Que tipo de endpoint devo usar para meu servidor do AWS Transfer Family?

5 minuto de leitura
0

Quero saber o tipo de endpoint que devo usar para meu servidor do AWS Transfer Family.

Resolução

Analise a tabela a seguir para determinar qual tipo de endpoint do AWS Transfer Family melhor se adequa ao seu caso de uso:

Tipo de endpointEndpoint públicoEndpoint do Amazon Virtual Private Cloud (Amazon VPC) com acesso internoEndpoint da VPC com acesso voltado para a InternetVPC_ENDPOINT (OBSOLETO)
Protocolos compatíveisSFTPSFTP, FTP, FTPSSFTP, FTPSSFTP
AcessoDa internet. Esse tipo de endpoint não exige nenhuma configuração especial em sua VPC.De dentro da VPC e de ambientes conectados à VPC, como um data center on-premises por meio do AWS Direct Connect ou da VPN.Pela internet e de dentro de ambientes da VPC e conectados à VPC, como um datacenter on-premises por meio do AWS Direct Connect ou da VPN.De dentro da VPC e de ambientes conectados à VPC, como um data center on-premises por meio do AWS Direct Connect ou da VPN.
Endereço IP estáticoVocê não pode anexar um endereço IP estático. A AWS fornece endereços IP que estão sujeitos a alterações.Os endereços IP privados anexados ao endpoint não mudam.Você pode anexar endereços IP elásticos ao endpoint. Eles podem ser endereços IP de propriedade da AWS ou seus próprios endereços IP (BYOIP). Os endereços IP elásticos anexados ao endpoint não mudam. Os endereços IP privados conectados ao servidor também não mudam.Os endereços IP privados anexados ao endpoint não mudam.
Lista de permissões de IP de origemEsse tipo de endpoint não oferece suporte a listas de permissões por endereços IP de origem. O endpoint é acessível ao público e recepciona o tráfego na porta 22.Para permitir o acesso por endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e listas de controle de acesso à rede (ACLs da rede) conectadas à sub-rede em que o endpoint está.Para permitir o acesso por endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e ACLs da rede conectadas à sub-rede em que o endpoint está.Para permitir o acesso por endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e ACLs da rede conectadas à sub-rede em que o endpoint está.
Lista de permissões do firewall do clienteVocê deve permitir o nome DNS do servidor. Como os endereços IP estão sujeitos a alterações, evite usar endereços IP na lista de permissões do firewall do cliente.Você pode permitir os endereços IP privados ou o nome DNS dos endpoints.Você pode permitir o nome DNS do servidor ou os endereços IP elásticos conectados ao servidor.Você pode permitir os endereços IP privados ou o nome DNS dos endpoints.

Observação: o tipo de endpoint VPC_ENDPOINT agora está obsoleto e não pode ser usado para criar novos servidores. Consulte Como descontinuar o uso do VPC_ENDPOINT para saber mais.

Considere as seguintes opções para aumentar a postura de segurança do seu servidor do AWS Transfer Family:

  • Use um endpoint da VPC com acesso interno, para que o servidor seja acessível somente aos clientes em sua VPC ou em ambientes conectados à VPC, como um datacenter on-premises via AWS Direct Connect ou VPN.
  • Para permitir que os clientes acessem o endpoint pela Internet e protejam seu servidor, use um endpoint da VPC com acesso voltado para a Internet. Em seguida, modifique os grupos de segurança da VPC para permitir o tráfego somente de determinados endereços IP que hospedam os clientes de seus usuários.
  • Use um Network Load Balancer na frente de um endpoint da VPC com acesso interno. Mude a porta do listener no balanceador de carga da porta 22 para uma porta diferente. Isso pode reduzir, mas não eliminar, o risco de scanners e bots de portas e sondarem seu servidor, porque a porta 22 é mais comumente usada para verificações. No entanto, se você usar um Network Load Balancer, não poderá usar grupos de segurança para permitir o acesso dos endereços IP de origem.
  • Se você precisar de autenticação baseada em senha e usar um provedor de identidade personalizado com seu servidor, é uma prática recomendada definir uma política de senha agressiva. É uma prática recomendada que sua política de senha impeça que os usuários criem senhas fracas e limite o número de tentativas fracassadas de login.

Informações relacionadas

Criar um endpoint voltado para a Internet para seu servidor

Como habilitar endereços IP elásticos no meu endpoint de servidor habilitado para SFTP do AWS Transfer Family?

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos