Transfer Family 서버에 적합한 엔드포인트 유형은 무엇입니까?

해결 방법

엔드포인트 유형	퍼블릭 엔드포인트	내부 액세스가 가능한 Amazon VPC 엔드포인트	인터넷 액세스가 가능한 VPC 엔드포인트
지원되는 프로토콜	SFTP	SFTP, FTP, FTPS	SFTP, FTPS
액세스	인터넷을 통해 퍼블릭 엔드포인트에 액세스할 수 있습니다. Amazon Virtual Private Cloud(Amazon VPC)에서는 특별한 구성이 필요하지 않습니다.	VPC 및 VPC 연결 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 VPC 엔드포인트에 액세스할 수 있습니다.	인터넷을 통해, 그리고 VPC 및 VPC 연결 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 VPC 엔드포인트에 액세스할 수 있습니다.
고정 IP 주소	고정 IP 주소는 연결할 수 없습니다. AWS는 변경될 수 있는 IP 주소를 제공합니다.	엔드포인트에 연결된 프라이빗 IP 주소는 변경되지 않습니다.	AWS 소유 IP 주소 또는 자체 IP 주소(BYOIP)와 같은 탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다. 서버에 연결된 프라이빗 IP 주소도 변경되지 않습니다.
소스 IP 허용 목록	퍼블릭 엔드포인트는 소스 IP 주소별 허용 목록을 지원하지 않습니다. 퍼블릭 엔드포인트는 공개적으로 액세스할 수 있으며 포트 22를 통한 트래픽을 수신합니다.	서버 엔드포인트에 연결된 보안 그룹과 엔드포인트의 서브넷에 연결된 네트워크 액세스 제어 목록(네트워크 ACL)을 사용합니다.	서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL을 사용합니다.
클라이언트 방화벽 허용 목록	서버의 DNS 이름을 허용해야 합니다. IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 않는 것이 좋습니다.	프라이빗 IP 주소 또는 엔드포인트의 DNS 이름을 허용할 수 있습니다.	서버의 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다.

참고: VPC_ENDPOINT 엔드포인트 유형은 더 이상 사용되지 않습니다. 이 엔드포인트 유형을 사용하여 새 서버를 생성할 수는 없습니다.

Transfer Family 서버의 보안을 강화하려면 다음 작업을 수행하십시오.

• 내부 액세스가 가능한 VPC 엔드포인트를 사용하여 VPC 또는 VPC 연결 환경 내의 클라이언트만 서버에 액세스할 수 있도록 합니다.
• 클라이언트가 인터넷을 통해 엔드포인트에 액세스하고 서버를 보호하도록 허용하려면 인터넷 액세스가 가능한 VPC 엔드포인트를 사용합니다. 그런 다음, 사용자의 클라이언트를 호스팅하는 특정 IP 주소로부터의 트래픽만 허용하도록 VPC의 보안 그룹을 수정합니다.
• 내부 액세스가 가능한 VPC 엔드포인트 전면에서 Network Load Balancer를 사용합니다. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경하여 포트 스캐너와 봇이 서버를 탐색하기 어렵도록 합니다. 하지만 Network Load Balancer를 사용하는 경우에는 보안 그룹을 사용하여 소스 IP 주소에서의 액세스를 허용할 수 없습니다.
  참고: SFTP 서버의 경우 Transfer Family는 Network Load Balancer를 구성할 필요 없이 사용자 지정 포트 2222, 22000 및 2223을 지원합니다.
• 암호 기반 인증이 필요하고 서버에 사용자 지정 ID 제공업체를 사용하는 경우 강력한 암호 정책을 적용합니다. 사용자에게 보안 암호를 생성하도록 요구하고 로그인 시도 실패 횟수를 제한하십시오.

관련 정보

서버용 인터넷 연결 엔드포인트 생성

Transfer Family 서버의 정적 탄력적 IP 주소를 활성화하려면 어떻게 해야 합니까?