Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dell'infrastruttura in AWS Transfer Family
In quanto servizio gestito, AWS Transfer Family è protetto dalla sicurezza della rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security
Utilizzate chiamate API AWS pubblicate per accedere AWS Transfer Family attraverso la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server
Nota
I server configurati con i protocolli FTP e FTPS consentono solo una configurazione con un VPC: non è disponibile alcun endpoint pubblico per FTP/FTPS.
Molti clienti configurano un Network Load Balancer (NLB) per indirizzare il traffico verso il proprio server. AWS Transfer Family In genere lo fanno perché hanno creato il loro server prima che gli fosse AWS offerto un modo per accedervi sia dall'interno del loro VPC che da Internet, o perché supportano l'FTP su Internet. Questa configurazione non solo aumenta i costi per i clienti, ma può anche causare altri problemi, descritti in questa sezione.
I gateway NAT sono un componente obbligatorio quando i client si connettono da una rete privata del cliente dietro un firewall aziendale. Tuttavia, è necessario tenere presente che quando molti client si trovano dietro lo stesso gateway NAT, ciò può influire sulle prestazioni e sui limiti di connessione. Se nel percorso di comunicazione dal client al server FTP o FTPS è presente un NLB o NAT, il server non è in grado di riconoscere con precisione l'indirizzo IP del client, poiché AWS Transfer Family vede solo l'indirizzo IP del NLB o del NAT.
Se utilizzi la configurazione di un server Transfer Family dietro un NLB, ti consigliamo di passare a un endpoint VPC e utilizzare un indirizzo IP elastico invece di utilizzare un NLB. Quando utilizzi i gateway NAT, tieni presente le limitazioni di connessione descritte di seguito.
Se utilizzi il protocollo FTPS, questa configurazione non solo riduce la tua capacità di controllare chi accede al tuo server, ma può anche influire sulle prestazioni. AWS Transfer Family utilizza l'indirizzo IP di origine per condividere le connessioni sul nostro piano dati. Per FTPS, ciò significa che invece di avere 10.000 connessioni simultanee, i server Transfer Family con gateway NLB o NAT sulla via di comunicazione sono limitati a sole 300 connessioni simultanee.
Sebbene consigliamo di evitare i Network Load Balancer davanti ai AWS Transfer Family server, se l'implementazione FTP o FTPS richiede un NLB o NAT nel percorso di comunicazione del client, segui questi consigli:
-
Per un NLB, utilizzate la porta 21 per i controlli sanitari, anziché le porte 8192-8200.
-
Per il AWS Transfer Family server, abilita la ripresa della sessione TLS impostando.
TlsSessionResumptionMode = ENFORCEDNota
Questa è la modalità consigliata, in quanto offre una maggiore sicurezza:
-
Richiede ai client di utilizzare la ripresa della sessione TLS per le connessioni successive.
-
Fornisce garanzie di sicurezza più solide garantendo parametri di crittografia coerenti.
-
Aiuta a prevenire potenziali attacchi di downgrade.
-
Mantiene la conformità agli standard di sicurezza ottimizzando al contempo le prestazioni.
-
-
Se possibile, abbandona l'utilizzo di un NLB per sfruttare appieno i limiti di AWS Transfer Family prestazioni e connessione.
Per ulteriori indicazioni sulle alternative NLB, contatta il team di gestione dei AWS Transfer Family prodotti tramite Support AWS . Per ulteriori informazioni su come migliorare il livello di sicurezza, consulta il post sul blog Sei suggerimenti per migliorare la sicurezza del
Sicurezza dell'infrastruttura di connettività VPC
I connettori SFTP con tipo di uscita VPC offrono una maggiore sicurezza dell'infrastruttura attraverso l'isolamento della rete e la connettività privata:
Vantaggi dell'isolamento della rete
-
Traffico di rete privato: tutto il traffico dei connettori verso i server SFTP privati rimane all'interno del tuo VPC, senza mai attraversare la rete Internet pubblica.
-
Uscita controllata: per gli endpoint pubblici a cui si accede tramite VPC, il traffico indirizza il traffico attraverso i gateway NAT, offrendoti il controllo sugli indirizzi IP in uscita e sulle politiche di rete.
-
Controlli di sicurezza VPC: sfrutta i gruppi di sicurezza VPC, la rete e le tabelle di routing esistenti per controllare l'accesso alla rete ACLs dei connettori.
-
Connettività ibrida: accedi ai server SFTP locali tramite connessioni VPN o Direct Connect consolidate senza ulteriore esposizione a Internet.
Considerazioni sulla sicurezza di Resource Gateway
I Resource Gateway forniscono punti di ingresso sicuri per l'accesso alle risorse tra VPC:
-
Implementazione Multi-AZ: i Resource Gateway richiedono sottoreti in almeno due zone di disponibilità per un'elevata disponibilità e tolleranza agli errori.
-
Controlli dei gruppi di sicurezza: configura i gruppi di sicurezza per limitare l'accesso alle porte SFTP (in genere la porta 22) solo da fonti autorizzate.
-
Posizionamento di sottoreti private: implementa i Resource Gateway in sottoreti private durante la connessione a server SFTP privati per mantenere l'isolamento della rete.
-
Limiti di connessione: ogni Resource Gateway supporta fino a 350 connessioni simultanee con un timeout di inattività di 350 secondi per le connessioni TCP.
