本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的安全性 AWS Transfer Family
<a name="security"></a>

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶，您可以受益於資料中心和網路架構，這些架構專為滿足最安全敏感組織的需求而建置。

安全性是 AWS 與您之間的共同責任。[‬共同責任模型‭](https://aws.amazon.com/compliance/shared-responsibility-model/)‬ 將此描述為雲端*‬的‭*‬安全和雲端*‬內*‬的安全：

若要了解 AWS 服務 是否在特定合規計劃範圍內，請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊，請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。

您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊，請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)

您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標，以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務，請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。

本文件可協助您了解如何在使用 時套用共同責任模型 AWS Transfer Family。下列主題說明如何設定 AWS Transfer Family 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS Transfer Family 資源。

我們提供一個研討會，提供規範性指導和實作實驗室，說明如何在 上建置可擴展且安全的檔案傳輸架構， AWS 而不需要修改現有的應用程式或管理伺服器基礎設施。您可以[在這裡](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US)檢視此研討會的詳細資訊。

**Topics**
+ [VPC 連線安全性優點](#vpc-connectivity-security)
+ [AWS Transfer Family 伺服器的安全政策](security-policies.md)
+ [AWS Transfer Family SFTP 連接器的安全政策](security-policies-connectors.md)
+ [搭配 使用混合式後量子金鑰交換 AWS Transfer Family](post-quantum-security-policies.md)
+ [資料保護和加密](encryption-at-rest.md)
+ [管理 Transfer 系列中的 SSH 和 PGP 金鑰](key-management.md)
+ [的身分和存取管理 AWS Transfer Family](security-iam.md)
+ [的合規驗證 AWS Transfer Family](transfer-compliance.md)
+ [中的彈性 AWS Transfer Family](disaster-recovery-resiliency.md)
+ [在 VPC 和 AWS Transfer Family APIs之間建立私有連線](vpc-api-endpoints.md)
+ [中的基礎設施安全 AWS Transfer Family](infrastructure-security.md)
+ [新增 Web 應用程式防火牆](web-application-firewall.md)
+ [預防跨服務混淆代理人](confused-deputy.md)
+ [AWS AWS Transfer Family 的 受管政策](security-iam-awsmanpol.md)

## VPC 連線安全性優點
<a name="vpc-connectivity-security"></a>

具有 VPC 輸出類型的 SFTP 連接器透過跨 VPC 資源存取提供增強的安全優勢：
+ **網路隔離**：所有流量都會保留在您的 VPC 環境中，為私有端點連線提供與公有網際網路的完整網路隔離。
+ **來源 IP 控制**：遠端 SFTP 伺服器只會看到 VPC CIDR 範圍的 IP 地址，讓您完全控制用於連線的來源 IP 地址。
+ **私有端點存取**：使用私有 IP 地址直接連線至 VPC 中的 SFTP 伺服器，消除公有網際網路的暴露。
+ **混合連線**：透過已建立的 VPN 或 Direct Connect 連線安全地存取內部部署 SFTP 伺服器，無需額外的網際網路暴露。
+ **VPC 安全控制**：利用現有的 VPC 安全群組、NACLs 和路由政策來控制和監控 SFTP 連接器流量。

### VPC Lattice 安全模型
<a name="vpc-lattice-security-model"></a>

SFTP 連接器的 VPC 連線使用 AWS VPC Lattice 與服務網路，以提供安全的多租戶存取：
+ **預防混淆代理人**：身分驗證和授權檢查可確保連接器只能存取其設定的特定資源，防止未經授權的跨租用戶存取。
+ **IPv6-only 服務網路**：使用 IPv6 定址以避免潛在的 IP 地址衝突，並增強安全隔離。
+ **轉送存取工作階段 (FAS)**：暫時憑證處理不需要長期憑證儲存或手動資源共用。
+ **資源層級存取控制**：每個連接器都與特定資源組態相關聯，以確保對個別 SFTP 伺服器的精細存取控制。

### VPC 連線的安全最佳實務
<a name="vpc-security-best-practices"></a>

使用 VPC 輸出類型連接器時，請遵循下列安全最佳實務：
+ **安全群組**：設定安全群組，僅允許必要資源之間的 SFTP 流量 （連接埠 22)。將來源和目的地 IP 範圍限制在所需的最低範圍內。
+ **資源閘道置放**：盡可能在私有子網路中部署資源閘道，並確保它們至少跨越兩個可用區域，以實現高可用性。
+ **網路監控**：使用 VPC 流程日誌和 Amazon CloudWatch 來監控網路流量模式並偵測異常活動。
+ **存取記錄**：啟用連接器記錄以追蹤檔案傳輸活動，並維護稽核追蹤以符合合規要求。
+ **資源組態管理**：定期檢閱和更新資源組態，以確保它們指向正確的 SFTP 伺服器，並使用適當的網路設定。