Suite à la crise sanitaire de 2020, de nombreuses entreprises ont généralisé le travail à distance. Ces nouveaux modes de travail posent cependant la question de l’accès aux applications de l’entreprise et de la sécurisation des échanges. Dans cet article, nous verrons dans quelle mesure les services de virtualisation de bureaux et d’applications répondent à ces problématiques, et plus particulièrement les enjeux de sécurité couverts par Amazon AppStream 2.0.

Pour répondre au besoin de travail à distance, la solution la plus simple est l’installation des applications sur le poste de travail des utilisateurs. C’est aussi la solution la moins sécurisée, car des données seront écrites sur le poste de travail lors de l’accès aux serveurs de bases de données, par exemple. En cas de perte ou de vol du poste de travail, on perd donc des données de l’entreprise. 

Protection des données

Afin de se prémunir contre les risques de fuite de données dans les environnements distants, Amazon AppStream 2.0 permet de déporter l’affichage de l’application sur le poste client. L’application est exécutée sur le Cloud AWS, idem pour la base de données, et aucune donnée n’est envoyée sur le poste utilisateur, puisqu’il s’agit d’un déport d’affichage : l’utilisateur voit seulement des pixels.

En complément, pour s’assurer qu’aucune donnée ne transite sur le poste client, il convient également de configurer quelques stratégies complémentaires : AppStream permet par exemple de bloquer le transfert de fichiers (d’Appstream vers le poste ou inversement), ou d’empêcher les impressions.

Le dossier personnel utilisateur, c’est-à-dire ses paramètres et préférences, sont par contre persistants. Ses documents de travail sont stockés sur S3, où la donnée peut également être chiffrée.

Isolation réseau

AppStream apporte également l’avantage d’une isolation réseau, avec une instance dédiée par utilisateur. L’instance tourne avec une ENI (Elastic Network Interface), dans le subnet d’un VPC choisi.

La configuration des security groups permet de séparer cette machine des autres utilisateurs et des autres serveurs, contrairement à d’autres solutions de déport d’affichage comme Citrix, où plusieurs utilisateurs peuvent être sur le même serveur. A la fin de la session utilisateur, la machine est automatiquement détruite.

Authentification

AppStream s’appuie sur l’authentification SAML avec MFA (cette option n’est pas obligatoire, mais peut être choisie pour renforcer la sécurité), et supporte également l’authentification Smart Card au niveau de l’AD, avec un lecteur de badge sur le poste client. Ce type d’authentification par carte permet à AppStream de fournir du SSO de bout en bout.

Chiffrement

Comment l’affichage est-il transporté ? Il s’agit d’un tunnel HTTPS chiffré avec du SSL (AES256), dans les deux sens. Pas de risque de sécurité de ce côté donc.

Autres enjeux de sécurité

Le choix d’une solution de travail à distance soulève les mêmes problématiques de sécurité que la gestion d’un poste de travail : la mise à disposition d’une machine Windows doit être accompagnée d’un certain nombre de mesures de sécurisation, comme un antivirus.

Si le poste de travail est connecté à un Active Directory, il convient de mettre en place des stratégies de groupe pour limiter certains accès (group policy). Il peut être conseillé aussi de prévoir des outils de DLP (data leak prevention), et plus généralement tous les outils qu’on voudrait installer sur une machine Windows pour durcir la sécurité. Certaines entreprises choisissent ainsi d’utiliser des scripts Powershell pour désactiver certaines fonctions de Windows, activer certains logs, etc. Ce sont des couches qu’on ajoute en fonction du niveau de sécurité souhaité par l’entreprise; on citera par exemple des outils comme FSlogix, Sysmon, etc. Enfin, des produits du marché de type EDR (endpoint detection response) peuvent être installés dans l’image AppStream.

Nous recommandons également de suivre les bonnes pratiques de sécurité sur AWS, dans la gestion des VPC, subnet, security groups, network ACL, etc. Il est aussi possible de s’appuyer sur d’autres services AWS pour apporter une couche supplémentaire de sécurité, comme des clés KMS pour chiffrer les contenus sur S3, ou Kinesis pour envoyer les journaux d’événements Windows ou les contenus de logs.

Ceci, évidemment, en fonction du niveau de sécurité exigé dans l’environnement de travail, et par le contexte particulier de chaque projet. Par exemple, dans le cas d’un déploiement dans un Active Directory, il est préférable de sécuriser les flux en autorisant le strict minimum, afin d’empêcher un attaquant de rebondir sur le réseau s’il arrivait à se connecter à une machine Appstream. Les failles zero day peuvent être utilisées pour une augmentation de privilèges, d’où le besoin d’outils pour détecter ce type d’attaques. 

Enfin nous citerons des bonnes pratiques côté administration windows, comme de ne pas stocker les mots de passe administrateur dans les scripts ou autres fichiers de configuration. La méthode d’automatisation de l’image Builder Appstream développée par Laurent Mas et moi-même utilise par exemple un Active Directory dédié à la construction de l’image, et qui est décorrélé de l’AD cible.