EN | TH
Professional Service

Workspaces Deep Dive: Architecture Part 1

AWS Workspaces คือโซลูชัน Desktop-as-a-Service (DaaS) โดยนำเสนอข้อดีของบริการคลาวด์ รวมถึงความเรียบง่าย ความสามารถในการปรับขนาด ความพร้อมใช้งานสูง และราคาแบบจ่ายตามการใช้งาน

Architecture

ด้านล่างคือสถาปัตยกรรมของ AWS Workspaces หากท่านยังไม่เคยมีประสบการณ์การใช้งาน AWS มาก่อน เราจะช่วยแยกย่อยและอธิบายให้เข้าใจง่ายยิ่งขึ้น

1
Virtual Private Cloud (VPC) - การจัดการโดย AWS
AWS จะเป็นตัวจัดการ VPC ในลักษณะที่ไม่สามารถเข้าถึงหรือตรวจสอบได้โดยตรงผ่านบัญชี AWS ของผู้ใช้งานอื่น แม้ว่าจะไม่สามารถที่จะเห็น VPC ดังกล่าวในทันที แต่สามารถทำความเข้าใจส่วนประกอบของบริการไดเรกทอรีและพื้นที่ทำงาน รวมถึงไม่สามารถมองเห็นข้อมูลสาธารณะที่เกี่ยวข้องกับบริการเหล่านี้ เมื่อต้องการเชื่อมต่อบริการเหล่านี้กับ VPC ของผู้ใช้ AWS จะใช้ Elastic Network Interfaces (ENI) ทำหน้าที่ในการเชื่อมต่อกับ VPC ที่จัดการโดย AWS และ VPC ของผู้ใช้งาน สิ่งนี้สนับสนุนการสื่อสารระหว่างสองฝ่ายด้วยการรักษาความปลอดภัยและแยกส่วนของข้อมูล
2
VPC - สำหรับผู้ใช้งาน (Customer)
VPC นี้ถูกสร้างขึ้นโดยผู้ใช้งานผ่านบัญชี AWS ของตนเอง บริการไดเรกทอรีและพื้นที่ทำงานถูกเชื่อมต่อผ่าน ENI เพื่อการกำหนดพื้นที่เครือข่ายย่อยที่เหมาะสม

Authentication/Session Gateway

Authentication/Session Gateway มีหน้าที่จัดการการตรวจสอบสิทธิ์และการจัดการเซสชันเมื่อผู้ใช้เข้าถึง AWS Workspaces เมื่อการเข้าสู่ระบบเกิดขึ้น ขั้นตอนการตรวจสอบความถูกต้องจะเริ่มต้น และเมื่อการตรวจ สอบสิทธิ์เสร็จสิ้น เซสชันความปลอดภัยจะถูกสร้างขึ้นการตั้งค่าการตรวจสอบสิทธิ์สามารถเพิ่มประสิทธิภาพด้วย Multi-Factor Authentication (MFA) ซึ่งมีเครื่องมืออื่นๆ ที่สามารถเชื่อมต่อกับระบบได้เช่น Radius และบริการของบริษัทภายนอก โดยมีความยึดหยุ่นในการตั้งค่าการรวมข้อมูลกับ SAML 2.0 และ AWS Directory Services การสื่อสารในส่วนนี้ใช้ Secure Socket Layer (SSI) ผ่านโปรโตคอล TCP บนพอร์ต 443

Streaming Gateways

Streaming Gateways ทำหน้าที่ในการส่งข้อมูลเสียงและภาพจาก AWS Workspaces ไปยังอุปกรณ์ของผู้ใช้งาน เมื่อมีการตอบสนองต่อเดสก์ท็อปเสมือน (Virtual Desktop) ซึ่งมีการใช้เทคโลยีการบีบอัด และการสตรีมเพื่อส่งข้อมูลไปยังอุปกรณ์ของผู้ใช้งาน การประมวลผลนี้ช่วยในการให้ผู้ใช้งานได้รับประสบการณ์การใช้งานที่ราบรื่นบริการสตรีมมิ่งนี้ใช้งานอยู่บนโปรโตคอล PCoIP (PC-over-P) หรือ WSP (WorkSpaces Streaming Protocol) ซึ่งทำการส่งข้อมูลผ่านทางพอร์ต UDP (User Datagram Protocol) สำหรับการสื่อสาร

AWS Directory Services

AWS Workspaces ใช้ประโยชน์จากบริการ Directory Services ของ AWS เพื่อจัดเก็บและจัดการข้อมูลผู้ใช้สำหรับ Workspaces ดังนั้นเมื่อพิจารณาการใช้งาน AWS Workspaces จำเป็นต้องทราบรายละเอียดของบริการไดเรกทอที่รองรับ

Architecture Conslusion

จากรายละเอียดสถาปัตยกรรมข้างต้น ผู้ใช้จะเข้าใจได้อย่างชัดเจนว่า AWS Workspaces ทำงานและให้บริการแก่ผู้ใช้ปลายทางผ่านอินเทอร์เน็ตได้อย่างไร

Directory Support

เมื่อต้องการใช้งาน AWS Workspaces จำเป็นต้องมีบริการไดเรกทอรีเพื่อจัดการข้อมูลผู้ใช้ ตัวเลือกไดเรกทอรีที่ สามารถใช้งานได้มีดังนี้:

Simple AD
ไดเรกทอรีที่สามารถสร้างได้โดย Microsoft Active Directory โดยใช้ Samba 4 และโฮสต์บน AWS
AWS Managed Microsoft AD
เป็น Microsoft Active Directory ที่ถูกโฮสต์และจัดการโดย AWS
AD Connector
ใช้เพื่อเชื่อมต่อกับ Microsoft Active Directory ภายในองค์กร
Trust and Cross
เชื่อมต่อระหว่าง AWS Managed Microsoft AD และโดเมนกายในองค์กร

ข้อคิดเกี่ยวกับการออกแบบ

ก่อนตัดสินใจใช้งาน AWS Workspaces มีข้อควรพิจารณาดังนี้:

ประเมินว่า AWS Workspaces ตรงตามความต้องการขององค์กรหรือไม่
ถ้าต้องการบริการสำหรับการสตรีมแอปพลิเคชันอย่างเดียว AWS AppStream อาจเป็นตัวเลือกที่ดี

แนวทางการใช้งาน AWS Workspaces

1
การกำหนดตัวเลือกไดเร็กทอรี
การเลือกและตั้งค่าไดเร็กทอรีเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยในองค์กรนโยบายความปลอดภัย, การปฏิบัติตามข้อกำหนด, และการจัดการผู้ใช้เป็นปัจจัยที่ส่งผลต่อการตัดสินใจในการเลือกไดเร็กทอรี
2
POC และสภาพแวดล้อมแบบแยก
สำหรับการทดสอบพื้นฐาน (Proof of Concept) หรือสภาพแวดล้อม Sandboxบน AWS, Simple AD สามารถเป็นตัวเลือกที่เหมาะสมได้ เนื่องจากเน้นความเข้ากันได้กับ Active Directory
3
บัญชี AWS และการทำกำหนด VPC
ควรเลือกบัญชี AWS และ VPC ที่สอดคล้องกับโซนเครือข่าย (เช่น Dev, Test, Prod) เพื่อควบคุมการเข้าถึงและการจัดส่วนระหว่างพื้นที่ทำงาน
4
การเข้ารหัสข้อมูล
การเข้ารหัสโวลุ่มพื้นที่ทำงานด้วย AWS Key Management Service (KMS) และการจัดการคีย์เป็นวิธีการปรับปรุงความปลอดภัยของข้อมูล
5
การรับรองความถูกต้องแบบหลายปัจจัย (MFA)
การใช้งาน MFA เป็นการเพิ่มชั้นความปลอดภัยในการเข้าถึง, ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
6
การเลือกชุดพื้นที่ทำงาน
AWS มีชุดพื้นที่ทำงานหลายรูปแบบ ซึ่งควรเลือกตามความต้องการ specific และการกำหนดค่าต่างๆ
7
การจัดเตรียมพื้นที่ทำงานแบบอัตโนมัติ
การทำให้กระบวนการของพื้นที่ทำงานเป็นอัตโนมัติสามารถช่วยเพิ่มประสิทธิภาพและลดค่าใช้จ่าย
8
การมอบสิทธิ์ในการบริการ
การให้สิทธิ์การบริการแก่ผู้ใช้เป็นวิธีในการลดการะการดูแลระบบ และยังเป็นการให้อำนาจแก่ผู้ใช้ในการจัดการพื้นที่ทำงานของตนเอง
9
การปฏิบัติตามกฎระเบียบ
สำหรับองค์กรที่มีข้อกำหนดการควบคุม, ควรให้ความสำคัญกับการปฏิบัติตามกฎระเบียบและการกำกับดูแลข้อมูล
10
การตรวจสอบและเพิ่มประสิทธิภาพ
การตั้งค่าเพื่อตรวจสอบและแจ้งเตือนปัญหาที่อาจเกิดขึ้นจะช่วยในการปรับปรุงประสิทธิภาพและความปลอดภัย
11
การจัดการต้นทุน
ต้องคำนึงถึงปัจจัยต่างๆ ที่ส่งผลต่อต้นทุน, เช่น การใช้พื้นที่จัดเก็บ, จำนวนผู้ใช้, การถ่ายโอนข้อมูล, ค่าบริการไดเร็กทอรี การใช้งานแบบอัตโนมัติ และอื่นๆ

การเปิดใช้งาน MFA สำหรับ AWS Workspaces หากใช้ Simple AD จะมีข้อจำกัด เนื่องจาก Simple AD ไม่รองรับ MFA โดยตรง แต่ถ้าต้องการ MFA ควรเชื่อมต่อกับ AWS Managed Microsoft Directory หรือ AD Connector และใช้ RADIUS เพื่อเพิ่มความปลอดภัย

ในทางปฏิบัติ, AWS Workspaces ยังไม่ได้รวมกับ AWS Identity Center สำหรับพื้นที่ทำงาน การใช้บริการไดเร็กทอรีจึงเป็นสิ่งจำเป็น และไม่มีไดเร็กทอรีใดที่รองรับ MFA โดยอัตโนมัติ ถ้าเลือก Simple AD คุณจะไม่สามารถใช้คุณสมบัติ MFA ผ่าน RADIUS หรือ SAMI 2.0 ซึ่งมีหลายวิธีในการเพิ่ม MFA ใน AWS Workspaces แต่ละวิธีก็มีความแตกต่างกัน

การประยุกต์ใช้ RADIUS และ MFA สำหรับ AWS Workspace

หากต้องการเพิ่มความปลอดภัยผ่าน Multi-Factor Authentication (MFA) ใน AWS Workspaces ควรใช้ AWS Managed Microsoft Directory หรือ AD Connector ร่วมกับเซิร์ฟเวอร์ RADIUS เซิร์ฟเวอร์ RADIUS สามารถตั้งค่าได้ทั้งในองค์กร (On-prem) หรือใน AWS หรือที่ใดก็ได้ที่มีการเชื่อมต่อกับไดเร็กทอรี เพื่อเพิ่มความปลอดภัยในการตรวจสอบสิทธิ์ผู้ใช้

SAML Integration 2.0

AWS มีคุณสมบัติใหม่ผ่าน SAML 2.0 ซึ่งช่วยในการเชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัว (IDP) เช่น Azure AD, Duo, และ Okta ผู้ใช้จะได้รับการตรวจสอบสิทธิ์จาก IDP และหลังจากที่ได้รับการอนุญาต พวกเขาสามารถเข้าถึง AWS Workspaces ได้โดยตรง

สรุป

ในบทความนี้ เราได้ศึกษาเกี่ยวกับการประยุกต์ใช้ MFA และการผสานรวมสำหรับ AWS Workspaces โดยโฟกัสไปที่การใช้ RADIUS และ SAML 2.0. บทความถัดไป จะมีการอธิบายเกี่ยวกับการผสามรวม AWS Managed AD กับ AzureAD เพื่อเพิ่มความปลอดภัย
Back