Quel type de point de terminaison dois-je utiliser pour mon serveur AWS Transfer Family ?

Date de la dernière mise à jour : 08/06/2020

Quel type de point de terminaison dois-je utiliser pour mon serveur AWS Transfer Family ?

Solution

Consultez le tableau suivant pour déterminer le type de point de terminaison AWS Transfer Family qui convient le mieux à votre cas d'utilisation :  

Type de point de terminaison Point de terminaison public Point de terminaison Amazon Virtual Private Cloud (Amazon VPC) avec accès interne Point de terminaison d'un VPC avec accès accessible sur Internet VPC_ENDPOINT
Protocoles pris en charge SFTP SFTP, FTP, FTPS SFTP, FTPS SFTP
Accès Depuis Internet. Ce type de point de terminaison ne nécessite aucune configuration spéciale dans votre VPC. Depuis un VPC et des environnements connectés à un VPC, comme un centre de données sur site via AWS Direct Connect ou VPN. Sur Internet et depuis des environnements VPC et connectés au VPC, tels qu'un centre de données sur site via AWS Direct Connect ou VPN. Depuis un VPC et des environnements connectés à un VPC, comme un centre de données sur site via AWS Direct Connect ou VPN.
Adresse IP statique Vous ne pouvez pas attacher une adresse IP statique. AWS fournit des adresses IP susceptibles d'être modifiées. Les adresses IP privées attachées au point de terminaison ne changent pas.

Vous pouvez attacher des adresses IP Elastic au point de terminaison. Ces adresses IP peuvent être des adresses IP AWS ou vos propres adresses IP (BYOIP). Les adresses IP Elastic attachées au point de terminaison ne changent pas.

Les adresses IP privées attachées au serveur ne changent pas.

Les adresses IP privées attachées au point de terminaison ne changent pas.
Liste d'autorisation IP source Ce type de point de terminaison ne prend pas en charge les listes d'autorisation par adresses IP source.

Le point de terminaison est accessible publiquement et écoute le trafic sur le port 22.
Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes de contrôle d'accès réseau (ACL réseau) attachées au sous-réseau dans lequel se trouve le point de terminaison. Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes ACL réseau attachées au sous-réseau dans lequel se trouve le point de terminaison. Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes ACL réseau attachées au sous-réseau dans lequel se trouve le point de terminaison.
Liste d'autorisation du pare-feu client Vous devez autoriser le nom DNS du serveur.

Étant donné que les adresses IP sont susceptibles d'être modifiées, évitez d'utiliser des adresses IP pour votre liste d'autorisation de pare-feu client.
Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison. Vous pouvez autoriser le nom DNS du serveur ou les adresses IP Elastic attachées au serveur. Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison.

Remarque : le type de point de terminaison VPC_ENDPOINT est disponible uniquement lorsque vous créez un serveur à l'aide de l'interface de ligne de commande AWS (AWS CLI) ou de l'API AWS Transfer Family.

Prenez en compte les options suivantes pour renforcer la sécurité de votre serveur AWS Transfer Family :

  • Utilisez un point de terminaison d'un VPC avec accès interne, afin que le serveur soit accessible uniquement aux clients au sein de votre VPC ou des environnements connectés au VPC comme un centre de données sur site via AWS Direct Connect ou VPN.
  • Pour permettre aux clients d'accéder au point de terminaison via Internet et de protéger votre serveur, utilisez un point de terminaison d'un VPC avec un accès accessible sur Internet. Ensuite, modifiez les groupes de sécurité du VPC pour autoriser le trafic uniquement à partir de certaines adresses IP qui hébergent les clients de vos utilisateurs.
  • Utilisez un Network Load Balancer devant un point de terminaison d'un VPC avec accès interne. Modifiez le port d'écouteur sur l'équilibreur de charge du port 22 vers un autre port. Cela peut réduire sans pour autant éliminer le risque que des analyseurs de ports et des robots analysent votre serveur. En effet, le port 22 est le plus couramment utilisé pour l'analyse. Toutefois, si vous utilisez un Network Load Balancer, vous ne pouvez pas utiliser de groupes de sécurité pour autoriser l'accès à partir d'adresses IP source.
  • Si vous avez besoin d'une authentification basée sur un mot de passe et que vous utilisez un fournisseur d'identité personnalisé avec votre serveur, nous vous recommandons vivement de définir une stratégie de mot de passe agressive. Une bonne pratique consiste à ce que votre stratégie de mot de passe empêche les utilisateurs de créer des mots de passe faibles et limite le nombre de tentatives de connexion infructueuses.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?