Je souhaite savoir quel type de point de terminaison utiliser pour mon serveur AWS Transfer Family.
Résolution
| | | |
---|
Type de point de terminaison | Point de terminaison public | Point de terminaison de VPC Amazon avec accès interne | Point de terminaison de VPC avec accès Internet |
Protocoles pris en charge | SFTP | SFTP, FTP, FTPS | SFTP, FTPS |
Accès | Vous pouvez accéder à des points de terminaison publics via Internet. Vous n'avez pas besoin d'une configuration spéciale dans Amazon Virtual Private Cloud (Amazon VPC). | Vous pouvez accéder à un point de terminaison de VPC au sein d'environnements VPC et connectés à un VPC, tels qu'un centre de données sur site via AWS Direct Connect ou un VPN. | Vous pouvez accéder aux points de terminaison de VPC via Internet et dans des environnements VPC et connectés à un VPC, tels qu'un centre de données sur site via AWS Direct Connect ou un VPN. |
Adresse IP statique | Vous ne pouvez pas attacher d'adresse IP statique. AWS fournit des adresses IP susceptibles d'être modifiées. | Les adresses IP privées associées au point de terminaison ne changent pas. | Vous pouvez associer des adresses IP Elastic au point de terminaison, telles que des adresses IP appartenant à AWS ou vos propres adresses IP (BYOIP). Les adresses IP Elastic associées au point de terminaison ne changent pas. Les adresses IP privées associées au serveur ne changent pas non plus. |
Liste d'adresses IP source autorisées | Les points de terminaison publics ne prennent pas en charge les listes d'autorisation par adresse IP source. Les points de terminaison publics sont accessibles au public et écoutent le trafic sur le port 22. | Utilisez des groupes de sécurité attachés aux points de terminaison de serveur et des listes de contrôle d'accès réseau (ACL réseau) associées au sous-réseau du point de terminaison. | Utilisez des groupes de sécurité attachés aux points de terminaison de serveur et des listes de contrôle d'accès réseau associées au sous-réseau dans lequel se trouve le point de terminaison. |
Liste autorisée du pare-feu client | Vous devez autoriser le nom DNS du serveur. Les adresses IP étant susceptibles de changer, il est recommandé de ne pas utiliser d'adresses IP pour la liste d'autorisation de votre pare-feu client. | Vous pouvez autoriser les adresses IP privées ou le nom DNS du point de terminaison. | Vous pouvez autoriser le nom DNS du serveur ou les adresses IP Elastic associées au serveur. |
Remarque : Le type de point de terminaison VPC_ENDPOINT est interrompu. Vous ne pouvez pas utiliser ce type de point de terminaison pour créer de nouveaux serveurs.
Pour renforcer la sécurité de votre serveur Transfer Family, prenez les mesures suivantes :
- Utilisez un point de terminaison de VPC avec accès interne afin que le serveur ne soit accessible qu'aux clients de votre VPC ou de vos environnements connectés à un VPC.
- Pour permettre aux clients d'accéder au point de terminaison via Internet et de protéger votre serveur, utilisez un point de terminaison de VPC avec accès à Internet. Puis, modifiez les groupes de sécurité du VPC pour autoriser le trafic uniquement en provenance de certaines adresses IP hébergeant les clients de vos utilisateurs.
- Utilisez un Network Load Balancer devant un point de terminaison de VPC avec accès interne. Modifiez le port d'écoute de votre équilibreur de charge du port 22 en un autre port afin qu’il soit plus difficile pour les scanners de ports et les bots de sonder votre serveur. Toutefois, si vous utilisez un Network Load Balancer, vous ne pouvez pas utiliser de groupes de sécurité pour autoriser l'accès à partir d'adresses IP source.
Remarque : Pour les serveurs SFTP, Transfer Family prend en charge les ports personnalisés 2222, 22000 et 2223 sans qu'il soit nécessaire de configurer un Network Load Balancer.
- Si vous avez besoin d'une authentification par mot de passe et que vous utilisez un fournisseur d’identité personnalisé pour votre serveur, appliquez une stratégie stricte de gestion des mots de passe. Demandez aux utilisateurs de créer un mot de passe sécurisé et limitez le nombre de tentatives de connexion infructueuses.
Informations connexes
Créer un point de terminaison connecté à Internet pour votre serveur
Comment puis-je activer une adresse IP Elastic statique pour mon serveur Transfer Family ?