中的基礎設施安全 AWS Transfer Family - AWS Transfer Family
NLB 和 NAT 考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的基礎設施安全 AWS Transfer Family

作為受管服務, AWS Transfer Family 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 如何 AWS 保護基礎設施的相關資訊,請參閱AWS 雲端安全。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱安全支柱 AWS Well-Architected Framework 中的基礎設施保護

您可以使用 AWS 發佈的 API 呼叫, AWS Transfer Family 透過網路存取 。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

避免將 NLBs和 NATs放在伺服器前面 AWS Transfer Family

注意

使用 FTP 和 FTPS 通訊協定設定的伺服器只允許使用 VPC 的組態:沒有可用於 FTP/FTPS 的公有端點。

許多客戶設定 Network Load Balancer (NLB) 將流量路由到其 AWS Transfer Family 伺服器。他們通常會這樣做,因為他們在 AWS 提供從 VPC 內部和網際網路存取伺服器,或支援網際網路上的 FTP 的方式之前建立了伺服器。此組態不僅會增加客戶的成本,還可能導致其他問題,我們將在本節中說明。

當用戶端從公司防火牆後方的客戶私有網路連線時,NAT 閘道是強制性元件。不過,您應該知道,當許多用戶端位於相同的 NAT 閘道之後,這可能會影響效能和連線限制。如果從用戶端到 FTP 或 FTPS 伺服器的通訊路徑中有 NLB 或 NAT,則伺服器無法準確識別用戶端的 IP 地址,因為 只會 AWS Transfer Family 看到 NLB 或 NAT 的 IP 地址。

如果您使用 NLB 後方 Transfer Family 伺服器的組態,建議您移至 VPC 端點並使用彈性 IP 地址,而不是使用 NLB。使用 NAT 閘道時,請注意以下所述的連線限制。

如果您使用的是 FTPS 通訊協定,則此組態不僅會降低您稽核誰存取伺服器的能力,還會影響效能。 AWS Transfer Family 會使用來源 IP 地址,將您的連線分割到我們的資料平面。對於 FTPS,這表示與 10,000 個同時連線不同,通訊路由上具有 NLB 或 NAT 閘道的 Transfer Family 伺服器僅限於 300 個同時連線。

雖然我們建議避免在 AWS Transfer Family 伺服器前面使用 Network Load Balancer,但如果您的 FTP 或 FTPS 實作需要用戶端通訊路由中的 NLB 或 NAT,請遵循下列建議:

  • 對於 NLB,請使用連接埠 21 進行運作狀態檢查,而不是連接埠 8192-8200。

  • 對於 AWS Transfer Family 伺服器,請設定 來啟用 TLS 工作階段恢復TlsSessionResumptionMode = ENFORCED

    注意

    這是建議的模式,因為它提供增強的安全性:

    • 要求用戶端對後續連線使用 TLS 工作階段恢復。

    • 透過確保一致的加密參數,提供更強大的安全性保證。

    • 有助於防止潛在的降級攻擊。

    • 保持符合安全標準,同時最佳化效能。

  • 如果可能,請遷移離開使用 NLB,以充分利用 AWS Transfer Family 效能和連線限制。

如需 NLB 替代方案的其他指引,請透過 AWS Support 聯絡 AWS Transfer Family 產品管理團隊。如需改善安全狀態的詳細資訊,請參閱部落格文章 六個改善 AWS Transfer Family 伺服器安全性的秘訣