Seguridad de la infraestructura en AWS Transfer Family - AWS Transfer Family
Consideraciones sobre NLB y NAT

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de la infraestructura en AWS Transfer Family

Como servicio gestionado, AWS Transfer Family está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las llamadas a la API AWS publicadas para acceder a AWS Transfer Family través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Evite colocarlos NLBs y NATs delante de los AWS Transfer Family servidores

nota

Los servidores configurados con los protocolos FTP y FTPS solo permiten una configuración con una VPC: no hay ningún punto final público disponible para FTP/FTPS.

Muchos clientes configuran un Network Load Balancer (NLB) para enrutar el tráfico a su servidor. AWS Transfer Family Por lo general, lo hacen porque crearon su servidor antes de que AWS se les ofreciera una forma de acceder a él desde su VPC y desde Internet, o para admitir FTP en Internet. Esta configuración no solo aumenta los costes para los clientes, sino que también puede provocar otros problemas, que se describen en esta sección.

Las pasarelas NAT son un componente obligatorio cuando los clientes se conectan desde la red privada de un cliente a través de un firewall corporativo. Sin embargo, debe tener en cuenta que cuando muchos clientes están detrás de la misma puerta de enlace NAT, esto puede afectar al rendimiento y a los límites de conexión. Si hay un NLB o NAT en la ruta de comunicación del cliente al servidor FTP o FTPS, el servidor no puede reconocer con precisión la dirección IP del cliente, ya que solo AWS Transfer Family ve la dirección IP del NLB o NAT.

Si utiliza la configuración de un servidor Transfer Family detrás de un NLB, le recomendamos que se traslade a un punto final de VPC y utilice una dirección IP elástica en lugar de utilizar un NLB. Cuando utilice puertas de enlace NAT, tenga en cuenta las limitaciones de conexión que se describen a continuación.

Si utiliza el protocolo FTPS, esta configuración no solo reduce su capacidad de auditar quién accede a su servidor, sino que también puede afectar al rendimiento. AWS Transfer Family utiliza la dirección IP de origen para dividir las conexiones en nuestro plano de datos. En el caso de FTPS, esto significa que, en lugar de tener 10 000 conexiones simultáneas, los servidores Transfer Family con puertas de enlace NLB o NAT en la ruta de comunicación están limitados a solo 300 conexiones simultáneas.

Si bien recomendamos evitar los balanceadores de carga de red delante de AWS Transfer Family los servidores, si la implementación de FTP o FTPS requiere un NLB o NAT en la ruta de comunicación del cliente, siga estas recomendaciones:

  • En el caso de un NLB, utilice el puerto 21 para las comprobaciones de estado, en lugar de los puertos 8192-8200.

  • Para el AWS Transfer Family servidor, habilite la reanudación de la sesión TLS mediante la configuración. TlsSessionResumptionMode = ENFORCED

    nota

    Este es el modo recomendado, ya que proporciona una seguridad mejorada:

    • Requiere que los clientes utilicen la reanudación de la sesión TLS para las conexiones posteriores.

    • Ofrece garantías de seguridad más sólidas al garantizar la coherencia de los parámetros de cifrado.

    • Ayuda a prevenir posibles ataques de degradación.

    • Mantiene el cumplimiento de los estándares de seguridad a la vez que optimiza el rendimiento.

  • Si es posible, deje de usar un NLB para aprovechar al máximo los límites de AWS Transfer Family rendimiento y conexión.

Para obtener más información sobre las alternativas de NLB, póngase en contacto con el equipo de gestión de AWS Transfer Family productos a través de AWS Support. Para obtener más información sobre cómo mejorar su postura de seguridad, consulte la entrada del blog Seis consejos para mejorar la seguridad de su AWS Transfer Family servidor.