Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Welcher Endpunkttyp ist für meinen AWS Transfer Family-Server geeignet?

Lesedauer: 3 Minute
0

Ich möchte wissen, welche Art von Endpunkt ich für meinen AWS Transfer Family-Server verwenden soll.

Lösung

EndpunkttypÖffentlicher EndpunktAmazon VPC-Endpunkt mit internem ZugriffAmazon VPC-Endpunkt mit Internetzugang
Unterstützte ProtokolleSFTPSFTP, FTP, FTPSSFTP, FTPS
ZugriffDu kannst über das Internet auf öffentliche Endpunkte zugreifen. Du benötigst keine spezielle Konfiguration in Amazon Virtual Private Cloud (Amazon VPC).Du kannst über AWS Direct Connect oder VPN auf einen VPC-Endpunkt innerhalb von VPC- und VPC-verbundenen Umgebungen zugreifen, z. B. auf ein lokales Rechenzentrum.Du kannst über das Internet und in VPC- und VPC-verbundenen Umgebungen auf VPC-Endpunkte zugreifen, z. B. über AWS Direct Connect oder VPN in einem lokalen Rechenzentrum.
Statische IP-AdresseDu kannst keine statische IP-Adresse anhängen. AWS stellt IP-Adressen bereit, die sich ändern können.Die privaten IP-Adressen des Endpunkts ändern sich nicht.Du kannst Elastic IP-Adressen an den Endpunkt anhängen, z. B. AWS-eigene IP-Adressen oder deine eigenen IP-Adressen (BYOIP). Die Elastic IP-Adresse des Endpunkts ändert sich nicht. Die privaten IP-Adressen des Servers ändern sich ebenfalls nicht.
Quell-IP-ZulassungslisteÖffentliche Endpunkte unterstützen keine Zulassungslisten nach Quell-IP-Adressen. Öffentliche Endpunkte sind öffentlich zugänglich und warten auf den Verkehr über Port 22.Verwende Sicherheitsgruppen, die an die Server-Endpunkte angehängt sind, und Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs), die an das Subnetz des Endpunkts angehängt sind.Verwende Sicherheitsgruppen, die die Server-Endpunkte enthalten, und Netzwerk-ACLs, die an das Subnetz angehängt sind, das den Endpunkt enthält.
Client-Firewall-ZulassungslisteDu musst den DNS-Namen des Servers zulassen. Da sich IP-Adressen ändern können, empfiehlt es sich, IP-Adressen nicht für die Zulassungsliste deiner Client-Firewall zu verwenden.Du kannst die privaten IP-Adressen oder den DNS-Namen des Endpunkts zulassen.Du kannst den DNS-Namen des Servers oder die Elastic IP-Adressen, die an den Server angehängt sind, zulassen.

Hinweis: Der Endpunkttyp VPC_ENDPOINT wird nicht mehr verwendet. Du kannst diesen Endpunkttyp nicht verwenden, um neue Server zu erstellen.

Gehe wie folgt vor, um die Sicherheit deines AWS Transfer Family-Servers zu erhöhen:

  • Verwende einen VPC-Endpunkt mit internem Zugriff, sodass nur Clients in deiner VPC- oder VPC-verbundenen Umgebung auf den Server zugreifen können.
  • Verwende einen VPC-Endpunkt mit Internetzugang, um Kunden den Zugriff auf den Endpunkt über das Internet zu ermöglichen und deinen Server zu schützen. Ändere dann die Sicherheitsgruppen der VPC so, dass nur Datenverkehr von bestimmten IP-Adressen zugelassen wird, auf denen die Clients deiner Benutzer gehostet werden.
  • Verwende einen Network Load Balancer vor einem VPC-Endpunkt mit internem Zugriff. Ändere den Listener-Port deines Load Balancers von Port 22 auf einen anderen Port, sodass es für Port-Scanner und Bots schwieriger ist, deinen Server zu sondieren. Für SFTP-Server unterstützt die AWS Transfer Family die benutzerdefinierten Ports 2222, 22000 und 2223, ohne dass ein Network Load Balancer konfiguriert werden muss.
    Hinweis: Wenn du einen Network Load Balancer verwendest, kannst du keine Sicherheitsgruppen verwenden, um den Zugriff von Quell-IP-Adressen aus zuzulassen.
    Wichtig: Network Load Balancer und NAT-Gateways nicht vor den Servern der AWS Transfer Family platzieren
  • Wenn du eine kennwortbasierte Authentifizierung benötigst und einen benutzerdefinierten Identitätsanbieter mit deinem Server verwendest, setze eine starke Passwortrichtlinie durch. Fordere Benutzer auf, ein sicheres Passwort zu erstellen, und begrenze die Anzahl fehlgeschlagener Anmeldeversuche.

Ähnliche Informationen

Erstelle einen mit dem Internet verbundenen Endpunkt für deinen Server

Wie aktiviere ich eine statische Elastic IP-Adresse für meinen Transfer Family-Server?

Themen
Migration & Modernization
Tags
AWS Transfer Family
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 8 Monaten

Relevanter Inhalt