本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的安全性 AWS Transfer Family
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,該架構專為符合最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。共同責任模型
若要了解 是否 AWS 服務 在特定合規計劃的範圍內,請參閱AWS 服務 合規計劃範圍內
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱下載報告 in AWS Artifact
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 AWS 安全文件。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Transfer Family。下列主題說明如何設定 AWS Transfer Family 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS Transfer Family 資源。
我們提供一個研討會,提供規範性指導和實作實驗室,說明如何在 上建置可擴展且安全的檔案傳輸架構, AWS 而不需要修改現有的應用程式或管理伺服器基礎設施。您可以在此
主題
VPC 連線安全性優點
具有 VPC 輸出類型的 SFTP 連接器透過跨 VPC 資源存取提供增強的安全優勢:
-
網路隔離:所有流量都會保留在您的 VPC 環境中,為私有端點連線提供與公有網際網路的完整網路隔離。
-
來源 IP 控制:遠端 SFTP 伺服器只會看到 VPC CIDR 範圍的 IP 地址,讓您完全控制用於連線的來源 IP 地址。
-
私有端點存取:使用私有 IP 地址直接連線至 VPC 中的 SFTP 伺服器,消除公有網際網路的暴露。
-
混合連線:透過已建立的 VPN 或 Direct Connect 連線安全地存取內部部署 SFTP 伺服器,無需額外的網際網路暴露。
-
VPC 安全控制:利用現有的 VPC 安全群組、NACLs 和路由政策來控制和監控 SFTP 連接器流量。
VPC Lattice 安全模型
SFTP 連接器的 VPC 連線使用 AWS VPC Lattice 與服務網路,以提供安全的多租戶存取:
-
預防混淆代理人:身分驗證和授權檢查可確保連接器只能存取其設定的特定資源,防止未經授權的跨租用戶存取。
-
IPv6-only 服務網路:使用 IPv6 定址以避免潛在的 IP 地址衝突,並增強安全隔離。
-
轉送存取工作階段 (FAS):暫時憑證處理不需要長期憑證儲存或手動資源共用。
-
資源層級存取控制:每個連接器都與特定資源組態相關聯,以確保對個別 SFTP 伺服器的精細存取控制。
VPC 連線的安全最佳實務
使用 VPC 輸出類型連接器時,請遵循下列安全最佳實務:
-
安全群組:設定安全群組,僅允許必要資源之間的 SFTP 流量 (連接埠 22)。將來源和目的地 IP 範圍限制在所需的最低範圍內。
-
資源閘道置放:盡可能在私有子網路中部署資源閘道,並確保它們至少跨越兩個可用區域,以實現高可用性。
-
網路監控:使用 VPC 流程日誌和 Amazon CloudWatch 來監控網路流量模式並偵測異常活動。
-
存取記錄:啟用連接器記錄以追蹤檔案傳輸活動,並維護稽核追蹤以符合合規要求。
-
資源組態管理:定期檢閱和更新資源組態,以確保它們指向正確的 SFTP 伺服器,並使用適當的網路設定。
