Web связан с семейством сервисов Amazon WorkSpaces?

WorkSpaces Web входит в семейство сервисов WorkSpaces, которое предоставляет полностью управляемые, безопасные и надежные решения для виртуальных рабочих столов для любой рабочей нагрузки. Amazon WorkSpaces предлагает традиционные и стабильные виртуальные рабочие столы Windows или Linux, полностью управляемые AWS. WorkSpaces Web предоставляет безопасный хостинговый браузер для доступа к внутренним веб-сайтам и приложениям SasS по более низкой цене, чем виртуальный рабочий стол. Доступ к этим сервисам возможен на различных устройствах – как управляемых, так и неуправляемых, – включая тонкий клиент Amazon WorkSpaces.

Вопрос. Как начать работу с WorkSpaces Web?

Найдите сервис WorkSpaces Web в Консоли управления AWS и создайте веб-портал в нужном регионе. Сначала нажмите «Создать веб-портал» и выберите виртуальное частное облако Amazon (VPC), подсети и группу безопасности в своем аккаунте. Эти ресурсы связывают ваш портал с любыми частными или интернет-ресурсами, к которым пользователи получат доступ через сервис. Затем создайте настройки портала, выбрав тип инстанса, настроив политику браузера (например, фильтрацию URL-адресов, домашнюю страницу по умолчанию и т. д.) и пользовательские настройки (например, доступ к буферу обмена, передачу файлов и т. д.). Эти настройки будут применены во время сеанса пользователя. Наконец, вы можете объединить существующего поставщика идентификации (IdP) SAML 2.0 (например, Okta, Ping, Центр идентификации AWS IAM) со своим порталом для аутентификации пользователей и единого входа. После создания портала WorkSpaces Web пользователи могут входить в систему и просматривать веб-страницы.

Вопрос. Как WorkSpaces Web обменивается данными с корпоративной сетью?

WorkSpaces Web предоставляет по требованию определенные инстансы Эластичного облака вычислений Amazon (EC2). Для этого вам нужно просто создать новое или найти существующее облако VPC в аккаунте, выбрать подсети для трафика WorkSpaces Web и предоставить WorkSpaces Web права на создание эластичных сетевых интерфейсов (X‑ENI), которые будут связаны с соответствующими узлами, для нескольких аккаунтов. У вашего VPC должно быть стабильное соединение с контентом, к которому пользователи должны получать доступ с помощью сервиса. Можно использовать более 300 политик Google Chrome для пользователей и данных и задать принудительную политику браузера, а также контролировать доступ пользователей к передаче файлов, буферу обмена и локальным принтерам. Вы отвечаете за управление сетевым взаимодействием Amazon VPC как с Интернетом, так и с любым внутренним контентом. Внутренний контент может храниться в рамках этого VPC (например, приложения, размещенные на инстансе Amazon EC2), в другом VPC Amazon, связанном пиринговым подключением, локально или в публичном Интернете. Ресурсы, размещенные локально, должны быть доступны (например, через тоннель IPsec, подключение AWS Direct Connect, Транспортный шлюз AWS и т. д.).

Вопрос. Как конечные пользователи могут начать работу с WorkSpaces Web?

После создания портала поделитесь его URL-адресом со своими пользователями. Это можно сделать такими способами: создав поток аутентификации, инициированный поставщиком идентификации, добавив портал в шлюз приложения поставщика SAML, отправив URL-адрес непосредственно на почту пользователей для аутентификации, инициированной поставщиком услуг, перенаправив на URL-адрес портала с уже принадлежащего вам домена или принудительно установив URL-адрес в виде закладки или ссылки на управляемом вами устройстве или приложении. Кроме того, WorkSpaces Web можно использовать с тонким клиентом WorkSpaces. Затем пользователи могут войти в систему, используя идентификатор SAML, и получить доступ к веб-сайтам из веб-браузера на своем устройстве.

Вопрос. Какие устройства можно использовать с WorkSpaces Web?

Пользователи могут подключаться к WorkSpaces Web с настольных компьютеров, ноутбуков или тонких клиентских компьютеров, включая тонкий клиент Amazon WorkSpaces. Доступ к WorkSpaces Web осуществляется через веб-клиент и поддерживается распространенными веб-браузерами, такими как Chrome и Firefox, а также основными настольными операционными системами, такими как Windows, macOS и Linux.

Вопрос. Какие интернет-приложения можно использовать вместе с WorkSpaces Web?

Пиксель WorkSpaces Web передает обновленную версию браузера Google Chrome. Поэтому если контент веб-сайта отображается в Google Chrome, то будет отображаться и в WorkSpaces Web. Google Chrome не поддерживает сайты, требующие Flash или Java, следовательно с ними не совместим и сервис WorkSpaces Web.

Вопрос. Какие интернет-приложения можно использовать вместе с WorkSpaces Web?

Сервис WorkSpaces Web может подключаться ко внутренним или общедоступным веб-приложениям SaaS. Сервис поддерживает любые интернет-приложения SaaS, которые работают в актуальной версии браузера Google Chrome.

Вопрос. Взаимодействует ли WorkSpaces Web с приложениями SaaS?

Сервис WorkSpaces Web может подключаться ко внутренним или общедоступным веб-приложениям SaaS. Сервис поддерживает любые интернет-приложения SaaS, которые работают в актуальной версии браузера Google Chrome.

Вопрос. Взаимодействует ли WorkSpaces Web с электронной почтой?

WorkSpaces Web поддерживает веб-интерфейсы электронной почты. К примеру, можно позволить конечным пользователям использовать электронную почту в приложении Microsoft Outlook Web Access. Однако WorkSpaces Web не поддерживает электронную почту для встроенных почтовых клиентов.

Вопрос. Поддерживает ли WorkSpaces Web веб-инструменты для совместной работы и проведения совещаний?

Да. У клиентов есть возможность оптимизировать тип инстанса, что может быть особенно полезно на высокоинтерактивных веб-сайтах. По умолчанию все порталы работают на обычных инстансах, которые оптимизированы для просмотра статических веб-сайтов (например, вики-страниц, каталогов, инструментов CRM, электронной почты в Интернете), но администраторы могут выбрать крупные инстансы, чтобы обеспечить рабочие нагрузки с интенсивным использованием памяти, а также сверхкрупные инстансы для высокоинтерактивных веб-сайтов, таких как инструменты для проведения онлайн-совещаний, обеспечивающие двустороннюю передачу аудио и видео.

Вопрос. Поддерживает ли WorkSpaces Web микрофоны и веб-камеры?

Да. Во время сеанса пользователи могут подключить микрофон или камеру к удаленному браузеру Chrome.

Вопрос. Как WorkSpaces Web защищает мои данные?

Во время сеанса WorkSpaces Web осуществляется кратковременная потоковая передача веб-контента из WorkSpaces Web в локальный браузер пользователя. За счет потоковой передачи данные не сохраняются на удаленных устройствах, а также обеспечивается эффективная защита от каких-либо угроз веб-контента. В конце сеанса инстанс очищается, обеспечивая защиту конфиденциальных корпоративных данных. В ходе процесса передача данных защищается шифрованием корпоративного уровня. Вы можете сделать портал WorkSpaces Web с помощью AWS KMS. Это позволит с легкостью создавать криптографические ключи и управлять ими, а также контролировать их использование в различных сервисах AWS.

Вопрос. Каковы основные отличия WorkSpaces Web с точки зрения безопасности?

WorkSpaces Web – сервис AWS, поэтому обработка контента осуществляется в безопасной среде, соответствующей стандартам AWS. Как пользователю WorkSpaces Web вам предоставляются выделенные облачные ресурсы, с помощью которых производится обработка только принадлежащих вам данных. С WorkSpaces Web политики корпоративного браузера и средства управления сеансами можно задействовать при доступе к буферу обмена, передаче файлов и принтеру.

Вопрос. Запрещает ли WorkSpaces Web веб‑браузерам кэшировать корпоративные данные?

Пиксель WorkSpaces Web транслирует веб-контент в браузер, не допуская хранение данных на локальном устройстве или в интернет-браузере.

Вопрос. Можно ли ограничить доступ устройств к WorkSpaces Web?

Хотя WorkSpaces Web по умолчанию позволяет получать доступ к порталу из любого места, вы можете сами выбрать IP-адреса, которым будет разрешено к нему подключаться. При подключении к веб-порталу настройки IP-доступа будут определять IP-адрес пользователя перед аутентификацией, чтобы выяснить, имеют ли они право на подключение. После подключения WorkSpaces Web непрерывно отслеживает IP-адрес пользователя, чтобы убедиться, что он остается подключенным к надежной сети. Если IP-адрес пользователя изменится, WorkSpaces Web обнаружит и прервет сеанс.

Вопрос. Можно ли контролировать доступ пользователей к веб-сайтам во время сеанса?

Вы можете использовать фильтрацию, чтобы контролировать доступ пользователей к URL-адресам. Списки разрешенных и запрещенных URL-адресов можно создать с помощью консоли в качестве настройки портала или путем загрузки JSON-файла политики браузера с включенной фильтрацией URL-адресов. Вы также можете управлять исходящими соединениями с портала к Интернету, подключив VPC к прокси-серверу. Параметры прокси-сервера можно настроить с помощью политик Chrome, встроенных в веб-браузер, путем создания исходящего прокси-сервера HTTP. Например, если вы используете прокси-сервер в качестве шлюза доступа к Интернету, вы можете внедрить превентивные меры безопасности, такие как список разрешенных доменов и фильтрация контента.

Вопрос. Поддерживает ли WorkSpaces Web сервис YubiKey?

Есть два способа использования YubiKey в WorkSpaces Web. Вы можете использовать YubiKey для доступа и аутентификации пользователей в начале сеанса с вашим IdP. Вы также можете использовать YubiKey с OTP во время сеанса. Скоро появится поддержка U2F.

Вопрос. Как WorkSpaces Web управляет доступом и аутентификацией пользователей?

Сервис WorkSpaces Web рассчитан на работу с существующими системами и не добавляет дополнительных уровней в процесс управления пользователями. Для аутентификации пользователей и федеративного входа используется существующий поставщик идентификации, совместимый с SAML 2.0 (например, Центр идентификации AWS IAM, Okta или Ping Identity и т. д.). Порталы могут поддерживать потоки аутентификации, инициированные поставщиком услуг или идентификации.

Вопрос. Поддерживает ли WorkSpaces Web функцию единого входа?

Вы можете внедрить единый вход для веб-сайтов, использующих того же поставщика SAML, который вы настроили для своего веб-портала (например, если вы используете Okta для аутентификации на портале и в защищенных веб-доменах). Просто включите расширение WorkSpaces Web для единого входа на веб-портале и попросите конечных пользователей установить локальное расширение (доступно в браузерах Chrome или Firefox). Затем, когда ваши конечные пользователи аутентифицируются в своем браузере WorkSpaces Web, сервис без проблем передаст файл cookie для входа IdP в защищенный домен, предотвращая дополнительный вход.

Вопрос. Какая информация по мониторингу сервиса доступна?

Вы можете отслеживать Amazon WorkSpaces Web с помощью сервиса CloudWatch, который собирает необработанные данные и преобразовывает их в удобные для чтения метрики почти в реальном времени. Эта статистика хранится в течение 15 месяцев, чтобы вы могли получить доступ к исторической информации и лучше понять, как работает ваше веб-приложение или сервис. Можно также активировать ведение журнала доступа пользователей для данных сеансов и записей URL-адресов через потоки данных Kinesis.

Вопрос. Записываются ли операции, выполняемые посредством API WorkSpaces Web, в журнал AWS CloudTrail?

Да. Для получения истории вызовов API WorkSpaces Web, выполненных в аккаунте, можно включить сервис CloudTrail в Консоли управления AWS.

Вопрос. Какова стоимость WorkSpaces Web?

WorkSpaces Web – это сервис с оплатой по факту использования. Минимальные или авансовые платежи и долгосрочные договоры не требуются. Каждый пользователь получает до 200 часов доступа к потоковому контенту в месяц, при этом сервис оплачивается ежемесячно по количеству пользователей, подключающихся к сервису. Стоимость для каждого пользователя зависит от типа инстанса и региона, выбранного для веб-портала. См. актуальные тарифы на странице цен.

Вопрос. В каких регионах AWS доступен сервис WorkSpaces Web?

WorkSpaces Web доступен в следующих регионах: Восток США (Северная Вирджиния), Запад США (Орегон), Канада (Центральная), Азиатско-Тихоокеанский регион (Мумбай), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Европа (Ирландия), Европа (Лондон) и Европа (Франкфурт).