中的基礎設施安全 AWS Transfer Family - AWS Transfer Family
NLB 和 NAT 考量事項VPC 連線基礎設施安全性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的基礎設施安全 AWS Transfer Family

作為受管服務, AWS Transfer Family 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱AWS 雲端安全。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱安全支柱 AWS Well-Architected Framework 中的基礎設施保護

您可以使用 AWS 發佈的 API 呼叫, AWS Transfer Family 透過網路存取 。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

避免將 NLBs和 NATs放在伺服器前面 AWS Transfer Family

注意

使用 FTP 和 FTPS 通訊協定設定的伺服器只允許使用 VPC 的組態:沒有可用於 FTP/FTPS 的公有端點。

許多客戶設定 Network Load Balancer (NLB) 將流量路由到其 AWS Transfer Family 伺服器。他們通常會這麼做,因為他們在 AWS 提供方法從 VPC 內部和網際網路存取伺服器,或支援網際網路上的 FTP。此組態不僅會增加客戶的成本,還可能導致其他問題,我們將在本節中說明。

當用戶端從企業防火牆後方的客戶私有網路連線時,NAT 閘道是強制性元件。不過,您應該知道,當許多用戶端位於相同的 NAT 閘道之後,這可能會影響效能和連線限制。如果從用戶端到 FTP 或 FTPS 伺服器的通訊路徑中有 NLB 或 NAT,則伺服器無法準確識別用戶端的 IP 地址,因為 只會 AWS Transfer Family 看到 NLB 或 NAT 的 IP 地址。

如果您使用的是 NLB 後方 Transfer Family 伺服器的組態,建議您移至 VPC 端點並使用彈性 IP 地址,而不是使用 NLB。使用 NAT 閘道時,請注意以下所述的連線限制。

如果您使用的是 FTPS 通訊協定,此組態不僅會降低您稽核誰存取您伺服器的能力,還會影響效能。 AWS Transfer Family 會使用來源 IP 地址,將您的連線分片到我們的資料平面。對於 FTPS,這表示與 10,000 個同時連線不同,通訊路由上具有 NLB 或 NAT 閘道的 Transfer Family 伺服器僅限於 300 個同時連線。

雖然我們建議避免在 AWS Transfer Family 伺服器前面使用 Network Load Balancer,但如果您的 FTP 或 FTPS 實作在用戶端的通訊路由中需要 NLB 或 NAT,請遵循下列建議:

  • 對於 NLB,請使用連接埠 21 進行運作狀態檢查,而不是連接埠 8192-8200。

  • 對於 AWS Transfer Family 伺服器,請設定 來啟用 TLS 工作階段恢復TlsSessionResumptionMode = ENFORCED

    注意

    這是建議的模式,因為它提供增強的安全性:

    • 要求用戶端對後續連線使用 TLS 工作階段恢復。

    • 透過確保一致的加密參數,提供更強大的安全性保證。

    • 有助於防止潛在的降級攻擊。

    • 保持符合安全標準,同時最佳化效能。

  • 如果可能,請遷移至不使用 NLB,以充分利用 AWS Transfer Family 效能和連線限制。

如需 NLB 替代方案的其他指引,請透過 AWS Support 聯絡 AWS Transfer Family 產品管理團隊。如需改善安全狀態的詳細資訊,請參閱部落格文章 六個改善 AWS Transfer Family 伺服器安全性的秘訣

VPC 連線基礎設施安全性

具有 VPC 輸出類型的 SFTP 連接器透過網路隔離和私有連線提供增強的基礎設施安全性:

網路隔離的優點

  • 私有網路流量:私有 SFTP 伺服器的所有連接器流量都會保留在您的 VPC 中,絕不會周遊公有網際網路。

  • 控制輸出:對於透過 VPC 存取的公有端點,流量會透過 NAT 閘道路由,讓您控制輸出 IP 地址和網路政策。

  • VPC 安全控制:利用現有的 VPC 安全群組、網路 ACLs 和路由表來控制連接器網路存取。

  • 混合連線:透過已建立的 VPN 或 Direct Connect 連線存取內部部署 SFTP 伺服器,無需額外的網際網路暴露。

資源閘道安全性考量事項

資源閘道提供跨 VPC 資源存取的安全輸入點:

  • 異地同步備份部署:資源閘道需要至少兩個可用區域中的子網路,以實現高可用性和容錯能力。

  • 安全群組控制:設定安全群組以限制只能從授權來源存取 SFTP 連接埠 (通常是連接埠 22)。

  • 私有子網路置放:連線至私有 SFTP 伺服器以維持網路隔離時,在私有子網路中部署資源閘道。

  • 連線限制:每個資源閘道支援最多 350 個並行連線,以及 TCP 連線的 350 秒閒置逾時。