Sicurezza dell'infrastruttura in AWS Transfer Family - AWS Transfer Family
Considerazioni su NLB e NAT

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in AWS Transfer Family

In quanto servizio gestito, AWS Transfer Family è protetto dalla sicurezza della rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzate chiamate API AWS pubblicate per accedere AWS Transfer Family attraverso la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Evita di posizionare NLBs e NATs davanti AWS Transfer Family ai server

Nota

I server configurati con i protocolli FTP e FTPS consentono solo una configurazione con un VPC: non è disponibile alcun endpoint pubblico per FTP/FTPS.

Molti clienti configurano un Network Load Balancer (NLB) per indirizzare il traffico verso il proprio server. AWS Transfer Family In genere lo fanno perché hanno creato il loro server prima che gli fosse AWS offerto un modo per accedervi sia dall'interno del loro VPC che da Internet, o perché supportano l'FTP su Internet. Questa configurazione non solo aumenta i costi per i clienti, ma può anche causare altri problemi, descritti in questa sezione.

I gateway NAT sono un componente obbligatorio quando i client si connettono da una rete privata del cliente dietro un firewall aziendale. Tuttavia, è necessario tenere presente che quando molti client si trovano dietro lo stesso gateway NAT, ciò può influire sulle prestazioni e sui limiti di connessione. Se nel percorso di comunicazione dal client al server FTP o FTPS è presente un NLB o NAT, il server non è in grado di riconoscere con precisione l'indirizzo IP del client, poiché AWS Transfer Family vede solo l'indirizzo IP del NLB o del NAT.

Se utilizzi la configurazione di un server Transfer Family dietro un NLB, ti consigliamo di passare a un endpoint VPC e utilizzare un indirizzo IP elastico invece di utilizzare un NLB. Quando utilizzi i gateway NAT, tieni presente le limitazioni di connessione descritte di seguito.

Se utilizzi il protocollo FTPS, questa configurazione non solo riduce la tua capacità di controllare chi accede al tuo server, ma può anche influire sulle prestazioni. AWS Transfer Family utilizza l'indirizzo IP di origine per condividere le connessioni sul nostro piano dati. Per FTPS, ciò significa che invece di avere 10.000 connessioni simultanee, i server Transfer Family con gateway NLB o NAT sulla via di comunicazione sono limitati a sole 300 connessioni simultanee.

Sebbene consigliamo di evitare i Network Load Balancer davanti ai AWS Transfer Family server, se l'implementazione FTP o FTPS richiede un NLB o NAT nel percorso di comunicazione del client, segui questi consigli:

  • Per un NLB, utilizzate la porta 21 per i controlli sanitari, anziché le porte 8192-8200.

  • Per il AWS Transfer Family server, abilita la ripresa della sessione TLS impostando. TlsSessionResumptionMode = ENFORCED

    Nota

    Questa è la modalità consigliata, in quanto offre una maggiore sicurezza:

    • Richiede ai client di utilizzare la ripresa della sessione TLS per le connessioni successive.

    • Fornisce garanzie di sicurezza più solide garantendo parametri di crittografia coerenti.

    • Aiuta a prevenire potenziali attacchi di downgrade.

    • Mantiene la conformità agli standard di sicurezza ottimizzando al contempo le prestazioni.

  • Se possibile, abbandona l'utilizzo di un NLB per sfruttare appieno i limiti di AWS Transfer Family prestazioni e connessione.

Per ulteriori indicazioni sulle alternative NLB, contatta il team di gestione dei AWS Transfer Family prodotti tramite Support AWS . Per ulteriori informazioni su come migliorare il livello di sicurezza, consulta il post sul blog Sei suggerimenti per migliorare la sicurezza del tuo server. AWS Transfer Family