Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de un punto final de servidor SFTP, FTPS o FTP
En este tema se proporcionan detalles sobre la creación y el uso de puntos finales de AWS Transfer Family servidor que utilizan uno o varios de los protocolos SFTP, FTPS y FTP.
Temas
Opciones de proveedor de identidades
AWS Transfer Family proporciona varios métodos para autenticar y administrar usuarios. En la siguiente tabla, se comparan los proveedores de identidad disponibles que puede usar con Transfer Family.
| Acción | AWS Transfer Family servicio gestionado | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| Protocolos admitidos | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Autenticación basada en clave |
Sí |
No |
Sí |
Sí |
|
Autenticación de contraseña |
No |
Sí |
Sí |
Sí |
|
AWS Identity and Access Management (IAM) y POSIX |
Sí |
Sí |
Sí |
Sí |
|
Directorio de inicio lógico |
Sí |
Sí |
Sí |
Sí |
| Acceso parametrizado (basado en el nombre de usuario) | Sí | Sí | Sí | Sí |
|
Estructura de acceso ad hoc |
Sí |
No |
Sí |
Sí |
|
AWS WAF |
No |
No |
Sí |
No |
Notas:
-
IAM se usa para controlar el acceso al almacenamiento de respaldo de Amazon S3 y POSIX se usa para Amazon EFS.
-
Ad hoc se refiere a la capacidad de enviar el perfil de usuario en tiempo de ejecución. Por ejemplo, puede colocar a los usuarios en sus directorios principales pasando el nombre de usuario como variable.
-
Para obtener más información al respecto AWS WAF, consulte. Agregue un cortafuegos de aplicaciones web
-
Hay una entrada de blog que describe el uso de una función Lambda integrada con Microsoft Entra ID (anteriormente Azure AD) como proveedor de identidad de Transfer Family. Para obtener más información, consulte Autenticación AWS Transfer Family con Azure Active Directory
y. AWS Lambda -
Proporcionamos varias AWS CloudFormation plantillas para ayudarlo a implementar rápidamente un servidor Transfer Family que utilice un proveedor de identidad personalizado. Para obtener más información, consulte Plantillas de función de Lambda.
En los siguientes procedimientos, puede crear un servidor habilitado para SFTP, un servidor habilitado para FTP, un servidor habilitado para FTP o un servidor habilitado. AS2
Paso siguiente
AWS Transfer Family matriz de tipos de punto final
Cuando cree un servidor de Transfer Family, seleccione el tipo de punto de conexión que va a utilizar. En la siguiente tabla se describen las características de cada tipo de punto de conexión.
| Característica | Público | VPC: internet | VPC: interna | VPC_Endpoint (obsoleta) |
|---|---|---|---|---|
| Protocolos admitidos | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Acceso | Desde Internet. Este tipo de punto de conexión no requiere ninguna configuración especial en la VPC. | A través de Internet y desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect | Desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect | Desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect |
| Direcciones IP estáticas | No puedes adjuntar una dirección IP estática. AWS proporciona direcciones IP que están sujetas a cambios. |
Puede adjuntar direcciones IP elásticas al punto de conexión. Pueden ser direcciones IP propias de AWS o sus propias direcciones IP (Traer sus propias direcciones IP). Las direcciones IP elásticas adjuntas al punto de conexión no cambian. Las direcciones IP privadas adjuntas al servidor tampoco cambian. |
Las direcciones IP privadas adjuntas al punto de conexión no cambian. | Las direcciones IP privadas adjuntas al punto de conexión no cambian. |
| Lista de direcciones IP de origen permitidas |
Este tipo de punto de conexión no admite listas de permisos por direcciones IP de origen. El punto de conexión es de acceso público y escucha el tráfico a través del puerto 22. notaPara los puntos finales alojados en VPC, los servidores SFTP Transfer Family pueden funcionar a través del puerto 22 (el predeterminado), 2222, 2223 o 22000. |
Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos finales del servidor y una red conectada a la subred en la que ACLs se encuentra el punto final. |
Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad adjuntos a los puntos finales del servidor y listas de control de acceso a la red (red ACLs) conectadas a la subred en la que se encuentra el punto final. |
Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos finales del servidor y la red ACLs conectada a la subred en la que se encuentra el punto final. |
| Lista de firewalls de clientes permitidos |
Debe permitir el nombre DNS del servidor. Como las direcciones IP están sujetas a cambios, evite utilizarlas en la lista de direcciones IP permitidas por el firewall de su cliente. |
Puede permitir el nombre DNS del servidor o las direcciones IP elásticas adjuntas al servidor. |
Puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión. |
Puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión. |
| Tipo de dirección IP | IPv4 (predeterminado) o de doble pila (y) IPv4 IPv6 | IPv4 únicamente (no se admite la doble pila) | IPv4 (predeterminado) o de doble pila (IPv4 y) IPv6 | IPv4 únicamente (no se admite la doble pila) |
nota
El tipo de VPC_ENDPOINT puntos de conexión ahora está en desuso y no puede ser utilizado para crear nuevos servidores. En lugar de usarloEndpointType=VPC_ENDPOINT, use el tipo de punto final de VPC (EndpointType=VPC), que puede usar como interno o orientado a Internet, como se describe en la tabla anterior.
-
Para obtener más información sobre la obsolescencia, consulte. Suspender el uso de VPC_ENDPOINT
-
Para obtener información sobre la administración de los permisos de punto final de la VPC, consulte. Limitar el acceso a los terminales de VPC para los servidores Transfer Family
Tenga en cuenta las siguientes opciones para aumentar la seguridad de su servidor AWS Transfer Family :
-
Utilice un punto de enlace de VPC con acceso interno, de modo que solo puedan acceder al servidor los clientes de su VPC o entornos conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect
-
Para permitir que los clientes accedan al punto de conexión a través de Internet y proteger su servidor, utilice un punto de conexión de VPC con acceso a Internet. A continuación, modifique los grupos de seguridad de la VPC para permitir el tráfico únicamente desde determinadas direcciones IP que alojan los clientes de sus usuarios.
-
Si necesita una autenticación basada en contraseñas y utiliza un proveedor de identidad personalizado en el servidor, se recomienda que su política de contraseñas impida que los usuarios creen contraseñas poco seguras y limite el número de intentos fallidos de inicio de sesión.
AWS Transfer Family es un servicio gestionado, por lo que no proporciona acceso desde una consola. No puede acceder directamente al servidor SFTP subyacente para ejecutar comandos nativos del sistema operativo en los servidores de Transfer Family.
-
Use un Equilibrador de carga de red frente a un punto de conexión de VPC con acceso interno. Cambie el puerto oyente del equilibrador de carga del puerto 22 a un puerto diferente. Esto puede reducir, pero no eliminar, el riesgo de que los escáneres de puertos y los bots inspeccionen el servidor, ya que el puerto 22 es el más utilizado para escanear. Para obtener más información, consulta la entrada del blog Los balanceadores de carga de red ahora admiten grupos de seguridad
. nota
Si usa un Network Load Balancer, los AWS Transfer Family CloudWatch registros muestran la dirección IP del NLB, en lugar de la dirección IP real del cliente.
Consideraciones sobre el Network Load Balancer para FTP y FTPS
Aunque recomendamos evitar los balanceadores de carga de red delante de AWS Transfer Family los servidores, si su implementación de FTP o FTPS requiere una NLB o NAT en la ruta de comunicación del cliente, siga estas recomendaciones:
-
En el caso de un NLB, utilice el puerto 21 para las comprobaciones de estado, en lugar de los puertos 8192-8200.
-
Para el AWS Transfer Family servidor, habilite la reanudación de la sesión TLS mediante la configuración.
TlsSessionResumptionMode = ENFORCEDnota
Este es el modo recomendado, ya que proporciona una seguridad mejorada:
-
Requiere que los clientes utilicen la reanudación de la sesión TLS para las conexiones posteriores.
-
Ofrece garantías de seguridad más sólidas al garantizar la coherencia de los parámetros de cifrado.
-
Ayuda a prevenir posibles ataques de degradación.
-
Mantiene el cumplimiento de los estándares de seguridad a la vez que optimiza el rendimiento.
-
-
Si es posible, deje de usar un NLB para aprovechar al máximo los límites de AWS Transfer Family rendimiento y conexión.
Para obtener más información sobre las alternativas de NLB, póngase en contacto con el equipo de gestión de AWS Transfer Family productos a través de AWS Support. Para obtener más información sobre cómo mejorar su postura de seguridad, consulte la entrada del blog Seis consejos para mejorar la seguridad de su AWS Transfer Family servidor
La guía de seguridad para NLBs se proporciona enEvite colocarlos NLBs y NATs delante de los AWS Transfer Family servidores.
