Keamanan infrastruktur di AWS Transfer Family - AWS Transfer Family
Pertimbangan NLB dan NAT

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di AWS Transfer Family

Sebagai layanan terkelola, AWS Transfer Family dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Transfer Family melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.

Hindari menempatkan NLBs dan NATs di depan AWS Transfer Family server

catatan

Server yang dikonfigurasi dengan protokol FTP dan FTPS hanya mengizinkan konfigurasi dengan VPC: tidak ada titik akhir publik yang tersedia untuk FTP/FTPS.

Banyak pelanggan mengonfigurasi Network Load Balancer (NLB) untuk merutekan lalu lintas ke server mereka. AWS Transfer Family Mereka biasanya melakukan ini baik karena mereka membuat server mereka sebelum AWS menawarkan cara untuk mengaksesnya dari dalam VPC mereka dan dari internet, atau untuk mendukung FTP di internet. Konfigurasi ini tidak hanya meningkatkan biaya bagi pelanggan, tetapi juga dapat menyebabkan masalah lain, yang kami jelaskan di bagian ini.

Gateway NAT adalah komponen wajib ketika klien terhubung dari jaringan pribadi pelanggan di belakang firewall perusahaan. Namun, Anda harus menyadari bahwa ketika banyak klien berada di belakang gateway NAT yang sama, ini dapat memengaruhi batas kinerja dan koneksi. Jika ada NLB atau NAT di jalur komunikasi dari klien ke server FTP atau FTPS, server tidak dapat secara akurat mengenali alamat IP klien, karena hanya AWS Transfer Family melihat alamat IP NLB atau NAT.

Jika Anda menggunakan konfigurasi server Transfer Family di belakang NLB, sebaiknya Anda pindah ke titik akhir VPC dan menggunakan alamat IP Elastis alih-alih menggunakan NLB. Saat menggunakan gateway NAT, perhatikan batasan koneksi yang dijelaskan di bawah ini.

Jika Anda menggunakan protokol FTPS, konfigurasi ini tidak hanya mengurangi kemampuan Anda untuk mengaudit siapa yang mengakses server Anda, tetapi juga dapat memengaruhi kinerja. AWS Transfer Family menggunakan alamat IP sumber untuk menghancurkan koneksi Anda di seluruh bidang data kami. Untuk FTPS, ini berarti bahwa alih-alih memiliki 10.000 koneksi simultan, server Transfer Family dengan gateway NLB atau NAT pada rute komunikasi dibatasi hanya 300 koneksi simultan.

Meskipun kami menyarankan untuk menghindari Network Load Balancer di depan AWS Transfer Family server, jika implementasi FTP atau FTPS Anda memerlukan NLB atau NAT dalam rute komunikasi dari klien, ikuti rekomendasi ini:

  • Untuk NLB, gunakan port 21 untuk pemeriksaan kesehatan, bukan port 8192-8200.

  • Untuk AWS Transfer Family server, aktifkan dimulainya kembali sesi TLS dengan pengaturan. TlsSessionResumptionMode = ENFORCED

    catatan

    Ini adalah mode yang disarankan, karena memberikan keamanan yang ditingkatkan:

    • Membutuhkan klien untuk menggunakan dimulainya kembali sesi TLS untuk koneksi berikutnya.

    • Memberikan jaminan keamanan yang lebih kuat dengan memastikan parameter enkripsi yang konsisten.

    • Membantu mencegah potensi serangan downgrade.

    • Menjaga kepatuhan terhadap standar keamanan sambil mengoptimalkan kinerja.

  • Jika memungkinkan, bermigrasi dari menggunakan NLB untuk memanfaatkan batas AWS Transfer Family kinerja dan koneksi sepenuhnya.

Untuk panduan tambahan tentang alternatif NLB, hubungi tim Manajemen AWS Transfer Family Produk melalui Support AWS . Untuk informasi lebih lanjut tentang meningkatkan postur keamanan Anda, lihat posting blog Enam tips untuk meningkatkan keamanan AWS Transfer Family server Anda.