本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的基礎設施安全 AWS Transfer Family
<a name="infrastructure-security"></a>

作為受管服務， AWS Transfer Family 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊，請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境，請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 AWS 發佈的 API 呼叫， AWS Transfer Family 透過網路存取 。使用者端必須支援下列專案：
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件，例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

## 避免將 NLBs和 NATs放在 AWS Transfer Family 伺服器前面
<a name="nlb-considerations"></a>

**注意**  
使用 FTP 和 FTPS 通訊協定設定的伺服器只允許使用 VPC 的組態：沒有可用於 FTP/FTPS 的公有端點。

許多客戶設定 Network Load Balancer (NLB) 將流量路由到其 AWS Transfer Family 伺服器。他們通常會這麼做，因為他們在 AWS 提供方法從 VPC 內部和網際網路存取伺服器，或支援網際網路上的 FTP。此組態不僅會增加客戶的成本，還可能導致其他問題，我們將在本節中說明。

當用戶端從企業防火牆後方的客戶私有網路連線時，NAT 閘道是強制性元件。不過，您應該知道，當許多用戶端位於相同的 NAT 閘道之後，這可能會影響效能和連線限制。如果從用戶端到 FTP 或 FTPS 伺服器的通訊路徑中有 NLB 或 NAT，則伺服器無法準確識別用戶端的 IP 地址，因為 只會 AWS Transfer Family 看到 NLB 或 NAT 的 IP 地址。

如果您使用的是 NLB 後方 Transfer Family 伺服器的組態，建議您移至 VPC 端點並使用彈性 IP 地址，而不是使用 NLB。使用 NAT 閘道時，請注意以下所述的連線限制。

如果您使用的是 FTPS 通訊協定，此組態不僅會降低您稽核誰存取伺服器的能力，還會影響效能。 AWS Transfer Family 會使用來源 IP 地址將您的連線分片到資料平面。對於 FTPS，這表示與 10，000 個同時連線不同，通訊路由上具有 NLB 或 NAT 閘道的 Transfer Family 伺服器僅限於 300 個同時連線。

雖然我們建議避免在 AWS Transfer Family 伺服器前面使用 Network Load Balancer，但如果您的 FTP 或 FTPS 實作需要用戶端通訊路由中的 NLB 或 NAT，請遵循下列建議：
+ 對於 NLB，請使用連接埠 21 進行運作狀態檢查，而不是連接埠 8192-8200。
+ 對於 AWS Transfer Family 伺服器，請設定 來啟用 TLS 工作階段恢復`TlsSessionResumptionMode = ENFORCED`。
**注意**  
這是建議的模式，因為它提供增強的安全性：  
要求用戶端對後續連線使用 TLS 工作階段恢復。
透過確保一致的加密參數，提供更強大的安全性保證。
有助於防止潛在的降級攻擊。
保持符合安全標準，同時最佳化效能。
+ 如果可能，請遷移至不使用 NLB，以充分利用 AWS Transfer Family 效能和連線限制。

如需 NLB 替代方案的其他指引，請透過 AWS Support 聯絡 AWS Transfer Family 產品管理團隊。如需改善安全狀態的詳細資訊，請參閱部落格文章 [六個改善 AWS Transfer Family 伺服器安全性的秘訣](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/)。

## VPC 連線基礎設施安全性
<a name="vpc-connectivity-infrastructure-security"></a>

具有 VPC 輸出類型的 SFTP 連接器透過網路隔離和私有連線提供增強的基礎設施安全性：

### 網路隔離的優點
<a name="network-isolation-benefits"></a>
+ **私有網路流量**：通往私有 SFTP 伺服器的所有連接器流量都會保留在您的 VPC 中，絕不會周遊公有網際網路。
+ **控制輸出**：對於透過 VPC 存取的公有端點，流量會透過 NAT 閘道路由，讓您控制輸出 IP 地址和網路政策。
+ **VPC 安全控制**：利用現有的 VPC 安全群組、網路 ACLs 和路由表來控制連接器網路存取。
+ **混合連線**：透過已建立的 VPN 或 Direct Connect 連線存取內部部署 SFTP 伺服器，無需額外的網際網路暴露。

### 資源閘道安全性考量事項
<a name="resource-gateway-security"></a>

資源閘道提供跨 VPC 資源存取的安全輸入點：
+ **異地同步備份部署**：資源閘道需要至少兩個可用區域中的子網路，以實現高可用性和容錯能力。
+ **安全群組控制**：設定安全群組以限制只能從授權來源存取 SFTP 連接埠 （通常是連接埠 22)。
+ **私有子網路置放**：連線至私有 SFTP 伺服器以維持網路隔離時，在私有子網路中部署資源閘道。
+ **連線限制**：每個資源閘道支援最多 350 個並行連線，以及 TCP 連線的 350 秒閒置逾時。