Вопросы и ответы о Безопасном браузере Amazon WorkSpaces

Вопрос. Что такое Безопасный браузер Amazon WorkSpaces?

Безопасный браузер Amazon WorkSpaces – это полностью управляемый и оптимизированный для облака браузерный сервис, который используется для предоставления безопасного доступа к частным веб-сайтам и веб-приложениям в формате SaaS (программное обеспечение как услуга), взаимодействия с онлайн-ресурсами и анонимного просмотра веб-страниц в Интернете. Безопасный браузер Amazon WorkSpaces работает с существующими веб-браузерами пользователя, не обременяя ИТ-специалистов управлением устройствами, инфраструктурой, специализированным клиентским программным обеспечением или подключениями к виртуальной частной сети (VPN). Веб-контент передается в веб-браузер пользователя, а браузерный сервис и веб-контент изолированы в среде AWS. Безопасный браузер Amazon WorkSpaces использует те же базовые технологии, которые лежат в основе вычислительных сервисов AWS для конечных пользователей, таких как Amazon WorkSpaces и Amazon AppStream2.0. Экономически он может оказаться выгоднее, чем традиционные виртуальные рабочие столы, и проще, чем корпоративные устройства с управляющим программным обеспечением.

Вопрос. Для чего применяется Безопасный браузер WorkSpaces?

Безопасный браузер Amazon WorkSpaces – это оптимизированное для облака решение, которое обеспечивает защищенный доступ к корпоративным данным через среду Интернет, снижая риск утечки данных и рискованных подключений с удаленных устройств. Многие рабочие нагрузки сейчас переносятся из традиционной среды рабочего стола в приложения SaaS или на собственные веб-сайты организаций. В результате браузер становится критически важным производительным приложением для многих пользователей. Альтернативные решения для защиты трафика в браузере могут быть недостаточно строгими или слишком дорогими и сложными, а также могут ограничивать выбор устройств для доступа к данным компании.

Вопрос. Как Безопасный браузер Amazon WorkSpaces связан с семейством сервисов Amazon WorkSpaces?

Безопасный браузер Amazon WorkSpaces входит в семейство сервисов WorkSpaces, которое предоставляет полностью управляемые, безопасные и надежные решения в формате виртуальных рабочих столов для любой рабочей нагрузки. Amazon WorkSpaces предлагает традиционные полностью постоянные виртуальные рабочие столы с ОС Windows или Linux, управление которыми полностью берет на себя AWS. Безопасный браузер WorkSpaces предоставляет безопасный облачный браузер для доступа к внутренним веб-сайтам и приложениям SaaS по более низкой цене, чем полноценный виртуальный рабочий стол. Доступ к этим сервисам возможен с устройствах разных типов – как управляемых, так и неуправляемых, – включая тонкий клиент Amazon WorkSpaces.

Вопрос. Как начать работу с Безопасным браузером Amazon WorkSpaces?

Найдите сервис «Безопасный браузер Amazon WorkSpaces» в Консоли управления AWS и создайте веб-портал в нужном регионе. Сначала нажмите «Создать веб-портал» и выберите виртуальное частное облако Amazon (VPC), нужные подсети и группу безопасности из вашего аккаунта. Эти ресурсы связывают ваш портал с любыми частными или интернет-ресурсами, к которым пользователи получат доступ через сервис. Затем создайте настройки портала, выбрав тип инстанса, настроив политику браузера (например, фильтрацию URL-адресов, домашнюю страницу по умолчанию и т. д.) и пользовательские настройки (например, доступ к буферу обмена, передачу файлов и т. д.). Эти настройки будут применены во время сеанса пользователя. Наконец, вы можете подключить к порталу существующий поставщик идентификации (IdP) SAML 2.0 (например, Okta, Ping или Центр идентификации AWS IAM) для аутентификации пользователей и поддержки единого входа. Когда вы завершите создание портала для Безопасного браузера Amazon WorkSpaces, пользователи смогут входить в систему и просматривать веб-страницы.

Вопрос. Как Безопасный браузер Amazon WorkSpaces обменивается данными с корпоративной сетью?

Безопасный браузер Amazon WorkSpaces предоставляет по требованию инстансы Эластичного облака вычислений Amazon (EC2). Вам остается лишь создать новое облако VPC или найти уже существующее в своем аккаунте, выбрать подсети для трафика Безопасного браузера WorkSpaces и предоставить этому сервису права на создание эластичных сетевых интерфейсов (X‑ENI), которые будут связываться с узлами из вашего аккаунта. У выбранного облака VPC должно быть стабильное соединение с тем источником контента, к которому будут обращаться пользователи. Можно использовать более 300 политик Google Chrome для пользователей и данных и задать принудительную политику браузера, а также контролировать доступ пользователей к передаче файлов, буферу обмена и локальным принтерам. Вы отвечаете за управление сетевым взаимодействием Amazon VPC как с Интернетом, так и с любым внутренним контентом. Внутренний контент может храниться в рамках этого VPC (например, приложения, размещенные на инстансе Amazon EC2), в другом VPC Amazon, связанном пиринговым подключением, локально или в публичном Интернете. Ресурсы, размещенные локально, должны быть доступны (например, через тоннель IPsec, подключение AWS Direct Connect или Транспортный шлюз AWS).

Вопрос. Как конечные пользователи могут начать работу с Безопасным браузером WorkSpaces?

После создания портала передайте своим пользователям его URL-адрес. Для этого можно создать поток аутентификации, инициируемый поставщиком идентификации, или добавить портал в шлюз приложения поставщика SAML, или отправить пользователям на электронную почту URL-адрес потока аутентификации, инициируемого поставщиком услуг, или настроить перенаправление на URL-адрес портала с вашего домена, или создав для этого URL-адреса закладку или ссылку на управляемом устройстве или в вашем приложении. Кроме того, Безопасный браузер WorkSpaces можно использовать в сочетании с тонким клиентом WorkSpaces. Получив URL-адрес, пользователи смогут входить в систему с идентификатором SAML и работать с защищенными веб-сайтами из обычного браузера на своем устройстве.

Вопрос. Какие устройства поддерживает Безопасный браузер WorkSpaces?

Пользователи могут подключаться к Безопасному браузеру WorkSpaces с настольных компьютеров, ноутбуков или через тонкие клиенты, включая тонкий клиент Amazon WorkSpaces. Доступ к Безопасному браузеру WorkSpaces осуществляется через веб-клиент и поддерживается всеми распространенными веб-браузерами, например Chrome и Firefox, в любой известной операционной системе, например Windows, macOS и Linux.

Вопрос. Какие интернет-приложения можно использовать в сочетании с Безопасным браузером WorkSpaces?

Пиксель Безопасного браузера WorkSpaces применяет обновленную версию браузера Google Chrome. Таким образом, в Безопасном браузере WorkSpaces будет нормально работать любой веб-сайт, контент которого правильно отображается в Google Chrome. Google Chrome не поддерживает сайты, для работы которых требуется Flash или Java. Соответственно, их нельзя использовать и в Безопасном браузере WorkSpaces.

Вопрос. Какие интернет-приложения можно использовать в сочетании с Безопасным браузером WorkSpaces?

Безопасный браузер WorkSpaces может подключаться ко внутренним или общедоступным веб-приложениям в формате SaaS. Этот сервис поддерживает любые интернет-приложения SaaS, которые могут работать в текущей актуальной версии браузера Google Chrome.

Вопрос. Работает ли Безопасный браузер WorkSpaces с приложениями SaaS?

Безопасный браузер WorkSpaces может подключаться ко внутренним или общедоступным веб-приложениям в формате SaaS. Этот сервис поддерживает любые интернет-приложения SaaS, которые могут работать в текущей актуальной версии браузера Google Chrome.

Вопрос. Работает ли Безопасный браузер WorkSpaces с электронной почтой?

Безопасный браузер WorkSpaces поддерживает веб-интерфейсы поставщиков электронной почты. Например, вы можете предоставить конечным пользователям возможность работы с электронной почтой в приложении Microsoft Outlook Web Access. Но учтите, что Безопасный браузер WorkSpaces не поддерживает использование электронной почты через почтовые клиенты операционных систем.

Вопрос. Поддерживает ли Безопасный браузер WorkSpaces веб-инструменты для совместной работы и совещаний?

Да. У клиентов есть возможность оптимизировать тип инстанса, что может быть особенно полезно на высокоинтерактивных веб-сайтах. По умолчанию все порталы работают на обычных инстансах, которые оптимизированы для просмотра статических веб-сайтов (например, вики-страниц, каталогов, инструментов CRM, электронной почты в Интернете), но администраторы могут выбрать инстансы крупного размера, чтобы поддерживать рабочие нагрузки с интенсивным использованием памяти, или очень крупного размера для веб-сайтов с высокой интенсивностью взаимодействия, таких как инструменты для проведения онлайн-совещаний, которые выполняют двустороннюю передачу потоков аудио и видео.

Вопрос. Поддерживает ли Безопасный браузер WorkSpaces микрофоны и веб-камеры?

Да. Во время сеанса пользователи могут подключить микрофон или камеру к удаленному браузеру Chrome.

Вопрос. Как Безопасный браузер WorkSpaces защищает мои данные?

Во время сеанса Безопасный браузер WorkSpaces передает обработанное в сервисе содержимое в локальный браузер пользователя. Потоковая передача позволяет избежать сохранения данных на удаленных устройствах и любых угроз, которые могут встраиваться в веб-содержимое. В конце сеанса инстанс очищается, обеспечивая защиту конфиденциальных корпоративных данных. В ходе процесса передача данных защищается шифрованием корпоративного уровня. Вы можете сделать портал Безопасного браузера WorkSpaces с поддержкой AWS KMS, что позволит легко создавать криптографические ключи и управлять ими, а также контролировать их использование в сервисах AWS.

Вопрос. Каковы основные отличия Безопасного браузера WorkSpaces с точки зрения безопасности?

Безопасный браузер WorkSpaces – это сервис AWS, а значит вся обработка контента осуществляется в безопасной среде, соответствующей стандартам AWS. Пользователю Безопасного браузера WorkSpaces предоставляются выделенные облачные ресурсы, на которых выполняется обработка только ваших данных. Безопасный браузер WorkSpaces позволяет применять любые корпоративные политики и средства управления сеансами, регламентирующие доступ к буферу обмена, передачу файлов и использование принтера.

Вопрос. Предотвращает ли Безопасный браузер WorkSpaces кэширование корпоративных данных?

Пиксель Безопасного браузера WorkSpaces транслирует веб-контент в браузер, не допуская сохранение данных на локальном устройстве или в интернет-браузере.

Вопрос. Можно ли ограничить доступ устройств к Безопасному браузеру WorkSpaces?

По умолчанию Безопасный браузер WorkSpaces допускает подключение пользователей к порталу из любого места, но вы можете настроить фильтр подключений по IP-адресам. При обращении к веб-порталу настройки доступа будут получать IP-адрес пользователя перед аутентификацией и проверять, разрешен ли доступ с этого адреса. После создания подключения Безопасный браузер WorkSpaces непрерывно отслеживает IP-адрес пользователя и контролирует, чтобы он всегда был подключен к надежной сети. Если IP-адрес пользователя изменится, Безопасный браузер WorkSpaces обнаружит это и прервет текущий сеанс.

Вопрос. Можно ли контролировать доступ пользователей к веб-сайтам во время сеанса?

Вы можете использовать фильтрацию, чтобы контролировать доступ пользователей к URL-адресам. Списки разрешенных и запрещенных URL-адресов можно создать с помощью консоли в качестве настройки портала или путем загрузки JSON-файла политики браузера с включенной фильтрацией URL-адресов. Вы также можете управлять исходящими соединениями с портала к Интернету, подключив VPC к прокси-серверу. Параметры прокси-сервера можно настроить с помощью политик Chrome, встроенных в веб-браузер, путем создания исходящего прокси-сервера HTTP. Например, если вы используете прокси-сервер в качестве шлюза для доступа к Интернету, вы можете внедрить ограничительные меры безопасности, такие как список разрешенных доменов и фильтрация контента.

Вопрос. Поддерживает ли Безопасный браузер WorkSpaces сервис YubiKey?

Да, есть два способа использовать YubiKey в Безопасном браузере WorkSpaces. Вы можете настроить YubiKey у поставщика идентификации для контроля доступа и аутентификации пользователей в начале сеанса. Вы также можете использовать YubiKey с OTP во время сеанса. Скоро появится поддержка U2F.

Вопрос. Как Безопасный браузер WorkSpaces управляет доступом и аутентификацией пользователей?

Безопасный браузер Amazon WorkSpaces рассчитан на работу с любыми существующими системами и не добавляет новых уровней в процесс управления пользователями. Для аутентификации пользователей и федеративного входа используется любой существующий поставщик идентификации, совместимый со стандартом SAML 2.0 (например, Центр идентификации AWS IAM, Okta или Ping Identity). Порталы могут поддерживать потоки аутентификации, инициируемые поставщиком услуг или поставщиком идентификации.

Вопрос. Поддерживает ли Безопасный браузер WorkSpaces функцию единого входа?

Вы можете настроить единый вход для веб-сайтов, использующих тот же поставщик SAML, который вы настроили для своего веб-портала (например, если вы используете Okta для аутентификации на портале и в защищенных веб-доменах). Просто разрешите единый вход для расширения Безопасного браузера WorkSpace в настройках веб-портала и попросите конечных пользователей установить локальное расширение (доступно для браузеров Chrome и Firefox). Теперь, когда конечные пользователи аутентифицируются в Безопасном браузере WorkSpaces, сервис будет незаметно для них передавать файл cookie с данными поставщика идентификации для входа в защищенный домен, избавляя от дополнительных запросов на вход.

Вопрос. Какая предоставляется информация для мониторинга сервиса?

Вы можете использовать для мониторинга Безопасного браузера Amazon WorkSpaces сервис CloudWatch, который собирает необработанные данные и преобразовывает их в удобные для чтения показатели почти в реальном времени. Эта статистика хранится в течение 15 месяцев, чтобы вы могли проверить информацию за прошлые периоды и проанализировать работу веб-приложения или сервиса. Можно также настроить ведение журнала доступа пользователей по данным о сеансах и URL-адресах через потоки данных Kinesis.

Вопрос. Записываются ли в журнал AWS CloudTrail операции, выполняемые через API Безопасного браузера WorkSpaces?

Да. Для получения истории вызовов API Безопасного браузера WorkSpaces, выполненных в вашем аккаунте, включите сервис CloudTrail в Консоли управления AWS.

Вопрос. Сколько стоит использование Безопасного браузера WorkSpaces?

Безопасный браузер WorkSpaces предоставляется как сервис с оплатой по факту использования. Минимальные или авансовые платежи и долгосрочные договоры не применяются. Каждый пользователь получает до 200 часов доступа к потоковому контенту в месяц, а плата за сервис вычисляется пропорционально количеству пользователей, подключавшихся к сервису в течение месяца. Стоимость для каждого пользователя зависит от типа инстанса и региона, выбранного для веб-портала. См. актуальные тарифы на странице цен.

Вопрос. В каких регионах AWS доступен Безопасный браузер WorkSpaces?

Безопасный браузер WorkSpaces доступен в следующих регионах: Восток США (Северная Вирджиния), Запад США (Орегон), Канада (Центральная), Азиатско-Тихоокеанский регион (Мумбаи), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Европа (Ирландия), Европа (Лондон) и Европа (Франкфурт).