[AWS] Workspace <-> Local 데이터 복사, 붙여 넣기 제한 설정
문의 사항
안녕하세요
Workspace 관련 몇 가지 질문 사항이 있습니다.
우선, Workspace 기능을 사용하여 논리적 망분리 환경 구성 테스트를 진행하고 있습니다.
Workspace 환경 구성은 완료했고 실행한 Workspace와 Local PC 사이에 파일은 복사, 붙여넣기가 되고 있지 않습니다. 하지만, Workspace 상에서 파일을 다운로드 받은 후 예를 들어 엑셀 파일을 실행하고 안에 있는 데이터를 로컬 PC 엑셀에 복사, 붙여넣기를 하면 데이터 복사가 가능해집니다.
이와 같은 취약점이 생기면 아무리 파일에 대해 접근 제한을 걸어도 파일이 접근만 되면 로컬에 내용을 그대로 복사할 수 있다는 위험이 생기게 됩니다. 따라서, Workspace <-> Local PC가 완전히 복사, 붙여넣기가 안되는 환경을 구성하고 싶습니다.
이를 위해 다음과 같은 방안을 생각했고, 이 방안의 적정성 검토와 이슈 해결을 요청드립니다.
방안
AD 서버(Directory Service Ec2 Management)에 Workspace들이 Join한 상태이기에 AD 서버 Group Policy Management를 실행하여 해당 도메인 우클릭 후 Create a GPO in this domain, and Link it to this container를 실행 - clipboard redirection 차단 정책 생성 후 적용을 하려 했습니다.
이슈 및 해결요청
하지만, 그룹 정책을 관리자 계정으로 실행해도, admin 계정으로 로그인을 해도 Create a GPO in this domain, and Link it to this container 선택이 비활성화 처리가 되어 그룹 정책을 생성할 수가 없습니다.
Active Directory Users and Computers에 들어가 확인해봤을 때는 현재 도메인 하위 Users에 있는 Admin 및 Workspace 계정들이 도메인 관리 및 그룹 정책을 관리할 권한이 없는 것으로 보여지는데 해당 권한을 어떻게 부여할 수 있을지와 AD 서버에서 클립보드 제한 정책을 생성하면 엑셀 데이터가 복사, 붙여넣기가 안되는 것이 맞는지 등 해결을 요청드립니다
답변
안녕하세요.
■ 문의내용
- WorkSpaces 환경에서 Client-Agent 간 클립보드 리디렉션이 되고 있어 해당 기능을 비활성화 하고자 하시는 것으로 확인하였습니다.
■ 답변내용
- 현재 담당자분께서 사용하시는 WorkSpaces 프로토콜은 PCoIP 로 Amazon WorkSpaces에 적용되는 그룹 정책 설정을 사용하려면 PCoIP 에이전트 버전(32비트 또는 64비트)에 적합한 그룹 정책 관리 템플릿을 추가해야 합니다.[1]
- 템플릿이 추가된 이후 절차[2]에 따라 클립보드 리디렉션 설정을 진행하실 수 있습니다.
- WorkSpaces 를 재부팅 후 적용 여부를 확인합니다.
- 현재 Not Overridable Administrator Settings에 설정되어 있는 것으로 확인되는 데 Overridable Administrator Defaults에도 같은 설정을 해주시기를 요청드립니다.
- 그리고 이 정책은 컴퓨터 정책이기에 워크스페이스를 재부팅 해야 적용이 됩니다. 워크스페이스를 재부팅 해 주신 후 클립보드가 안되는지 확인부탁드립니다.
감사합니다.
■ 참고 - [1] https://docs.aws.amazon.com/ko_kr/workspaces/latest/adminguide/group_policy.html#gp_install_template
- [2] https://docs.aws.amazon.com/ko_kr/workspaces/latest/adminguide/group_policy.html#gp_clipboard
