Keamanan infrastruktur di AWS Transfer Family - AWS Transfer Family
Pertimbangan NLB dan NATKeamanan infrastruktur konektivitas VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di AWS Transfer Family

Sebagai layanan terkelola, AWS Transfer Family dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Transfer Family melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Hindari menempatkan NLBs dan NATs di depan AWS Transfer Family server

catatan

Server yang dikonfigurasi dengan protokol FTP dan FTPS hanya mengizinkan konfigurasi dengan VPC: tidak ada titik akhir publik yang tersedia untuk FTP/FTPS.

Banyak pelanggan mengkonfigurasi Network Load Balancer (NLB) untuk mengarahkan lalu lintas ke server mereka. AWS Transfer Family Mereka biasanya melakukan ini baik karena mereka membuat server mereka sebelum AWS menawarkan cara untuk mengaksesnya dari dalam VPC mereka dan dari internet, atau untuk mendukung FTP di internet. Konfigurasi ini tidak hanya meningkatkan biaya bagi pelanggan, tetapi juga dapat menyebabkan masalah lain, yang kami jelaskan di bagian ini.

Gateway NAT adalah komponen wajib ketika klien terhubung dari jaringan pribadi pelanggan di belakang firewall perusahaan. Namun, Anda harus menyadari bahwa ketika banyak klien berada di belakang gateway NAT yang sama, ini dapat memengaruhi batas kinerja dan koneksi. Jika ada NLB atau NAT di jalur komunikasi dari klien ke server FTP atau FTPS, server tidak dapat secara akurat mengenali alamat IP klien, karena hanya AWS Transfer Family melihat alamat IP NLB atau NAT.

Jika Anda menggunakan konfigurasi server Transfer Family di belakang NLB, sebaiknya Anda pindah ke titik akhir VPC dan menggunakan alamat IP Elastis alih-alih menggunakan NLB. Saat menggunakan gateway NAT, perhatikan batasan koneksi yang dijelaskan di bawah ini.

Jika Anda menggunakan protokol FTPS, konfigurasi ini tidak hanya mengurangi kemampuan Anda untuk mengaudit siapa yang mengakses server Anda, tetapi juga dapat memengaruhi kinerja. AWS Transfer Family menggunakan alamat IP sumber untuk menghancurkan koneksi Anda di seluruh bidang data kami. Untuk FTPS, ini berarti bahwa alih-alih memiliki 10.000 koneksi simultan, server Transfer Family dengan gateway NLB atau NAT pada rute komunikasi dibatasi hanya 300 koneksi simultan.

Meskipun kami menyarankan untuk menghindari Network Load Balancer di depan AWS Transfer Family server, jika implementasi FTP atau FTPS Anda memerlukan NLB atau NAT dalam rute komunikasi dari klien, ikuti rekomendasi ini:

  • Untuk NLB, gunakan port 21 untuk pemeriksaan kesehatan, bukan port 8192-8200.

  • Untuk AWS Transfer Family server, aktifkan dimulainya kembali sesi TLS dengan pengaturan. TlsSessionResumptionMode = ENFORCED

    catatan

    Ini adalah mode yang disarankan, karena memberikan keamanan yang ditingkatkan:

    • Membutuhkan klien untuk menggunakan dimulainya kembali sesi TLS untuk koneksi berikutnya.

    • Memberikan jaminan keamanan yang lebih kuat dengan memastikan parameter enkripsi yang konsisten.

    • Membantu mencegah potensi serangan downgrade.

    • Menjaga kepatuhan terhadap standar keamanan sambil mengoptimalkan kinerja.

  • Jika memungkinkan, bermigrasi dari menggunakan NLB untuk memanfaatkan batas AWS Transfer Family kinerja dan koneksi sepenuhnya.

Untuk panduan tambahan tentang alternatif NLB, hubungi tim Manajemen AWS Transfer Family Produk melalui Support AWS . Untuk informasi lebih lanjut tentang meningkatkan postur keamanan Anda, lihat posting blog Enam tips untuk meningkatkan keamanan AWS Transfer Family server Anda.

Keamanan infrastruktur konektivitas VPC

Konektor SFTP dengan tipe jalan keluar VPC memberikan keamanan infrastruktur yang ditingkatkan melalui isolasi jaringan dan konektivitas pribadi:

Manfaat isolasi jaringan

  • Lalu lintas jaringan pribadi: Semua lalu lintas konektor ke server SFTP pribadi tetap berada dalam VPC Anda, tidak pernah melintasi internet publik.

  • Jalan keluar terkontrol: Untuk titik akhir publik yang diakses melalui VPC, rute lalu lintas melalui gateway NAT Anda, memberi Anda kontrol atas alamat IP jalan keluar dan kebijakan jaringan.

  • Kontrol keamanan VPC: Manfaatkan grup keamanan VPC, jaringan ACLs, dan tabel rute yang ada untuk mengontrol akses jaringan konektor.

  • Konektivitas hibrid: Akses server SFTP lokal melalui koneksi VPN atau Direct Connect yang sudah ada tanpa eksposur internet tambahan.

Pertimbangan keamanan Resource Gateway

Resource Gateways menyediakan titik masuk yang aman untuk Akses Sumber Daya lintas VPC:

  • Penerapan multi-AZ: Resource Gateways memerlukan subnet di setidaknya dua Availability Zone untuk ketersediaan tinggi dan toleransi kesalahan.

  • Kontrol grup keamanan: Konfigurasikan grup keamanan untuk membatasi akses ke port SFTP (biasanya port 22) dari sumber resmi saja.

  • Penempatan subnet pribadi: Menyebarkan Resource Gateways di subnet pribadi saat menghubungkan ke server SFTP pribadi untuk mempertahankan isolasi jaringan.

  • Batas koneksi: Setiap Resource Gateway mendukung hingga 350 koneksi bersamaan dengan batas waktu idle 350 detik untuk koneksi TCP.