의 인프라 보안 AWS Transfer Family - AWS Transfer Family
NLB 및 NAT 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 인프라 보안 AWS Transfer Family

관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS Transfer Family 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하세요. 인프라 보안 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework인프라 보호를 참조하세요.

AWS 에서 게시한 API 호출을 사용하여 네트워크를 AWS Transfer Family 통해에 액세스합니다. 고객은 다음을 지원해야 합니다.

  • Transport Layer Security(TLS) TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

  • DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군 Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 위탁자와 관련된 시크릿 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 자격 증명을 생성하여 요청에 서명할 수 있습니다.

서버 앞에 NLBs와 NATs 배치하지 마세요. AWS Transfer Family

참고

FTP 및 FTPS 프로토콜로 구성된 서버는 VPC로만 구성을 허용합니다. FTP/FTPS에 사용할 수 있는 퍼블릭 엔드포인트가 없습니다.

많은 고객이 트래픽을 AWS Transfer Family 서버로 라우팅하도록 Network Load Balancer(NLB)를 구성합니다. 일반적으로 VPC 내부와 인터넷 모두에서 서버에 액세스하거나 인터넷에서 FTP를 지원하는 방법을 AWS 제공하기 전에 서버를 생성했기 때문에이 작업을 수행합니다. 이 구성은 고객의 비용을 증가시킬 뿐만 아니라이 단원에서 설명하는 다른 문제를 일으킬 수도 있습니다.

NAT 게이트웨이는 클라이언트가 기업 방화벽 뒤의 고객 프라이빗 네트워크에서 연결할 때 필수 구성 요소입니다. 그러나 많은 클라이언트가 동일한 NAT 게이트웨이 뒤에 있는 경우 성능 및 연결 제한에 영향을 미칠 수 있다는 점에 유의해야 합니다. 클라이언트에서 FTP 또는 FTPS 서버로의 통신 경로에 NLB 또는 NAT가 있는 경우는 NLB 또는 NAT의 IP 주소만 AWS Transfer Family 보기 때문에 서버가 클라이언트의 IP 주소를 정확하게 인식할 수 없습니다.

NLB 뒤에 있는 Transfer Family 서버의 구성을 사용하는 경우 NLB를 사용하는 대신 VPC 엔드포인트로 이동하고 탄력적 IP 주소를 사용하는 것이 좋습니다. NAT 게이트웨이를 사용할 때는 아래 설명된 연결 제한 사항에 유의하세요.

FTPS 프로토콜을 사용하는 경우이 구성은 서버에 액세스하는 사용자를 감사하는 기능을 줄일 뿐만 아니라 성능에도 영향을 미칠 수 있습니다.는 소스 IP 주소를 AWS Transfer Family 사용하여 데이터 영역 전체에서 연결을 샤딩합니다. FTPS의 경우 10,000개의 동시 연결이 있는 대신 통신 경로에 NLB 또는 NAT 게이트웨이가 있는 Transfer Family 서버는 300개의 동시 연결로만 제한됩니다.

AWS Transfer Family 서버 앞에서 Network Load Balancer를 사용하지 않는 것이 좋지만 FTP 또는 FTPS 구현에 클라이언트의 통신 경로에 NLB 또는 NAT가 필요한 경우 다음 권장 사항을 따르세요.

  • NLB의 경우 포트 8192-8200 대신 상태 확인에 포트 21을 사용합니다.

  • AWS Transfer Family 서버의 경우를 설정하여 TLS 세션 재개를 활성화합니다TlsSessionResumptionMode = ENFORCED.

    참고

    이는 향상된 보안을 제공하므로 권장되는 모드입니다.

    • 클라이언트가 후속 연결에 TLS 세션 재개를 사용해야 합니다.

    • 일관된 암호화 파라미터를 보장하여 더 강력한 보안 보장을 제공합니다.

    • 잠재적 다운그레이드 공격을 방지하는 데 도움이 됩니다.

    • 성능을 최적화하면서 보안 표준 준수를 유지합니다.

  • 가능하면 NLB를 사용하지 않고 마이그레이션하여 성능 및 연결 제한을 최대한 활용 AWS Transfer Family 하세요.

NLB 대안에 대한 추가 지침은 AWS Support를 통해 AWS Transfer Family 제품 관리 팀에 문의하세요. 보안 태세 개선에 대한 자세한 내용은 블로그 게시물 AWS Transfer Family 서버 보안을 개선하기 위한 6가지 팁을 참조하세요.