Sécurité de l'infrastructure dans AWS Transfer Family - AWS Transfer Family
Considérations relatives à la NLB et au NAT

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans AWS Transfer Family

En tant que service géré, AWS Transfer Family il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des appels d'API AWS publiés pour accéder AWS Transfer Family via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Évitez de placer NLBs les AWS Transfer Family serveurs et NATs de les placer devant eux

Note

Les serveurs configurés avec les protocoles FTP et FTPS autorisent uniquement une configuration avec un VPC : aucun point de terminaison public n'est disponible pour FTP/FTPS.

De nombreux clients configurent un Network Load Balancer (NLB) pour acheminer le trafic vers leur serveur. AWS Transfer Family Ils le font généralement soit parce qu'ils ont créé leur serveur AWS avant de pouvoir y accéder à la fois depuis leur VPC et depuis Internet, soit pour prendre en charge le protocole FTP sur Internet. Cette configuration augmente non seulement les coûts pour les clients, mais peut également entraîner d'autres problèmes, décrits dans cette section.

Les passerelles NAT sont un composant obligatoire lorsque les clients se connectent à partir d'un réseau privé protégé par un pare-feu d'entreprise. Sachez toutefois que lorsque de nombreux clients se trouvent derrière la même passerelle NAT, cela peut avoir un impact sur les performances et les limites de connexion. S'il existe un NLB ou un NAT dans le chemin de communication entre le client et le serveur FTP ou FTPS, le serveur ne peut pas reconnaître avec précision l'adresse IP du client, car AWS Transfer Family il ne voit que l'adresse IP du NLB ou du NAT.

Si vous utilisez la configuration d'un serveur Transfer Family derrière un NLB, nous vous recommandons de passer à un point de terminaison VPC et d'utiliser une adresse IP Elastic au lieu d'utiliser un NLB. Lorsque vous utilisez des passerelles NAT, tenez compte des limites de connexion décrites ci-dessous.

Si vous utilisez le protocole FTPS, cette configuration réduit non seulement votre capacité à vérifier qui accède à votre serveur, mais elle peut également avoir un impact sur les performances. AWS Transfer Family utilise l'adresse IP source pour partager vos connexions sur notre plan de données. Pour le FTPS, cela signifie qu'au lieu d'avoir 10 000 connexions simultanées, les serveurs Transfer Family avec des passerelles NLB ou NAT sur la route de communication sont limités à seulement 300 connexions simultanées.

Bien que nous vous recommandions d'éviter les équilibreurs de charge réseau placés devant AWS Transfer Family les serveurs, si votre implémentation FTP ou FTPS nécessite un NLB ou un NAT dans la route de communication en provenance du client, suivez les recommandations suivantes :

  • Pour un NLB, utilisez le port 21 pour les contrôles de santé, au lieu des ports 8192-8200.

  • Pour le AWS Transfer Family serveur, activez la reprise de session TLS en TlsSessionResumptionMode = ENFORCED configurant.

    Note

    Il s'agit du mode recommandé, car il offre une sécurité renforcée :

    • Exige que les clients utilisent la reprise de session TLS pour les connexions suivantes.

    • Fournit des garanties de sécurité renforcées en garantissant des paramètres de chiffrement cohérents.

    • Aide à prévenir les attaques de rétrogradation potentielles.

    • Maintient la conformité aux normes de sécurité tout en optimisant les performances.

  • Si possible, évitez d'utiliser un NLB pour tirer pleinement parti des limites de AWS Transfer Family performances et de connexion.

Pour obtenir des conseils supplémentaires sur les alternatives NLB, contactez l'équipe de gestion des AWS Transfer Family produits via le AWS Support. Pour plus d'informations sur l'amélioration de votre niveau de sécurité, consultez le billet de blog Six conseils pour améliorer la sécurité de votre AWS Transfer Family serveur.