Che tipo di endpoint devo usare per il mio server AWS Transfer Family?

4 minuti di lettura
0

Desidero sapere quale tipo di endpoint devo usare per il mio server AWS Transfer Family.

Risoluzione

Consulta la seguente tabella per determinare quale tipo di endpoint AWS Transfer Family è più adatto al tuo caso d'uso:

Tipo di endpointEndpoint pubblicoEndpoint Amazon Virtual Private Cloud (Amazon VPC) con accesso internoEndpoint VPC con connessione InternetVPC_ENDPOINT (OBSOLETO)
Protocolli supportatiSFTPSFTP, FTP, FTPSSFTP, FTPSSFTP
AccessoDa Internet. Questo tipo di endpoint non richiede alcuna configurazione speciale nel tuo VPC.Dall'interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN.Da Internet e interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN.Dall'interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN.
Indirizzo IP staticoNon puoi associare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche.Gli indirizzi IP privati collegati all'endpoint non sono soggetti a modifiche.È possibile associare indirizzi IP elastici all'endpoint. Questi possono essere indirizzi IP di proprietà di AWS o indirizzi IP personali (BYOIP). Gli indirizzi IP elastici collegati all'endpoint non sono soggetti a modifiche. Lo stesso vale per gli indirizzi IP privati collegati al servere per quelli privati collegati all'endpoint.
Lista di indirizzi IP di origine consentitiQuesto tipo di endpoint non supporta le liste di indirizzi IP di origine consentiti. L'endpoint è pubblicamente accessibile e ascolta il traffico sulla porta 22.Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo degli accessi alla rete (ACL) collegati alla sottorete in cui si trova l'endpoint.Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint.Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint.
Lista dei firewall dei client consentitiDevi consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, evita di utilizzare gli indirizzi IP per la lista dei firewall consentiti dei client.Puoi consentire gli indirizzi IP privati o il nome DNS degli endpoint.Puoi consentire il nome DNS del server o gli indirizzi IP elastici collegati al server.Puoi consentire gli indirizzi IP privati o il nome DNS degli endpoint.

Nota: il tipo di endpoint VPC_ENDPOINT è ora obsoleto e non può essere utilizzato per creare nuovi server. Per ulteriori informazioni, consulta Interruzione dell'uso di VPC_ENDPOINT.

Considera le seguenti opzioni per aumentare l'assetto di sicurezza del tuo server AWS Transfer Family:

  • Usa un endpoint VPC con accesso interno, in modo che il server sia accessibile solo ai client dall'interno del VPC o da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN.
  • Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con connessione Internet. Quindi, modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client dei tuoi utenti.
  • Usa un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta di ascolto sul sistema di bilanciamento del carico dalla porta 22 a una porta diversa. Ciò può ridurre, ma non eliminare, il rischio che scanner di porte e bot sondino il server, poiché la porta 22 è più comunemente utilizzata per la scansione. Tuttavia, se utilizzi un Network Load Balancer, non puoi utilizzare i gruppi di sicurezza per consentire l'accesso dagli indirizzi IP di origine.
  • Se hai bisogno di un'autenticazione basata su password e utilizzi un provider di identità personalizzato con il tuo server, è consigliabile impostare una policy aggressiva in materia di password. È consigliabile che la policy in materia di password impedisca agli utenti di creare password deboli e limiti il numero di tentativi di accesso non riusciti.

Informazioni correlate

Creazione di un endpoint connesso a Internet per il server

In che modo posso abilitare gli indirizzi IP elastici sul mio endpoint server abilitato per SFTP di AWS Transfer Family?

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa