本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的基础设施安全 Amazon Transfer Family
作为一项托管服务 Amazon Transfer Family ,受 Amazon 全球网络安全的保护。有关 Amazon 安全服务以及如何 Amazon 保护基础设施的信息,请参阅Amazon 云安全
您可以使用 Amazon 已发布的 API 调用 Amazon Transfer Family 通过网络进行访问。客户端必须支持以下内容:
-
传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service(Amazon STS)生成临时安全凭证来对请求进行签名。
避免将服务器放在 NLBs Amazon Transfer Family 服务器前面 NATs
注意
配置有 FTP 和 FTPS 协议的服务器仅允许使用 VPC 进行配置:没有可用于 FTP/FTPS 的公共终端节点。
许多客户将 Network Load Balancer (NLB) 配置为将流量路由到其 Amazon Transfer Family 服务器。他们之所以这样做,要么是因为他们之前创建了服务器, Amazon 提供了一种从 VPC 内部和互联网访问服务器的方法,要么是为了支持 Internet 上的 FTP。这种配置不仅会增加客户的成本,还可能导致其他问题,我们在本节中对此进行了介绍。
当客户端从公司防火墙后面的客户专用网络进行连接时,NAT 网关是必不可少的组件。但是,您应该注意,当许多客户端位于同一 NAT 网关后面时,这可能会影响性能和连接限制。如果从客户端到 FTP 或 FTPS 服务器的通信路径中有 NLB 或 NAT,则服务器无法准确识别客户端的 IP 地址,因为只能 Amazon Transfer Family 看到 NLB 或 NAT 的 IP 地址。
如果您在 NLB 后面使用 Transfer Family 服务器的配置,我们建议您移至 VPC 终端节点并使用弹性 IP 地址而不是 NLB。使用 NAT 网关时,请注意下述的连接限制。
如果您使用的是 FTPS 协议,则此配置不仅会降低您审核谁在访问您的服务器的能力,而且还会影响性能。 Amazon Transfer Family 使用源 IP 地址在我们的数据平面上对您的连接进行分片。对于 FTPS 来说,这意味着通信路由上带有 NLB 或 NAT 网关的 Transfer Family 服务器不会同时拥有 10,000 个连接,而是仅限于 300 个同步连接。
尽管我们建议避免在 Amazon Transfer Family 服务器前面使用网络负载均衡器,但如果您的 FTP 或 FTPS 实施需要在客户端的通信路由中使用 NLB 或 NAT,请遵循以下建议:
-
对于 NLB,请使用端口 21 而不是端口 8192-8200 进行运行状况检查。
-
对于 Amazon Transfer Family 服务器,通过设置启用 TLS 会话恢复
TlsSessionResumptionMode = ENFORCED。注意
这是推荐的模式,因为它提供了增强的安全性:
-
要求客户端在后续连接中使用 TLS 会话恢复。
-
通过确保一致的加密参数来提供更强的安全保障。
-
有助于防止潜在的降级攻击。
-
在优化性能的同时保持对安全标准的合规性。
-
-
如果可能,请停止使用 NLB,以充分利用 Amazon Transfer Family 性能和连接限制。
有关 NLB 替代方案的更多指导,请通过 Amazon Support 联系 Amazon Transfer Family 产品管理团队。有关改善安全状况的更多信息,请参阅博客文章《提高 Amazon Transfer Family 服务器安全性的六个技巧》