의 보안 AWS Transfer Family - AWS Transfer Family
VPC 연결 보안 이점

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 보안 AWS Transfer Family

의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. 공동 책임 모델은 이 사항을 클라우드 내 보안 및 클라우드의 보안으로 설명합니다.

AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 AWS 서비스 규정 준수 프로그램 범위 내 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 AWS 규정 준수 프로그램.

를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 에서 보고서 다운로드 AWS Artifact에서 .

사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표, 관련 법률 및 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 AWS 보안 설명서를 AWS 서비스참조하세요.

이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS Transfer Family. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 AWS Transfer Family 를 구성하는 방법을 보여줍니다. 또한 AWS Transfer Family 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.

기존 애플리케이션을 수정하거나 서버 인프라를 관리할 필요 AWS 없이에서 확장 가능하고 안전한 파일 전송 아키텍처를 구축하는 방법에 대한 규범적 지침과 실습을 제공하는 워크숍을 제공합니다. 이 워크숍의 세부 정보는 여기에서 확인할 수 있습니다.

주제

VPC 연결 보안 이점

VPC 송신 유형의 SFTP 커넥터는 VPC 간 리소스 액세스를 통해 향상된 보안 이점을 제공합니다.

  • 네트워크 격리: 모든 트래픽은 VPC 환경 내에 유지되어 프라이빗 엔드포인트 연결을 위해 퍼블릭 인터넷에서 완전한 네트워크 격리를 제공합니다.

  • 소스 IP 제어: 원격 SFTP 서버는 VPC CIDR 범위의 IP 주소만 표시하므로 연결에 사용되는 소스 IP 주소를 완전히 제어할 수 있습니다.

  • 프라이빗 엔드포인트 액세스: 프라이빗 IP 주소를 사용하여 VPC의 SFTP 서버에 직접 연결하여 퍼블릭 인터넷에 노출되지 않도록 합니다.

  • 하이브리드 연결: 추가 인터넷 노출 없이 설정된 VPN 또는 Direct Connect 연결을 통해 온프레미스 SFTP 서버에 안전하게 액세스합니다.

  • VPC 보안 제어: 기존 VPC 보안 그룹, NACLs 및 라우팅 정책을 활용하여 SFTP 커넥터 트래픽을 제어하고 모니터링합니다.

VPC Lattice 보안 모델

SFTP 커넥터의 VPC 연결은 서비스 네트워크와 함께 AWS VPC Lattice를 사용하여 안전한 멀티 테넌트 액세스를 제공합니다.

  • 혼동된 대리자 방지: 인증 및 권한 부여 검사는 커넥터가 구성된 특정 리소스에만 액세스할 수 있도록 하여 무단 테넌트 간 액세스를 방지합니다.

  • IPv6-only 서비스 네트워크: IPv6 주소 지정을 사용하여 잠재적 IP 주소 충돌을 방지하고 보안 격리를 강화합니다.

  • 전달 액세스 세션(FAS): 임시 자격 증명 처리를 사용하면 장기 자격 증명 스토리지 또는 수동 리소스 공유가 필요하지 않습니다.

  • 리소스 수준 액세스 제어: 각 커넥터는 특정 리소스 구성과 연결되어 개별 SFTP 서버에 대한 세분화된 액세스 제어를 보장합니다.

VPC 연결에 대한 보안 모범 사례

VPC 송신 유형 커넥터를 사용하는 경우 다음 보안 모범 사례를 따르세요.

  • 보안 그룹: 필요한 리소스 간에만 SFTP 트래픽(포트 22)을 허용하도록 보안 그룹을 구성합니다. 소스 및 대상 IP 범위를 필요한 최소 범위로 제한합니다.

  • Resource Gateway 배치: 가능하면 프라이빗 서브넷에 Resource Gateway를 배포하고 고가용성을 위해 두 개 이상의 가용 영역에 걸쳐 있는지 확인합니다.

  • 네트워크 모니터링: VPC 흐름 로그 및 Amazon CloudWatch를 사용하여 네트워크 트래픽 패턴을 모니터링하고 비정상적인 활동을 감지합니다.

  • 액세스 로깅: 커넥터 로깅을 활성화하여 파일 전송 활동을 추적하고 규정 준수 요구 사항에 대한 감사 추적을 유지 관리합니다.

  • 리소스 구성 관리: 리소스 구성을 정기적으로 검토하고 업데이트하여 올바른 SFTP 서버를 가리키고 적절한 네트워크 설정을 사용하는지 확인합니다.