のインフラストラクチャセキュリティ AWS Transfer Family - AWS Transfer Family
NLB と NAT に関する考慮事項VPC 接続インフラストラクチャのセキュリティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のインフラストラクチャセキュリティ AWS Transfer Family

マネージドサービスである AWS Transfer Family は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、「Security Pillar AWS Well‐Architected Framework」の「Infrastructure Protection」を参照してください。

AWS が公開した API コールを使用して、ネットワーク AWS Transfer Family 経由で にアクセスします。クライアントは以下をサポートする必要があります。

  • Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

NLBsと NATs をサーバーの前に AWS Transfer Family 配置しない

注記

FTP プロトコルと FTPS プロトコルで設定されたサーバーは、VPC の設定のみを許可します。FTP/FTPS で使用できるパブリックエンドポイントはありません。

多くのお客様は、トラフィックを AWS Transfer Family サーバーにルーティングするように Network Load Balancer (NLB) を設定します。これは通常、 が VPC 内とインターネットの両方からサーバーにアクセスする方法 AWS を提供するか、インターネットで FTP をサポートする方法を提供する前にサーバーを作成したためです。この設定により、顧客のコストが増加するだけでなく、このセクションで説明する他の問題が発生する可能性もあります。

NAT ゲートウェイは、クライアントが企業ファイアウォールの背後にある顧客のプライベートネットワークから接続する場合に必須のコンポーネントです。ただし、多くのクライアントが同じ NAT ゲートウェイの背後にある場合、パフォーマンスと接続制限に影響する可能性があることに注意してください。クライアントから FTP または FTPS サーバーへの通信パスに NLB または NAT がある場合、 は NLB または NAT の IP アドレスのみ AWS Transfer Family を表示するため、サーバーはクライアントの IP アドレスを正確に認識できません。

NLB の背後にある Transfer Family サーバーの設定を使用している場合は、VPC エンドポイントに移動し、NLB を使用する代わりに Elastic IP アドレスを使用することをお勧めします。NAT ゲートウェイを使用する場合は、以下で説明する接続制限に注意してください。

FTPS プロトコルを使用している場合、この設定により、サーバーにアクセスするユーザーを監査する機能が低下するだけでなく、パフォーマンスにも影響します。 はソース IP アドレス AWS Transfer Family を使用して、接続をデータプレーン全体にシャードします。FTPS の場合、つまり、10,000 個の同時接続を持つ代わりに、通信ルートに NLB または NAT ゲートウェイを持つ Transfer Family サーバーは、300 個の同時接続に制限されます。

AWS Transfer Family サーバーの前に Network Load Balancer を配置しないことをお勧めしますが、FTP または FTPS 実装でクライアントからの通信ルートに NLB または NAT が必要な場合は、次の推奨事項に従ってください。

  • NLB の場合、ポート 8192-8200 の代わりに、ヘルスチェックにポート 21 を使用します。

  • AWS Transfer Family サーバーで、 を設定して TLS セッションの再開を有効にしますTlsSessionResumptionMode = ENFORCED

    注記

    これはセキュリティを強化するため、推奨モードです。

    • クライアントは、後続の接続に TLS セッションの再開を使用する必要があります。

    • 一貫した暗号化パラメータを確保することで、より強力なセキュリティ保証を提供します。

    • ダウングレード攻撃の可能性を防ぐのに役立ちます。

    • パフォーマンスを最適化しながら、セキュリティ標準への準拠を維持します。

  • 可能であれば、NLB の使用から移行して、パフォーマンスと接続の制限を最大限に活用 AWS Transfer Family します。

NLB の代替案に関する追加のガイダンスについては、 AWS サポートを通じて AWS Transfer Family 製品管理チームにお問い合わせください。セキュリティ体制の改善の詳細については、ブログ記事AWS Transfer Family 「サーバーのセキュリティを向上させるための 6 つのヒント」を参照してください。

VPC 接続インフラストラクチャのセキュリティ

VPC 出力タイプの SFTP コネクタは、ネットワーク分離とプライベート接続を通じてインフラストラクチャのセキュリティを強化します。

ネットワーク分離の利点

  • プライベートネットワークトラフィック: プライベート SFTP サーバーへのすべてのコネクタトラフィックは VPC 内に残り、パブリックインターネットを経由することはありません。

  • 制御された出力: VPC 経由でアクセスされるパブリックエンドポイントの場合、トラフィックは NAT ゲートウェイを経由し、出力 IP アドレスとネットワークポリシーを制御できます。

  • VPC セキュリティコントロール: 既存の VPC セキュリティグループ、ネットワーク ACLs、ルートテーブルを活用して、コネクタのネットワークアクセスを制御します。

  • ハイブリッド接続: インターネットにさらされることなく、確立された VPN または Direct Connect 接続を介してオンプレミス SFTP サーバーにアクセスします。

Resource Gateway のセキュリティ上の考慮事項

リソースゲートウェイは、クロス VPC リソースアクセス用の安全な進入ポイントを提供します。

  • マルチ AZ 配置: リソースゲートウェイでは、高可用性と耐障害性を実現するために、少なくとも 2 つのアベイラビリティーゾーンにサブネットが必要です。

  • セキュリティグループコントロール: セキュリティグループを設定して、承認されたソースからのみ SFTP ポート (通常はポート 22) へのアクセスを制限します。

  • プライベートサブネット配置: プライベート SFTP サーバーに接続するときにプライベートサブネットに Resource Gateway をデプロイして、ネットワークの分離を維持します。

  • 接続制限: 各 Resource Gateway は、TCP 接続に対して 350 秒のアイドルタイムアウトで最大 350 の同時接続をサポートします。