AWS Transfer Family サーバーに使用するエンドポイントのタイプを判断したいです。
解決策
| | | |
---|
エンドポイントの種類 | パブリックエンドポイント | 内部アクセスが可能な Amazon VPC エンドポイント | インターネットにアクセスできる VPC エンドポイント |
サポートされるプロトコル | SFTP | SFTP、FTP、FTPS | SFTP、FTPS |
アクセス | インターネット経由でパブリックエンドポイントにアクセスできます。Amazon Virtual Private Cloud (Amazon VPC) で特別な設定を行う必要はありません。 | VPC 内および VPC に接続された環境 (オンプレミスデータセンターなど) 内の VPC エンドポイントには、AWS Direct Connect または VPN 経由でアクセスできます。 | VPC エンドポイントにはインターネット経由でアクセス可能で、VPC およびオンプレミスのデータセンターなどの VPC 接続環境には AWS Direct Connect または VPN 経由でアクセス可能です。 |
静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。AWS は、変更される可能性のある IP アドレスを提供します。 | エンドポイントにアタッチされているプライベート IP アドレスは変更されません。 | エンドポイントには、AWS 所有の IP アドレスやユーザー独自の IP アドレス (BYOIP) などの Elastic IP アドレスをアタッチできます。エンドポイントにアタッチされている Elastic IP アドレスは変更されません。サーバーにアタッチされているプライベート IP アドレスも変更されません。 |
送信元 IP の許可リスト | パブリックエンドポイントは、送信元 IP アドレスによる許可リストをサポートしていません。パブリックエンドポイントはパブリックにアクセス可能で、ポート 22 経由でトラフィックをリッスンします。 | サーバーエンドポイントにアタッチされているセキュリティグループと、エンドポイントのサブネットにアタッチされたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用してください。 | サーバーエンドポイントにアタッチされているセキュリティグループと、エンドポイントが属するサブネットにアタッチされているネットワーク ACL を使用してください。 |
クライアントファイアウォールの許可リスト | サーバーの DNS 名を許可する必要があります。IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストには IP アドレスを使用しないことがベストプラクティスです。 | プライベート IP アドレスまたはエンドポイントの DNS 名を許可します。 | サーバーの DNS 名またはサーバーに接続されている Elastic IP アドレスを許可します。 |
注: エンドポイントタイプ VPC_ENDPOINT は廃止されました。このエンドポイントタイプを使用して新しいサーバーを作成することはできません。
Transfer Family サーバーのセキュリティを強化するには、次の手順を実行します。
- 内部アクセスが可能な VPC エンドポイントを使用して、VPC または VPC 接続環境内のクライアントのみがサーバーにアクセスできるようにします。
- クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットにアクセスできる VPC エンドポイントを使用します。次に、VPC のセキュリティグループを変更し、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可します。
- 内部アクセスが可能な VPC エンドポイントの前に Network Load Balancer を配置します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更すると、サーバーがポートスキャナーやボットから探査されにくくなります。ただし、Network Load Balancer を使用する場合、セキュリティグループを使用してソース IP アドレスからのアクセスを許可することはできません。
注: SFTP サーバーでは、Transfer Family は Network Load Balancer を設定しなくてもカスタムポート 2222、22000、2223 をサポートします。
- パスワードベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用する場合は、強力なパスワードポリシーを適用してください。ユーザーに安全なパスワードの作成を要求し、ログイン試行の失敗回数を制限します。
関連情報
サーバー用にインターネットに接続するエンドポイントを作成する
Transfer Family サーバーで静的 Elastic IP アドレスを有効にする方法を教えてください