AWS Transfer Family 서버에 어떤 유형의 엔드포인트를 사용해야 합니까?

최종 업데이트 날짜: 2020년 6월 8일

AWS Transfer Family 서버에 어떤 유형의 엔드포인트를 사용해야 합니까?

​해결 방법

다음 표에서 자신의 사용 사례에 가장 알맞은 AWS Transfer Family 엔드포인트 유형이 무엇인지 확인하십시오.  

엔드포인트 유형 퍼블릭 엔드포인트 내부 액세스가 가능한 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트 인터넷 연결 액세스가 가능한 VPC 엔드포인트 VPC_ENDPOINT
지원되는 프로토콜 SFTP SFTP, FTP, FTPS SFTP, FTPS SFTP
액세스 인터넷을 통해 액세스합니다. 이 엔드포인트 유형은 VPC에서 특별한 구성이 필요하지 않습니다. VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다. 인터넷을 통해, 그리고 VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다. VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다.
고정 IP 주소 고정 IP 주소에 연결할 수 없습니다. AWS는 변경 가능한 IP 주소를 제공합니다. 엔드포인트에 연결된 프라이빗 IP 주소는 변경되지 않습니다.

탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 이는 AWS IP 주소 또는 자체 IP 주소(BYOIP)일 수 있습니다. 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다.

서버에 연결된 프라이빗 IP 주소도 변경되지 않습니다.

엔드포인트에 연결된 프라이빗 IP 주소는 변경되지 않습니다.
소스 IP 허용 목록 이 엔드포인트 유형은 소스 IP 주소별 허용 목록을 지원하지 않습니다.

이 엔드포인트는 공개적으로 액세스할 수 있고 포트 22를 통해 트래픽을 수신 대기합니다.
소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 액세스 제어 목록(네트워크 ACL)을 사용할 수 있습니다. 소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다. 소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다.
클라이언트 방화벽 허용 목록 서버의 DNS 이름을 허용해야 합니다.

IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 마십시오.
엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다. 서버의 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다. 엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다.

참고: VPC_ENDPOINT 엔드포인트 유형은 AWS Command Line Interface(AWS CLI) 또는 AWS Transfer Family API로 서버를 생성한 경우에만 사용할 수 있습니다.

AWS Transfer Family 서버의 보안 태세를 강화하려면 다음 옵션을 고려하십시오.

  • 내부 액세스 권한이 있는 VPC 엔드포인트를 사용하면 AWS Direct Connect 또는 VPN을 통해 온프레미스 데이터 센터와 같은 VPC 또는 VPC 연결 환경의 클라이언트만 서버에 액세스할 수 있습니다.
  • 클라이언트에서 인터넷을 통해 엔드포인트에 액세스하고 서버를 보호하도록 허용하려면 인터넷 연결 액세스 권한이 있는 VPC 엔드포인트를 사용합니다. 그런 다음 사용자의 클라이언트를 호스팅하는 특정 IP 주소로부터의 트래픽만 허용하도록 VPC의 보안 그룹을 수정합니다.
  • 내부 액세스 권한이 있는 VPC 엔드포인트 앞의 Network Load Balancer를 사용합니다. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경합니다. 포트 22가 스캐닝에 가장 일반적으로 사용되기 때문에 포트 스캐너와 봇이 서버를 탐색하는 위험을 줄일 수 있지만 이를 제거하지는 못합니다. 하지만 Network Load Balancer를 사용하는 경우 보안 그룹을 사용하여 소스 IP 주소로부터의 액세스를 허용할 수 없습니다.
  • 암호 기반 인증이 필요하고 서버에서 사용자 지정 자격 증명 공급자를 사용하는 경우 적극적인 암호 정책을 설정하는 것이 좋습니다. 암호 정책에서 사용자가 취약한 암호를 생성하지 못하게 차단하고 로그인 시도 실패 횟수를 제한하는 것이 좋습니다.

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?