Sécurité de l'infrastructure dans AWS Transfer Family - AWS Transfer Family
Considérations relatives à la NLB et au NATSécurité de l'infrastructure de connectivité VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans AWS Transfer Family

En tant que service géré, AWS Transfer Family il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des appels d'API AWS publiés pour accéder AWS Transfer Family via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

Évitez de placer NLBs des AWS Transfer Family serveurs et NATs de les placer devant

Note

Les serveurs configurés avec les protocoles FTP et FTPS autorisent uniquement une configuration avec un VPC : aucun point de terminaison public n'est disponible pour FTP/FTPS.

De nombreux clients configurent un Network Load Balancer (NLB) pour acheminer le trafic vers leur serveur. AWS Transfer Family Ils le font généralement soit parce qu'ils ont créé leur AWS serveur avant de pouvoir y accéder depuis leur VPC et depuis Internet, soit pour prendre en charge le protocole FTP sur Internet. Cette configuration augmente non seulement les coûts pour les clients, mais peut également entraîner d'autres problèmes, décrits dans cette section.

Les passerelles NAT sont un composant obligatoire lorsque les clients se connectent à partir d'un réseau privé protégé par un pare-feu d'entreprise. Cependant, vous devez savoir que lorsque de nombreux clients se trouvent derrière la même passerelle NAT, cela peut avoir un impact sur les performances et les limites de connexion. S'il existe un NLB ou un NAT dans le chemin de communication entre le client et le serveur FTP ou FTPS, le serveur ne peut pas reconnaître avec précision l'adresse IP du client, car AWS Transfer Family il ne voit que l'adresse IP du NLB ou du NAT.

Si vous utilisez la configuration d'un serveur Transfer Family derrière un NLB, nous vous recommandons de passer à un point de terminaison VPC et d'utiliser une adresse IP Elastic au lieu d'utiliser un NLB. Lorsque vous utilisez des passerelles NAT, tenez compte des limites de connexion décrites ci-dessous.

Si vous utilisez le protocole FTPS, cette configuration réduit non seulement votre capacité à vérifier qui accède à votre serveur, mais elle peut également avoir un impact sur les performances. AWS Transfer Family utilise l'adresse IP source pour partager vos connexions sur notre plan de données. Pour le FTPS, cela signifie qu'au lieu d'avoir 10 000 connexions simultanées, les serveurs Transfer Family avec des passerelles NLB ou NAT sur la route de communication sont limités à seulement 300 connexions simultanées.

Bien que nous vous recommandions d'éviter les équilibreurs de charge réseau placés devant AWS Transfer Family les serveurs, si votre implémentation FTP ou FTPS nécessite un NLB ou un NAT dans la route de communication en provenance du client, suivez les recommandations suivantes :

  • Pour un NLB, utilisez le port 21 pour les contrôles de santé, au lieu des ports 8192-8200.

  • Pour le AWS Transfer Family serveur, activez la reprise de session TLS en TlsSessionResumptionMode = ENFORCED configurant.

    Note

    Il s'agit du mode recommandé, car il offre une sécurité renforcée :

    • Exige que les clients utilisent la reprise de session TLS pour les connexions suivantes.

    • Fournit des garanties de sécurité renforcées en garantissant des paramètres de chiffrement cohérents.

    • Aide à prévenir les attaques de rétrogradation potentielles.

    • Maintient la conformité aux normes de sécurité tout en optimisant les performances.

  • Si possible, évitez d'utiliser un NLB pour tirer pleinement parti des limites de AWS Transfer Family performances et de connexion.

Pour obtenir des conseils supplémentaires sur les alternatives NLB, contactez l'équipe de gestion des AWS Transfer Family produits via le AWS Support. Pour plus d'informations sur l'amélioration de votre niveau de sécurité, consultez le billet de blog Six conseils pour améliorer la sécurité de votre AWS Transfer Family serveur.

Sécurité de l'infrastructure de connectivité VPC

Les connecteurs SFTP avec sortie VPC améliorent la sécurité de l'infrastructure grâce à l'isolation du réseau et à la connectivité privée :

Avantages de l'isolation du réseau

  • Trafic réseau privé : tout le trafic du connecteur vers les serveurs SFTP privés reste dans votre VPC et ne transite jamais par l'Internet public.

  • Sortie contrôlée : pour les points de terminaison publics accessibles via VPC, le trafic passe par vos passerelles NAT, ce qui vous permet de contrôler les adresses IP de sortie et les politiques réseau.

  • Contrôles de sécurité VPC : exploitez les groupes de sécurité, le réseau et les tables de routage VPC existants pour contrôler l'accès au réseau ACLs des connecteurs.

  • Connectivité hybride : accédez aux serveurs SFTP sur site via des connexions VPN ou Direct Connect établies sans exposition supplémentaire à Internet.

Considérations de sécurité relatives à Resource Gateway

Les passerelles de ressources fournissent des points d'entrée sécurisés pour l'accès aux ressources entre VPC :

  • Déploiement multi-AZ : les passerelles de ressources nécessitent des sous-réseaux situés dans au moins deux zones de disponibilité pour garantir une haute disponibilité et une tolérance aux pannes.

  • Contrôles des groupes de sécurité : configurez les groupes de sécurité pour restreindre l'accès aux ports SFTP (généralement le port 22) aux seules sources autorisées.

  • Emplacement des sous-réseaux privés : déployez des passerelles de ressources dans des sous-réseaux privés lors de la connexion à des serveurs SFTP privés afin de maintenir l'isolation du réseau.

  • Limites de connexion : chaque passerelle de ressources prend en charge jusqu'à 350 connexions simultanées avec un délai d'inactivité de 350 secondes pour les connexions TCP.