AWS Blog 1
AWS Workspaces Overview /1

Introduction:

AWS Workspaces คือโซลูชัน Desktop-as-a-Service (DaaS) โดยนำเสนอข้อดีของบริการคลาวด์ รวมถึงความเรียบง่าย ความสามารถในการปรับขนาด ความพร้อมใช้งานสูง และราคาแบบจ่ายตามการใช้งาน 

Architecture:

ด้านล่างคือสถาปัตยกรรมของ AWS Workspaces หากท่านยังไม่เคยมีประสบการณ์การใช้งาน AWS มาก่อน เราจะช่วยแยกย่อยและอธิบายให้เข้าใจง่ายยิ่งขึ้น 

Virtual Private Cloud (VPC) — การจัดการโดย AWS 

AWS จะเป็นตัวจัดการ VPC ในลักษณะที่ไม่สามารถเข้าถึงหรือตรวจสอบได้โดยตรงผ่านบัญชี AWS ของผู้ใช้งานอื่น แม้ว่าจะไม่สามารถที่จะเห็น VPC ดังกล่าวในทันที แต่สามารถทำความเข้าใจส่วนประกอบของบริการไดเรกทอรีและพื้นที่ทำงาน รวมถึงไม่สามารถมองเห็นข้อมูลสาธารณะที่เกี่ยวข้องกับบริการเหล่านี้ 

เมื่อต้องการเชื่อมต่อบริการเหล่านี้กับ VPC ของผู้ใช้งาน AWS จะใช้ Elastic Network Interfaces (ENI) ทำหน้าที่ในการเชื่อมต่อกับ VPC ที่จัดการโดย AWS และ VPC ของผู้ใช้งาน สิ่งนี้สนับสนุนการสื่อสารระหว่างสองฝ่ายด้วยการรักษาความปลอดภัยและแยกส่วนของข้อมูล 

 

VPC — สำหรับผู้ใช้งาน (Customer) 

VPC นี้ถูกสร้างขึ้นโดยผู้ใช้งานผ่านบัญชี AWS ของตนเอง บริการไดเรกทอรีและพื้นที่ทำงานถูกเชื่อมต่อผ่าน ENI เพื่อการกำหนดพื้นที่เครือข่ายย่อยที่เหมาะสม 

Authentication/Session Gateway 

Authentication/Session Gateway มีหน้าที่จัดการการตรวจสอบสิทธิ์และการจัดการเซสชันเมื่อผู้ใช้เข้าถึง AWS Workspaces เมื่อการเข้าสู่ระบบเกิดขึ้น ขั้นตอนการตรวจสอบความถูกต้องจะเริ่มต้น และเมื่อการตรวจสอบสิทธิ์เสร็จสิ้น เซสชันความปลอดภัยจะถูกสร้างขึ้น 

การตั้งค่าการตรวจสอบสิทธิ์สามารถเพิ่มประสิทธิภาพด้วย Multi-Factor Authentication (MFA) ซึ่งมีเครื่องมืออื่นๆ ที่สามารถเชื่อมต่อกับระบบได้เช่น Radius และบริการของบริษัทภายนอก โดยมีความยืดหยุ่นในการตั้งค่าการรวมข้อมูลกับ SAML 2.0 และ AWS Directory Services การสื่อสารในส่วนนี้ใช้ Secure Socket Layer (SSL) ผ่านโปรโตคอล TCP บนพอร์ต 443 

Streaming Gateways 

Streaming Gateways ทำหน้าที่ในการส่งข้อมูลเสียงและภาพจาก AWS Workspaces ไปยังอุปกรณ์ของผู้ใช้งาน เมื่อมีการตอบสนองต่อเดสก์ท็อปเสมือน (Virtual Desktop) ซึ่งมีการใช้เทคโนโลยีการบีบอัดและการสตรีมเพื่อส่งข้อมูลไปยังอุปกรณ์ของผู้ใช้งาน การประมวลผลนี้ช่วยในการให้ผู้ใช้งานได้รับประสบการณ์การใช้งานที่ราบรื่น 

บริการสตรีมมิ่งนี้ใช้งานอยู่บนโปรโตคอล PCoIP (PC-over-IP) หรือ WSP (WorkSpaces Streaming Protocol) ซึ่งทำการส่งข้อมูลผ่านทางพอร์ต UDP (User Datagram Protocol) สำหรับการสื่อสาร

AWS Directory Services 

AWS Workspaces ใช้ประโยชน์จากบริการ Directory Services ของ AWS เพื่อจัดเก็บและจัดการข้อมูลผู้ใช้สำหรับ Workspaces ดังนั้นเมื่อพิจารณาการใช้งาน AWS Workspaces จำเป็นต้องทราบรายละเอียดของบริการไดเรกทอรีที่รองรับ 

Architecture Conslusion  

จากรายละเอียดสถาปัตยกรรมข้างต้น ผู้ใช้จะเข้าใจได้อย่างชัดเจนว่า AWS Workspaces ทำงานและให้บริการแก่ผู้ใช้ปลายทางผ่านอินเทอร์เน็ตได้อย่างไร 

Directory Support 

เมื่อต้องการใช้งาน AWS Workspaces จำเป็นต้องมีบริการไดเรกทอรีเพื่อจัดการข้อมูลผู้ใช้ ตัวเลือกไดเรกทอรีที่สามารถใช้งานได้มีดังนี้: 

  • Simple AD: ไดเรกทอรีที่สามารถสร้างได้โดย Microsoft Active Directory โดยใช้ Samba 4 และจะถูกโฮสต์บน AWS 
  • AWS Managed Microsoft AD: เป็น Microsoft Active Directory ที่ถูกโฮสต์และจัดการโดย AWS 
  • AD Connector: ใช้เพื่อเชื่อมต่อกับ Microsoft Active Directory ภายในองค์กร 
  • Trust and Cross: เชื่อมต่อระหว่าง AWS Managed Microsoft AD และโดเมนภายในองค์กร 

ข้อคิดเกี่ยวกับการออกแบบ 

 

ก่อนตัดสินใจใช้งาน AWS Workspaces มีข้อควรพิจารณาดังนี้: 

  • ประเมินว่า AWS Workspaces ตรงตามความต้องการขององค์กรหรือไม่ 
  • ถ้าต้องการบริการสำหรับการสตรีมแอปพลิเคชันอย่างเดียว AWS AppStream อาจเป็นตัวเลือกที่ดี 

แนวทางการใช้งาน AWS Workspaces 

  1. การกำหนดตัวเลือกไดเร็กทอรี: การเลือกและตั้งค่าไดเร็กทอรีเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยในองค์กร. นโยบายความปลอดภัย, การปฏิบัติตามข้อกำหนด, และการจัดการผู้ใช้เป็นปัจจัยที่ส่งผลต่อการตัดสินใจในการเลือกไดเร็กทอรี 
  2. POC และสภาพแวดล้อมแบบแยก: สำหรับการทดสอบพื้นฐาน (Proof of Concept) หรือสภาพแวดล้อม Sandbox บน AWS, Simple AD สามารถเป็นตัวเลือกที่เหมาะสมได้ เนื่องจากเน้นความเข้ากันได้กับ Active Directory 
  3. บัญชี AWS และการกำหนด VPC: ควรเลือกบัญชี AWS และ VPC ที่สอดคล้องกับโซนเครือข่าย (เช่น Dev, Test, Prod) เพื่อควบคุมการเข้าถึงและการจัดส่วนระหว่างพื้นที่ทำงาน 
  4. การเข้ารหัสข้อมูล: การเข้ารหัสโวลุ่มพื้นที่ทำงานด้วย AWS Key Management Service (KMS) และการจัดการคีย์เป็นวิธีการปรับปรุงความปลอดภัยของข้อมูล 
  5. การรับรองความถูกต้องแบบหลายปัจจัย (MFA): การใช้งาน MFA เป็นการเพิ่มชั้นความปลอดภัยในการเข้าถึง, ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต 
  6. การเลือกชุดพื้นที่ทำงาน: AWS มีชุดพื้นที่ทำงานหลายรูปแบบ ซึ่งควรเลือกตามความต้องการสpecific และการกำหนดค่าต่างๆ 
  7. การจัดเตรียมพื้นที่ทำงานแบบอัตโนมัติ: การทำให้กระบวนการของพื้นที่ทำงานเป็นอัตโนมัติสามารถช่วยเพิ่มประสิทธิภาพและลดค่าใช้จ่าย 
  8. การมอบสิทธิ์ในการบริการ: การให้สิทธิ์การบริการแก่ผู้ใช้เป็นวิธีในการลดภาระการดูแลระบบ และยังเป็นการให้อำนาจแก่ผู้ใช้ในการจัดการพื้นที่ทำงานของตนเอง 
  9. การปฏิบัติตามกฎระเบียบ: สำหรับองค์กรที่มีข้อกำหนดการควบคุม, ควรให้ความสำคัญกับการปฏิบัติตามกฎระเบียบและการกำกับดูแลข้อมูล 
  10. การตรวจสอบและเพิ่มประสิทธิภาพ: การตั้งค่าเพื่อตรวจสอบและแจ้งเตือนปัญหาที่อาจเกิดขึ้นจะช่วยในการปรับปรุงประสิทธิภาพและความปลอดภัย 
  11. การจัดการต้นทุน: ต้องคำนึงถึงปัจจัยต่างๆ ที่ส่งผลต่อต้นทุน, เช่น การใช้พื้นที่จัดเก็บ, จำนวนผู้ใช้, การถ่ายโอนข้อมูล, ค่าบริการไดเร็กทอรี การใช้งานแบบอัตโนมัติ และอื่นๆ 

การเปิดใช้งาน MFA สำหรับ AWS Workspaces หากใช้ Simple AD จะมีข้อจำกัด เนื่องจาก Simple AD ไม่รองรับ MFA โดยตรง. แต่ถ้าต้องการ MFA ควรเชื่อมต่อกับ AWS Managed Microsoft Directory หรือ AD Connector และใช้ RADIUS เพื่อเพิ่มความปลอดภัย. 

ในทางปฏิบัติ, AWS Workspaces ยังไม่ได้รวมกับ AWS Identity Center สำหรับพื้นที่ทำงาน การใช้บริการไดเร็กทอรีจึงเป็นสิ่งจำเป็น และไม่มีไดเร็กทอรีใดที่รองรับ MFA โดยอัตโนมัติ ถ้าเลือก Simple AD คุณจะไม่สามารถใช้คุณสมบัติ MFA ผ่าน RADIUS หรือ SAML 2.0 ซึ่ง มีหลายวิธีในการเพิ่ม MFA ใน AWS Workspaces แต่แต่ละวิธีก็มีความแตกต่างกัน. 

การประยุกต์ใช้ RADIUS และ MFA สำหรับ AWS Workspaces: 

หากต้องการเพิ่มความปลอดภัยผ่าน Multi-Factor Authentication (MFA) ใน AWS Workspaces ควรใช้ AWS Managed Microsoft Directory หรือ AD Connector ร่วมกับเซิร์ฟเวอร์ RADIUS. เซิร์ฟเวอร์ RADIUS สามารถตั้งค่าได้ทั้งในองค์กร (On-prem) หรือใน AWS หรือที่ใดก็ได้ที่มีการเชื่อมต่อกับไดเร็กทอรี เพื่อเพิ่มความปลอดภัยในการตรวจสอบสิทธิ์ผู้ใช้ 

SAML Integration 2.0: 

AWS มีคุณสมบัติใหม่ผ่าน SAML 2.0 ซึ่งช่วยในการเชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัว (IDP) เช่น Azure AD, Duo, และ Okta ผู้ใช้จะได้รับการตรวจสอบสิทธิ์จาก IDP และหลังจากที่ได้รับการอนุญาต พวกเขาสามารถเข้าถึง AWS Workspaces ได้โดยตรง 

สรุป: 

ในบทความนี้ เราได้ศึกษาเกี่ยวกับการประยุกต์ใช้ %3