Che tipo di endpoint devo usare per il mio server AWS Transfer Family?
4 minuti di lettura
0
Desidero sapere quale tipo di endpoint devo usare per il mio server AWS Transfer Family.
Risoluzione
Consulta la seguente tabella per determinare quale tipo di endpoint AWS Transfer Family è più adatto al tuo caso d'uso:
Tipo di endpoint | Endpoint pubblico | Endpoint Amazon Virtual Private Cloud (Amazon VPC) con accesso interno | Endpoint VPC con connessione Internet | VPC_ENDPOINT (OBSOLETO) |
Protocolli supportati | SFTP | SFTP, FTP, FTPS | SFTP, FTPS | SFTP |
Accesso | Da Internet. Questo tipo di endpoint non richiede alcuna configurazione speciale nel tuo VPC. | Dall'interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN. | Da Internet e interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN. | Dall'interno del VPC e da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN. |
Indirizzo IP statico | Non puoi associare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche. | Gli indirizzi IP privati collegati all'endpoint non sono soggetti a modifiche. | È possibile associare indirizzi IP elastici all'endpoint. Questi possono essere indirizzi IP di proprietà di AWS o indirizzi IP personali (BYOIP). Gli indirizzi IP elastici collegati all'endpoint non sono soggetti a modifiche. Lo stesso vale per gli indirizzi IP privati collegati al server | e per quelli privati collegati all'endpoint. |
Lista di indirizzi IP di origine consentiti | Questo tipo di endpoint non supporta le liste di indirizzi IP di origine consentiti. L'endpoint è pubblicamente accessibile e ascolta il traffico sulla porta 22. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo degli accessi alla rete (ACL) collegati alla sottorete in cui si trova l'endpoint. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint. |
Lista dei firewall dei client consentiti | Devi consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, evita di utilizzare gli indirizzi IP per la lista dei firewall consentiti dei client. | Puoi consentire gli indirizzi IP privati o il nome DNS degli endpoint. | Puoi consentire il nome DNS del server o gli indirizzi IP elastici collegati al server. | Puoi consentire gli indirizzi IP privati o il nome DNS degli endpoint. |
Nota: il tipo di endpoint VPC_ENDPOINT è ora obsoleto e non può essere utilizzato per creare nuovi server. Per ulteriori informazioni, consulta Interruzione dell'uso di VPC_ENDPOINT.
Considera le seguenti opzioni per aumentare l'assetto di sicurezza del tuo server AWS Transfer Family:
- Usa un endpoint VPC con accesso interno, in modo che il server sia accessibile solo ai client dall'interno del VPC o da ambienti connessi al VPC, ad esempio un data center on-premise tramite AWS Direct Connect o VPN.
- Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con connessione Internet. Quindi, modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client dei tuoi utenti.
- Usa un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta di ascolto sul sistema di bilanciamento del carico dalla porta 22 a una porta diversa. Ciò può ridurre, ma non eliminare, il rischio che scanner di porte e bot sondino il server, poiché la porta 22 è più comunemente utilizzata per la scansione. Tuttavia, se utilizzi un Network Load Balancer, non puoi utilizzare i gruppi di sicurezza per consentire l'accesso dagli indirizzi IP di origine.
- Se hai bisogno di un'autenticazione basata su password e utilizzi un provider di identità personalizzato con il tuo server, è consigliabile impostare una policy aggressiva in materia di password. È consigliabile che la policy in materia di password impedisca agli utenti di creare password deboli e limiti il numero di tentativi di accesso non riusciti.
Informazioni correlate
AWS UFFICIALEAggiornata 3 anni fa
Contenuto pertinente
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 3 anni fa