As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança em AWS Transfer Family
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.

Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .

Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Transfer Family. Os tópicos a seguir mostram como configurar para atender AWS Transfer Family aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS Transfer Family recursos.

Oferecemos um workshop que fornece orientação prescritiva e um laboratório prático sobre como você pode criar uma arquitetura de transferência de arquivos escalável e segura AWS sem precisar modificar os aplicativos existentes ou gerenciar a infraestrutura do servidor. É possível ver os detalhes desse workshop [aqui](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US).

**Topics**
+ [Benefícios da segurança da conectividade VPC](#vpc-connectivity-security)
+ [Políticas de segurança para AWS Transfer Family servidores](security-policies.md)
+ [Políticas de segurança para conectores AWS Transfer Family SFTP](security-policies-connectors.md)
+ [Usando a troca híbrida de chaves pós-quânticas com AWS Transfer Family](post-quantum-security-policies.md)
+ [Proteção e criptografia de dados](encryption-at-rest.md)
+ [Gerenciando chaves SSH e PGP no Transfer Family](key-management.md)
+ [Gerenciamento de identidade e acesso para AWS Transfer Family](security-iam.md)
+ [Validação de conformidade para AWS Transfer Family](transfer-compliance.md)
+ [Resiliência em AWS Transfer Family](disaster-recovery-resiliency.md)
+ [Crie uma conexão privada entre uma VPC e APIs AWS Transfer Family](vpc-api-endpoints.md)
+ [Segurança da infraestrutura em AWS Transfer Family](infrastructure-security.md)
+ [Adicione um firewall da aplicação web](web-application-firewall.md)
+ [Cross-service prevenção delegada confusa](confused-deputy.md)
+ [AWS políticas gerenciadas para AWS Transfer Family](security-iam-awsmanpol.md)

## Benefícios da segurança da conectividade VPC
<a name="vpc-connectivity-security"></a>

Os conectores SFTP com tipo de saída VPC oferecem benefícios aprimorados de segurança por meio do acesso a recursos: Cross-VPC 
+ **Isolamento de rede**: todo o tráfego permanece em seu ambiente de VPC, fornecendo isolamento completo da rede da Internet pública para conexões de endpoint privadas.
+ **Controle de IP de origem**: os servidores SFTP remotos só veem endereços IP do intervalo CIDR da VPC, oferecendo controle total sobre os endereços IP de origem usados nas conexões.
+ **Acesso privado ao endpoint**: conecte-se diretamente aos servidores SFTP em sua VPC usando endereços IP privados, eliminando a exposição à Internet pública.
+ **Conectividade híbrida**: acesse com segurança servidores SFTP locais por meio de conexões VPN ou Direct Connect estabelecidas sem exposição adicional à Internet.
+ **Controles de segurança da VPC**: aproveite os grupos de segurança, NACLs e políticas de roteamento existentes da VPC para controlar e monitorar o tráfego do conector SFTP.

### Modelo de segurança VPC Lattice
<a name="vpc-lattice-security-model"></a>

A conectividade VPC para conectores SFTP usa o AWS VPC Lattice com redes de serviços para fornecer acesso seguro para vários locatários:
+ **Prevenção delegada confusa**: as verificações de autenticação e autorização garantem que os conectores só possam acessar os recursos específicos para os quais estão configurados, impedindo o acesso não autorizado entre inquilinos.
+ **IPv6-only rede de serviços**: usa endereçamento IPv6 para evitar possíveis conflitos de endereços IP e aprimorar o isolamento de segurança.
+ **Sessão de acesso direto (FAS)**: o tratamento temporário de credenciais elimina a necessidade de armazenamento de credenciais de longo prazo ou compartilhamento manual de recursos.
+ **Resource-level controle de acesso**: cada conector está associado a uma configuração de recursos específica, garantindo controle de acesso granular a servidores SFTP individuais.

### Melhores práticas de segurança para conectividade VPC
<a name="vpc-security-best-practices"></a>

Ao usar conectores do tipo de saída VPC, siga estas práticas recomendadas de segurança:
+ **Grupos de segurança**: configure grupos de segurança para permitir tráfego SFTP (porta 22) somente entre os recursos necessários. Restrinja os intervalos de IP de origem e destino ao mínimo necessário.
+ **Posicionamento do Resource Gateways**: implante gateways de recursos em sub-redes privadas sempre que possível e garanta que eles abranjam pelo menos duas zonas de disponibilidade para alta disponibilidade.
+ **Monitoramento de rede**: use o VPC Flow Logs e CloudWatch a Amazon para monitorar padrões de tráfego de rede e detectar atividades anômalas.
+ **Registro de acesso**: habilite o registro de conectores para rastrear atividades de transferência de arquivos e manter trilhas de auditoria para requisitos de conformidade.
+ **Gerenciamento de configuração de recursos**: revise e atualize regularmente as configurações de recursos para garantir que elas apontem para os servidores SFTP corretos e usem as configurações de rede apropriadas.