Considerações sobre NLB e NAT Segurança da infraestrutura de conectividade VPC

Segurança da infraestrutura em AWS Transfer Family

Como serviço gerenciado, AWS Transfer Family é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa chamadas de API AWS publicadas para acessar AWS Transfer Family pela rede. Os clientes devem oferecer compatibilidade com:

Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Evite colocar NLBs e NATs na frente dos AWS Transfer Family servidores

nota

Os servidores configurados com os protocolos FTP e FTPS só permitem a configuração com uma VPC: não há endpoint público disponível para FTP/FTPS.

Muitos clientes configuram um Network Load Balancer (NLB) para rotear o tráfego para o servidor. AWS Transfer Family Eles normalmente fazem isso porque criaram seu servidor antes de AWS oferecer uma maneira de acessá-lo de dentro da VPC e da Internet, ou para oferecer suporte a FTP na Internet. Essa configuração não apenas aumenta os custos para os clientes, mas também pode causar outros problemas, que descrevemos nesta seção.

Os gateways NAT são um componente obrigatório quando os clientes estão se conectando a partir de uma rede privada do cliente por trás de um firewall corporativo. No entanto, você deve estar ciente de que, quando muitos clientes estão usando o mesmo gateway NAT, isso pode afetar o desempenho e os limites de conexão. Se houver um NLB ou NAT no caminho de comunicação do cliente para o servidor FTP ou FTPS, o servidor não poderá reconhecer com precisão o endereço IP do cliente, pois AWS Transfer Family vê somente o endereço IP do NLB ou NAT.

Se você estiver usando a configuração de um servidor Transfer Family por trás de um NLB, recomendamos que você mude para um endpoint VPC e use um endereço IP elástico em vez de usar um NLB. Ao usar gateways NAT, esteja ciente das limitações de conexão descritas abaixo.

Se você estiver usando o protocolo FTPS, essa configuração não apenas reduz sua capacidade de auditar quem está acessando seu servidor, mas também pode afetar o desempenho. AWS Transfer Family usa o endereço IP de origem para fragmentar suas conexões em nosso plano de dados. Para FTPS, isso significa que, em vez de ter 10.000 conexões simultâneas, os servidores Transfer Family com gateways NLB ou NAT na rota de comunicação estão limitados a apenas 300 conexões simultâneas.

Embora seja recomendável evitar balanceadores de carga de rede na frente dos AWS Transfer Family servidores, se sua implementação de FTP ou FTPS exigir um NLB ou NAT na rota de comunicação do cliente, siga estas recomendações:

Para um NLB, use a porta 21 para verificações de integridade, em vez das portas 8192-8200.
Para o AWS Transfer Family servidor, habilite a retomada da sessão TLS configurando. TlsSessionResumptionMode = ENFORCED
nota
Esse é o modo recomendado, pois fornece segurança aprimorada:
- Exige que os clientes usem a retomada da sessão TLS para conexões subsequentes.
- Fornece garantias de segurança mais fortes, garantindo parâmetros de criptografia consistentes.
- Ajuda a evitar possíveis ataques de downgrade.
- Mantém a conformidade com os padrões de segurança enquanto otimiza o desempenho.
Se possível, deixe de usar um NLB para aproveitar ao máximo os limites de AWS Transfer Family desempenho e conexão.

Para obter orientação adicional sobre alternativas de NLB, entre em contato com a equipe de gerenciamento de AWS Transfer Family produtos por meio do Support AWS . Para obter mais informações sobre como melhorar sua postura de segurança, consulte a postagem do blog Seis dicas para melhorar a segurança do seu AWS Transfer Family servidor.

Segurança da infraestrutura de conectividade VPC

Os conectores SFTP com tipo de saída VPC fornecem segurança aprimorada da infraestrutura por meio do isolamento da rede e da conectividade privada:

Benefícios do isolamento de rede

Tráfego de rede privada: todo o tráfego de conectores para servidores SFTP privados permanece em sua VPC, nunca atravessando a Internet pública.
Saída controlada: para endpoints públicos acessados via VPC, o tráfego é roteado por seus gateways NAT, oferecendo controle sobre endereços IP de saída e políticas de rede.
Controles de segurança da VPC: aproveite os grupos de segurança, a rede e as tabelas de rotas da VPC existentes para controlar o acesso à rede ACLs do conector.
Conectividade híbrida: acesse servidores SFTP locais por meio de conexões VPN ou Direct Connect estabelecidas sem exposição adicional à Internet.

Considerações de segurança do Resource Gateway

Os gateways de recursos fornecem pontos de entrada seguros para acesso a recursos entre VPCs:

Implantação Multi-AZ: os gateways de recursos exigem sub-redes em pelo menos duas zonas de disponibilidade para alta disponibilidade e tolerância a falhas.
Controles de grupos de segurança: configure grupos de segurança para restringir o acesso às portas SFTP (normalmente a porta 22) somente de fontes autorizadas.
Posicionamento de sub-rede privada: implante gateways de recursos em sub-redes privadas ao se conectar a servidores SFTP privados para manter o isolamento da rede.
Limites de conexão: cada Resource Gateway suporta até 350 conexões simultâneas com um tempo limite de inatividade de 350 segundos para conexões TCP.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

VPC endpoints para APIs

Firewall da aplicação web