Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Qué tipo de punto de conexión debo usar para mi servidor de AWS Transfer Family?

5 minutos de lectura
0

Quiero saber el tipo de punto de conexión que debo usar para mi servidor de AWS Transfer Family.

Resolución

Consulte la siguiente tabla para determinar qué tipo de punto de conexión de AWS Transfer Family se adapta mejor a su caso:

Tipo de punto de conexiónPunto de conexión públicoPunto de conexión Amazon Virtual Private Cloud (Amazon VPC) con acceso internoTerminal de VPC con acceso a InternetVPC_ENDPOINT (OBSOLETO)
Protocolos compatiblesSFTPSFTP, FTP, FTPSSFTP, FTPSSFTP
AccesoA través de Internet. Este tipo de punto de conexión no requiere ninguna configuración especial en la VPC.Desde entornos conectados a VPC y VPC, como un centro de datos local a través de AWS Direct Connect o VPN.A través de Internet y desde entornos conectados a VPC y VPC, como un centro de datos local a través de AWS Direct Connect o VPN.Desde entornos conectados a VPC y VPC, como un centro de datos local a través de AWS Direct Connect o VPN.
Dirección IP estáticaNo puede adjuntar una dirección IP estática. AWS proporciona direcciones IP que están sujetas a cambios.Las direcciones IP privadas adjuntas al punto de conexión no cambian.Puede adjuntar direcciones IP elásticas al punto de conexión. Pueden ser direcciones IP propiedad de AWS o sus propias direcciones IP (BYOIP). Las direcciones IP elásticas adjuntas al punto de conexión no cambian. Las direcciones IP privadas conectadas al servidor tampoco cambian.Las direcciones IP privadas adjuntas al punto de conexión no cambian.
Lista de direcciones IP de origen permitidasEste tipo de punto de conexión no admite listas de permitidos por direcciones IP de origen. El punto de conexión es de acceso público y escucha el tráfico a través del puerto 22.Para permitir el acceso mediante la dirección IP de origen, puede utilizar los grupos de seguridad adjuntos a los puntos de conexión del servidor y las listas de control de acceso a la red (ACL de red) adjuntas a la subred en la que se encuentra el punto de conexión.Para permitir el acceso mediante la dirección IP de origen, puede usar grupos de seguridad adjuntos a los puntos de conexión del servidor y las ACL de red conectadas a la subred en la que se encuentra el extremo.Para permitir el acceso mediante la dirección IP de origen, puede usar grupos de seguridad adjuntos a los puntos de conexión del servidor y las ACL de red conectadas a la subred en la que se encuentra el extremo.
Lista de servidores permitidos del firewall del clienteDebe permitir el nombre DNS del servidor. Dado que las direcciones IP están sujetas a cambios, evite utilizarlas en la lista de permisos del firewall de su cliente.Usted puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión.Usted puede permitir el nombre DNS del servidor o las direcciones IP elásticas asociadas al servidor.Usted puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión.

Nota: El tipo de punto de conexión VPC_ENDPOINT ahora está en desuso y no se puede usar para crear nuevos servidores. Consulte Suspender el uso de VPC_ENDPOINT para obtener más información.

Tenga en cuenta las siguientes opciones para aumentar la seguridad de su servidor de AWS Transfer Family:

  • Utilice un punto de conexión de VPC con acceso interno, de modo que solo puedan acceder al servidor los clientes de su VPC o entornos conectados a VPC, como un centro de datos local a través de AWS Direct Connect o VPN.
  • Para permitir que los clientes accedan al punto de conexión a través de Internet y proteger el servidor, utilice un punto de conexión de VPC con acceso a Internet. A continuación, modifique los grupos de seguridad de la VPC para permitir el tráfico únicamente desde determinadas direcciones IP que alojan los clientes de sus usuarios.
  • Utilice un balanceador de carga de red frente a un punto final de VPC con acceso interno. Cambie el puerto de escucha del balanceador de carga del puerto 22 a un puerto diferente. Esto puede reducir, pero no eliminar, el riesgo de que los escáneres de puertos y los robots escaneen el servidor, ya que el puerto 22 es el que se usa más comúnmente para escanear. Sin embargo, si usa un balanceador de carga de red, no puede usar grupos de seguridad para permitir el acceso desde las direcciones IP de origen.
  • Si necesitas una autenticación basada en contraseñas y utilizas un proveedor de identidad personalizado con tu servidor, se recomienda establecer una política de contraseñas agresiva. Se recomienda que la política de contraseñas impida que los usuarios creen contraseñas débiles y limite el número de intentos fallidos de inicio de sesión.

Información relacionada

Cree un punto de conexión a Internet para su servidor

¿Cómo puedo habilitar las direcciones IP elásticas en mi terminal de servidor con SFTP de AWS Transfer Family?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 años