Perguntas frequentes sobre o Amazon WorkSpaces Secure Browser

P: O que é o Amazon WorkSpaces Secure Browser?

O Amazon WorkSpaces Secure Browser é um serviço de navegador totalmente gerenciado, nativo da nuvem e hospedado, usado para acessar com segurança sites privados e aplicações Web de software como serviço (SaaS), interagir com recursos on-line e navegar anonimamente na Internet. O WorkSpaces Secure Browser funciona com os navegadores Web existentes do usuário, sem sobrecarregar a TI com o gerenciamento de dispositivos, infraestrutura, software-cliente especializado ou conexões de rede privada virtual (VPN). O conteúdo da Web é transmitido para o navegador do usuário, enquanto o navegador real e o conteúdo da Web são isolados na AWS. Ao usar as mesmas tecnologias subjacentes que tornam possíveis os serviços de computação para usuários finais da AWS, como o Amazon WorkSpaces e o Amazon AppStream 2.0, o WorkSpaces Secure Browser pode ser mais econômico do que as áreas de trabalho virtuais tradicionais e reduzir a complexidade em comparação com o fornecimento de software de gerenciamento aos dispositivos da empresa.

P: Por que devo usar o WorkSpaces Secure Browser?

O WorkSpaces Secure Browser é uma solução nativa da nuvem que fornece acesso seguro aos dados da empresa pela Web, ao mesmo tempo que reduz o risco de exfiltração de dados ou conexões arriscadas com dispositivos remotos. Muitas workloads estão sendo migradas de um ambiente em área de trabalho tradicional para aplicações SaaS ou sites internos personalizados. Como resultado, os navegadores se tornaram aplicações de produtividade cruciais. As soluções alternativas para proteger o tráfego de navegadores podem ser excessivamente permissivas, caras, complexas ou restringir quais dispositivos os usuários podem usar para acessar os dados da empresa.

P: Como o WorkSpaces Secure Browser está relacionado aos serviços da família Amazon WorkSpaces?

O WorkSpaces Secure Browser faz parte da família WorkSpaces, que oferece soluções de área de trabalho virtual totalmente gerenciadas, seguras e confiáveis para cada workload. O Amazon WorkSpaces oferece áreas de trabalho virtuais Windows ou Linux tradicionais e totalmente persistentes, inteiramente gerenciadas pela AWS. O WorkSpaces Secure Browser fornece um navegador hospedado seguro, usado para acessar sites internos e aplicações SaaS a um custo menor do que uma área de trabalho virtual. Esses serviços podem ser acessados em uma variedade de dispositivos, gerenciados ou não gerenciados, incluindo o Amazon WorkSpaces Thin Client.

P: Como faço para começar a usar o Secure Browser?

Pesquise o serviço WorkSpaces Secure Browser no Console de Gerenciamento da AWS e crie um portal da Web na região desejada. Primeiro, escolha “Criar portal da Web” e selecione uma Amazon Virtual Private Cloud (VPC), sub-redes e um grupo de segurança na sua conta. Esses recursos conectam seu portal a quaisquer recursos privados ou baseados na Internet que os usuários acessarão por meio do serviço. Em seguida, crie as configurações do portal escolhendo o tipo de instância, definindo a política do navegador (por exemplo, filtragem de URL, página inicial padrão etc.) e as configurações do usuário (por exemplo, acesso à área de transferência, transferência de arquivos etc.). Essas configurações serão aplicadas durante a sessão do usuário. Por fim, você pode federar seu provedor de identidades (IdP) SAML 2.0 existente (por exemplo, Okta, Ping, Centro de Identidade do AWS IAM) com seu portal para fins de autenticação de usuário e autenticação única. Depois que o portal do WorkSpaces Secure Browser for criado, os usuários poderão fazer login e navegar.

P: Como o WorkSpaces Secure Browser se comunica com a rede empresarial?

O WorkSpaces Secure Browser provisiona instâncias específicas do Amazon Elastic Compute Cloud (EC2) sob demanda. Basta criar ou identificar uma VPC existente na sua conta, selecionar sub-redes para o tráfego do WorkSpaces Secure Browser e conceder permissão para que o WorkSpaces Secure Browser crie interfaces de rede elásticas entre contas (X-ENIs) que serão vinculadas a hosts alocados à sua conta. Sua VPC deve ter uma conexão estável para o conteúdo que você deseja que os usuários acessem usando o serviço. É possível definir e impor a política do navegador usando as mais de 300 políticas de usuário e dados do Google Chrome e definir controles sobre o acesso dos usuários à transferência de arquivos, à área de transferência e a impressoras locais. Você é responsável pela rede desde sua Amazon VPC até a Internet e qualquer conteúdo interno. O conteúdo interno pode existir dentro dessa VPC (por exemplo, aplicações hospedadas em uma instância do Amazon EC2), em outra Amazon VPC emparelhada com ela, on-premises ou na Internet pública. O acesso aos recursos hospedados on-premises deve estar disponível (por exemplo, por meio de um túnel IPsec, AWS Direct Connect, AWS Transit Gateway etc.).

P: Como os usuários finais começam a usar o WorkSpaces Secure Browser?

Depois de criar um portal, compartilhe o URL dele com seus usuários. Os métodos comuns de distribuição incluem a criação de um fluxo de autenticação iniciado pelo provedor de identidade por meio da adição do seu portal ao gateway de aplicações do seu provedor SAML, do envio do URL por e-mail diretamente aos usuários para uma experiência de autenticação iniciada pelo provedor de serviços, do redirecionamento para o URL do portal de um domínio que você já possui ou da instalação forçada do URL como um marcador ou link em dispositivos ou aplicações gerenciados por você. O WorkSpaces Secure Browser também pode ser usado com o WorkSpaces Thin Client. Quando os usuários tiverem o URL, eles poderão entrar com a identidade SAML e começar a acessar sites por meio do navegador do dispositivo.

P: Que dispositivos posso usar com o WorkSpaces Secure Browser?

Os usuários podem se conectar ao WorkSpaces Secure Browser por meio de computadores desktop, laptop ou thin client, incluindo o Amazon WorkSpaces Thin Client. O WorkSpaces Secure Browser é acessado por meio de um cliente Web e é compatível com navegadores comuns, como Chrome e Firefox, e com os principais sistemas operacionais de desktop, como Windows, macOS e Linux.

P: Que aplicações Web eu posso usar com o WorkSpaces Secure Browser?

O WorkSpaces Secure Browser transmite pixel a pixel para representar uma versão atualizada do navegador Google Chrome. Então, se o conteúdo do site for exibido no Google Chrome, ele será exibido no WorkSpaces Secure Browser. O Google Chrome não é compatível com sites que utilizam Flash ou Java. Consequentemente, o WorkSpaces Secure Browser não é compatível com esses sites.

P: Que aplicações Web eu posso usar com o WorkSpaces Secure Browser?

O WorkSpaces Secure Browser pode se conectar a aplicações Web SaaS internas ou públicas. O WorkSpaces Secure Browser pode trabalhar com qualquer aplicação Web SaaS que funcione em um navegador Google Chrome atualizado.

P: O WorkSpaces Secure Browser funciona com aplicações SaaS?

O WorkSpaces Secure Browser pode se conectar a aplicações Web SaaS internas ou públicas. O WorkSpaces Secure Browser pode trabalhar com qualquer aplicação Web SaaS que funcione em um navegador Google Chrome atualizado.

P: O WorkSpaces Secure Browser funciona com e-mail?

O WorkSpaces Secure Browser oferece suporte a interfaces Web para e-mail. Por exemplo, você pode permitir que usuários finais acessem e-mails usando o Microsoft Outlook Web Access. No entanto, o WorkSpaces Secure Browser não oferece suporte a e-mails em clientes nativos de e-mail.

P: O WorkSpaces Secure Browser oferece suporte a ferramentas de colaboração e reunião baseadas na Web?

Sim. Os clientes têm a opção de otimizar seu tipo de instância, o que pode ser particularmente útil em sites altamente interativos. Por padrão, todos os portais estão em instâncias regulares, as quais são otimizadas para navegar em sites estáticos (por exemplo, wikis, diretórios, ferramentas de CRM, e-mail baseado na Web), mas os administradores podem selecionar instâncias grandes para permitir workloads com maior consumo de memória e instâncias XL para sites altamente interativos, como ferramentas de reunião on-line com transmissão bidirecional de áudio e vídeo.

P: O WorkSpaces Secure Browser é compatível com microfones e webcams?

Sim. Os usuários podem conectar uma entrada de microfone ou câmera ao navegador Chrome remoto durante uma sessão.

P: Como o WorkSpaces Secure Browser protege meus dados?

Durante uma sessão do WorkSpaces Secure Browser, o conteúdo da Web é transmitido de forma efêmera do WorkSpaces Secure Browser para o navegador local do usuário. A transmissão evita que os dados permaneçam em dispositivos remotos e cria uma barreira eficaz contra ataques ocultos em conteúdos da Web. No fim da sessão, a instância é limpa, ajudando a proteger dados empresariais sigilosos. Durante todo o processo, os dados em trânsito são protegidos por criptografia de nível empresarial. Você pode optar por criar um portal do WorkSpaces Secure Browser com o AWS KMS, o que simplifica a criação e o gerenciamento de chaves criptográficas e o controle do uso entre diversos produtos da AWS.

P: Quais são os principais diferenciais de segurança do WorkSpaces Secure Browser?

O WorkSpaces Secure Browser é um produto da AWS. Portanto, o conteúdo é processado em um ambiente seguro e consistente com os padrões da AWS. Como usuário do WorkSpaces Secure Browser, uma parte da nuvem é dedicada à sua conta e lida apenas com os seus dados. O WorkSpaces Secure Browser permite aplicar políticas de navegador e controles de sessão empresariais para o acesso à área de transferência, transferência de arquivos e impressora.

P: O WorkSpaces Secure Browser evita que navegadores Web armazenem dados empresariais em cache?

O WorkSpaces Secure Browser transmite o conteúdo Web em pixels ao navegador, evitando que os dados residam no dispositivo local ou no navegador Web.

P: Posso restringir quais dispositivos podem acessar o WorkSpaces Secure Browser?

Por padrão, o WorkSpaces Secure Browser permite que os usuários acessem o portal de qualquer lugar, mas é possível usar controles de acesso IP para filtrar quais endereços IP podem se conectar. Quando associadas ao seu portal da Web, as configurações de acesso IP detectarão o IP do usuário antes da autenticação para determinar se ele está qualificado para se conectar. Uma vez conectado, o WorkSpaces Secure Browser monitora continuamente o endereço IP de um usuário para garantir que ele permaneça conectado em uma rede confiável. Se o IP de um usuário mudar, o WorkSpaces Secure Browser detectará e encerrará a sessão.

P: Posso controlar quais sites os usuários podem acessar durante uma sessão?

É possível usar a filtragem de URL para controlar quais URLs os usuários podem acessar. Você pode usar o console para criar listas de permissão e negação de URLs como uma configuração do portal ou fazer o upload de um arquivo JSON de política do navegador com filtragem de URL incluída. Também é possível controlar a comunicação de saída de um portal para a Internet conectando sua VPC a um proxy da Web. Você pode definir as configurações de proxy usando as políticas do Chrome incorporadas ao navegador da Web configurando um proxy de saída HTTP. Por exemplo, se você usa um proxy da Web como gateway da Internet, pode implementar controles preventivos de segurança, como listagem de permissões de domínio e filtragem de conteúdo.

P: O WorkSpaces Secure Browser é compatível com o YubiKey?

Há duas maneiras de usar o YubiKey com o WorkSpaces Secure Browser. Uma delas é usar o YubiKey para acesso e autenticação do usuário no início da sessão com seu IdP. Outra é usar o YubiKey com OTP durante a sessão. O suporte a U2F estará disponível em breve.

P: Como o WorkSpaces Secure Browser gerencia o acesso e a autenticação de usuários?

O WorkSpaces Secure Browser foi projetado para trabalhar com os sistemas atuais e não adiciona camadas extras de gerenciamento de usuários. A autenticação de usuário e o login federado usam seu provedor de identidades existente compatível com SAML 2.0 (por exemplo, Centro de Identidade do AWS IAM, Okta ou Ping Identity etc.). Os portais podem oferecer suporte a fluxos de autenticação iniciados pelo provedor de serviços ou pelo provedor de identidades.

P: O WorkSpaces Secure Browser oferece suporte à autenticação única?

Você pode oferecer suporte à autenticação única para sites que usam o mesmo provedor SAML que você configurou para seu portal da Web (por exemplo, se você usa o Okta para se autenticar no portal e nos seus domínios da Web protegidos por login). Basta ativar a extensão do WorkSpaces Secure Browser para autenticação única no seu portal da Web e fazer com que seus usuários finais instalem a extensão local (disponível nos navegadores Chrome ou Firefox). Então, quando seus usuários finais se autenticarem no WorkSpaces Secure Browser, o serviço passará facilmente o cookie de login do IdP para o domínio protegido, evitando um login adicional.

P: Que informações de monitoramento de serviços estão disponíveis?

Você pode monitorar o Amazon WorkSpaces Secure Browser usando o CloudWatch, que coleta dados brutos e os processa em métricas legíveis, quase em tempo real. Essas estatísticas são mantidas por 15 meses para que você possa acessar informações históricas e obter uma perspectiva melhor sobre o desempenho da aplicação ou do serviço da Web. Você também pode habilitar o registro em log de acesso do usuário para dados de sessão e registros de URL por meio do Kinesis Data Streams.

P: As APIs do WorkSpaces Secure Browser registram ações em log no AWS CloudTrail?

Sim. Para receber um histórico das chamadas de API do WorkSpaces Secure Browser efetuadas na sua conta, ative o CloudTrail no Console de Gerenciamento da AWS.

P: Quanto custa o WorkSpaces Secure Browser?

O WorkSpaces Secure Browser é um serviço com pagamento conforme o uso e sem taxas mínimas, compromissos antecipados e contratos de longo prazo. Cada usuário tem até 200 horas de acesso ao streaming por mês, e você recebe uma cobrança mensal com base no número de usuários que se conectam ao serviço. O custo de cada usuário depende do tipo de instância e da região selecionados para seu portal da Web. Acesse a nossa página de preços para obter as informações mais recentes.

P: Em quais regiões da AWS o WorkSpaces Secure Browser está disponível?

R: O WorkSpaces Secure Browser está disponível nas seguintes regiões: Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Canadá (Central), Ásia-Pacífico (Mumbai), Ásia-Pacífico (Singapura), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Europa (Irlanda), Europa (Londres) e Europa (Frankfurt).