中的基础设施安全 AWS Transfer Family - AWS Transfer Family
NLB 和 NAT 注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的基础设施安全 AWS Transfer Family

作为一项托管服务 AWS Transfer Family ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅AWS 云安全。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S AWS ecurity Pillar Well-Architected Fram ework 中的基础设施保护

您可以使用 AWS 已发布的 API 调用 AWS Transfer Family 通过网络进行访问。客户端必须支持以下内容:

  • 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service(AWS STS)生成临时安全凭证来对请求进行签名。

避免将服务器放在 NLBs AWS Transfer Family 服务器前面 NATs

注意

配置有 FTP 和 FTPS 协议的服务器仅允许使用 VPC 进行配置:没有可用于 FTP/FTPS 的公共终端节点。

许多客户将 Network Load Balancer (NLB) 配置为将流量路由到其 AWS Transfer Family 服务器。他们之所以这样做,要么是因为他们之前创建了服务器, AWS 提供了一种从 VPC 内部和互联网访问服务器的方法,要么是为了支持 Internet 上的 FTP。这种配置不仅会增加客户的成本,还可能导致其他问题,我们在本节中对此进行了介绍。

当客户端从公司防火墙后面的客户专用网络进行连接时,NAT 网关是必不可少的组件。但是,您应该注意,当许多客户端位于同一 NAT 网关后面时,这可能会影响性能和连接限制。如果从客户端到 FTP 或 FTPS 服务器的通信路径中有 NLB 或 NAT,则服务器无法准确识别客户端的 IP 地址,因为只能 AWS Transfer Family 看到 NLB 或 NAT 的 IP 地址。

如果您在 NLB 后面使用 Transfer Family 服务器的配置,我们建议您移至 VPC 终端节点并使用弹性 IP 地址而不是 NLB。使用 NAT 网关时,请注意下述的连接限制。

如果您使用的是 FTPS 协议,则此配置不仅会降低您审核谁在访问您的服务器的能力,而且还会影响性能。 AWS Transfer Family 使用源 IP 地址在我们的数据平面上对您的连接进行分片。对于 FTPS 来说,这意味着通信路由上带有 NLB 或 NAT 网关的 Transfer Family 服务器不会同时拥有 10,000 个连接,而是仅限于 300 个同步连接。

尽管我们建议避免在 AWS Transfer Family 服务器前面使用网络负载均衡器,但如果您的 FTP 或 FTPS 实施需要在客户端的通信路由中使用 NLB 或 NAT,请遵循以下建议:

  • 对于 NLB,请使用端口 21 而不是端口 8192-8200 进行运行状况检查。

  • 对于 AWS Transfer Family 服务器,通过设置启用 TLS 会话恢复TlsSessionResumptionMode = ENFORCED

    注意

    这是推荐的模式,因为它提供了增强的安全性:

    • 要求客户端在后续连接中使用 TLS 会话恢复。

    • 通过确保一致的加密参数来提供更强的安全保障。

    • 有助于防止潜在的降级攻击。

    • 在优化性能的同时保持对安全标准的合规性。

  • 如果可能,请停止使用 NLB,以充分利用 AWS Transfer Family 性能和连接限制。

有关 NLB 替代方案的更多指导,请通过 AWS Support 联系 AWS Transfer Family 产品管理团队。有关改善安全状况的更多信息,请参阅博客文章《提高 AWS Transfer Family 服务器安全性的六个技巧》