Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Che tipo di endpoint è appropriato per il mio server AWS Transfer Family?
4 minuti di lettura
0
Desidero sapere quale tipo di endpoint utilizzare per il mio server AWS Transfer Family.
Risoluzione
| Tipo di endpoint | Endpoint pubblico | Endpoint Amazon VPC con accesso interno | Endpoint Amazon VPC con accesso a Internet |
| Protocolli supportati | SFTP | SFTP, FTP, FTPS | SFTP, FTPS |
| Accesso | Puoi accedere agli endpoint pubblici tramite Internet. Non serve una configurazione speciale in Amazon Virtual Private Cloud (Amazon VPC). | Puoi accedere a un endpoint VPC all'interno di ambienti VPC e connessi a VPC, come un data center locale tramite AWS Direct Connect o VPN. | Puoi accedere a endpoint VPC tramite Internet e all'interno di ambienti VPC e connessi a VPC, come un data center locale tramite AWS Direct Connect o VPN. |
| Indirizzo IP statico | Non puoi collegare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche. | Gli indirizzi IP privati dell'endpoint non cambiano. | Puoi collegare indirizzi IP elastici all'endpoint, ad esempio indirizzi IP di proprietà di AWS o indirizzi IP propri (BYOIP). L'indirizzo IP elastico dell'endpoint non cambia. Anche gli indirizzi IP privati del server non cambiano. |
| Elenco degli indirizzi IP di origine consentiti | Gli endpoint pubblici non supportano gli elenchi degli indirizzi IP di origine consentiti. Gli endpoint pubblici sono accessibili al pubblico e sono in ascolto del traffico sulla porta 22. | Utilizza i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo degli accessi alla rete (ACL) collegate alla sottorete dell'endpoint. | Utilizza i gruppi di sicurezza contenuti negli endpoint del server e le ACL collegate alla sottorete che contiene l'endpoint. |
| Elenco dei firewall dei client consentiti | Devi consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, è consigliabile non utilizzare indirizzi IP per l'elenco dei firewall dei client consentiti. | Puoi consentire gli indirizzi IP privati o il nome DNS degli endpoint. | Puoi consentire il nome DNS del server o gli indirizzi IP elastici collegati al server. |
Nota: il tipo di endpoint VPC_ENDPOINT non è più disponibile. Non puoi utilizzare questo tipo di endpoint per creare nuovi server.
Per aumentare la sicurezza del server AWS Transfer Family, intraprendi le seguenti azioni:
- Utilizza un endpoint VPC con accesso interno in modo che il server sia accessibile solo ai client all'interno di ambienti VPC o connessi a VPC.
- Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con accesso a Internet. Quindi modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client degli utenti.
- Utilizza un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta di ascolto del bilanciatore del carico dalla porta 22 a una porta diversa in modo che sia più difficile per i port scanner e i bot scansionare il server alla ricerca di vulnerabilità. Per i server SFTP, AWS Transfer Family supporta le porte personalizzate 2222, 22000 e 2223 senza bisogno di configurare un Network Load Balancer.
Nota: se utilizzi un Network Load Balancer, non puoi utilizzare i gruppi di sicurezza per consentire l'accesso dagli indirizzi IP di origine.
Importante: non mettere Network Load Balancer e gateway NAT davanti ai server AWS Transfer Family. - Se hai bisogno di un'autenticazione basata su password e utilizzi un provider di identità personalizzato con il server, applica una policy basata su password sicura. Richiedi agli utenti di creare una password sicura e limita il numero di tentativi di accesso con esito negativo.
Informazioni correlate
Crea un endpoint con accesso a Internet per il tuo server
How do I activate a static Elastic IP address for my Transfer Family server? (Come posso attivare un indirizzo IP elastico statico per il mio server Transfer Family?)
- Argomenti
- Migration & Modernization
- Lingua
- Italiano
AWS UFFICIALEAggiornata 5 mesi fa