Welche Art von Endpunkt sollte ich für meinen AWS Transfer Family-Server verwenden?

Lesedauer: 4 Minute

Ich möchte wissen, welchen Endpunkttyp ich für meinen AWS Transfer Family-Server verwenden muss.

Lösung

Sehen Sie sich die folgende Tabelle an, um festzustellen, welcher AWS Transfer Family-Endpunkttyp für Ihren Anwendungsfall am besten geeignet ist:


Endpunkttyp	Öffentlicher Endpunkt	Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt mit internem Zugriff	VPC-Endpunkt mit Internetzugang	VPC_ENDPOINT (VERALTET)
Unterstützte Protokolle	SFTP	SFTP, FTP, FTPS	SFTP, FTPS	SFTP
Zugriff	Aus dem Internet. Dieser Endpunkttyp erfordert keine spezielle Konfiguration in Ihrer VPC.	Aus VPC- und VPC-verbundenen Umgebungen, z. B. einem On-Premises-Rechenzentrum über AWS Direct Connect oder VPN.	Über das Internet und aus VPC- und VPC-verbundenen Umgebungen, z. B. einem On-Premises-Rechenzentrum über AWS Direct Connect oder VPN.	Aus VPC- und VPC-verbundenen Umgebungen, z. B. einem On-Premises-Rechenzentrum über AWS Direct Connect oder VPN.
Statische IP-Adresse	Sie können keine statische IP-Adresse anhängen. AWS stellt IP-Adressen bereit, die sich ändern können.	Private IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht.	Sie können Elastic-IP-Adressen an den Endpunkt anhängen. Diese können AWS-eigene IP-Adressen oder Ihre eigenen IP-Adressen (BYOIP) sein. Elastic-IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. Private IP-Adressen, die an den Server angeschlossen sind, ändern sich ebenfalls nicht.	Private IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht.
Liste der zulässigen Quell-IP-Adressen	Dieser Endpunkttyp unterstützt keine Zulassungslisten nach Quell-IP-Adressen. Der Endpunkt ist öffentlich zugänglich und überwacht den Datenverkehr über Port 22.	Um den Zugriff über die Quell-IP-Adresse zuzulassen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angeschlossen sind, sowie Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs), die an das Subnetz angeschlossen sind, in dem sich der Endpunkt befindet.	Um den Zugriff über die Quell-IP-Adresse zuzulassen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angeschlossen sind, und Netzwerk-ACLs, die an das Subnetz angeschlossen sind, in dem sich der Endpunkt befindet.	Um den Zugriff über die Quell-IP-Adresse zuzulassen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angeschlossen sind, und Netzwerk-ACLs, die an das Subnetz angeschlossen sind, in dem sich der Endpunkt befindet.
Client-Firewall-Zulassungsliste	Sie müssen den DNS-Namen des Servers zulassen. Da sich IP-Adressen ändern können, sollten Sie es vermeiden, IP-Adressen für Ihre Client-Firewall-Zulassungsliste zu verwenden.	Sie können die privaten IP-Adressen oder den DNS-Namen der Endpunkte zulassen.	Sie können den DNS-Namen des Servers oder die an den Server angehängten Elastic-IP-Adressen zulassen.	Sie können die privaten IP-Adressen oder den DNS-Namen der Endpunkte zulassen.

Hinweis: Der Endpunkttyp VPC_ENDPOINT ist nun veraltet und kann nicht zum Erstellen neuer Server verwendet werden. Weitere Informationen finden Sie unter Einstellung der Verwendung von VPC_ENDPOINT.

Ziehen Sie die folgenden Optionen in Betracht, um die Sicherheitslage Ihres AWS Transfer Family-Servers zu verbessern:

Verwenden Sie einen VPC-Endpunkt mit internem Zugriff, sodass der Server nur für Clients in Ihren VPC- oder VPC-verbundenen Umgebungen zugänglich ist, z. B. ein On-Premises-Rechenzentrum über AWS Direct Connect oder VPN.
Um Clients den Zugriff auf den Endpunkt über das Internet zu ermöglichen und Ihren Server zu schützen, verwenden Sie einen VPC-Endpunkt mit Internetzugang. Ändern Sie dann die Sicherheitsgruppen der VPC so, dass nur Datenverkehr von bestimmten IP-Adressen zugelassen wird, auf denen die Clients Ihrer Benutzer gehostet werden.
Verwenden Sie einen Network Load Balancer vor einem VPC-Endpunkt mit internem Zugriff. Ändern Sie den Listener-Port am Load Balancer von Port 22 auf einen anderen Port. Dadurch kann das Risiko, dass Portscanner und Bots Ihren Server untersuchen, verringert, aber nicht ausgeschlossen werden, da Port 22 am häufigsten für das Scannen verwendet wird. Wenn Sie jedoch einen Network Load Balancer verwenden, können Sie keine Sicherheitsgruppen verwenden, um den Zugriff von Quell-IP-Adressen aus zuzulassen.
Wenn Sie eine kennwortbasierte Authentifizierung benötigen und einen benutzerdefinierten Identitätsanbieter für Ihren Server verwenden, empfiehlt es sich, eine aggressive Passwortrichtlinie festzulegen. Es ist eine bewährte Methode, dass Ihre Passwortrichtlinie verhindert, dass Benutzer schwache Passwörter erstellen, und die Anzahl fehlgeschlagener Anmeldeversuche begrenzt.

Relevanter Inhalt

Welche Art virtuelle Direct-Connect-Interface sollte ich verwenden, um verschiedene AWS-Ressourcen zu verbinden?
AWS OFFICIALAktualisiert vor 2 Jahren
Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config-Regel s3-bucket-ssl-requests-only einzuhalten?
AWS OFFICIALAktualisiert vor 8 Monaten
Wie konfiguriere ich meinen AWS Transfer Family-Server für die Verwendung eines Amazon-S3-Buckets, der sich in einem anderen AWS-Konto befindet?
AWS OFFICIALAktualisiert vor 2 Jahren
Welche Informationen sollte ich in meiner AWS-Supportanfrage angeben?
AWS OFFICIALAktualisiert vor 3 Jahren

Welche Art von Endpunkt sollte ich für meinen AWS Transfer Family-Server verwenden?

Lösung

Ähnliche Informationen

Relevanter Inhalt