如何利用 Transfer Family 构建安全合规的管理文件传输解决方案

作者：John Jamail 于2024年1月3日 发布于 基础知识(100)、安全、身份与合规、技术操作指南原文链接评论区

关键要点

在构建和维护一个安全合规的管理文件传输MFT解决方案时，需要安全地发送和接收组织内外的文件，这往往充满挑战。与一位合格且有 Vigilance 的 MFT 供应商合作，有助于保护文件传输的安全。本文将介绍 AWS Transfer Family 如何在这个过程中帮助您，分享五种方法利用 Transfer Family 的安全特性来最大化地使用这项服务。AWS Transfer Family 是一个完全管理的文件传输服务，支持 SFTP、AS2、FTPS 和 FTP，适用于 Amazon S3 和 Amazon EFS。

在 Transfer Family 上构建 MFT 的好处

根据 AWS 共享责任模型，安全和合规是您与 Transfer Family 之间的共同责任。这种共享模型能够减轻您的运营负担，因为 AWS 负责管理和控制从应用程序、主机操作系统、虚拟化层到服务运营设施的安全性。您需要负责管理和配置 Transfer Family 服务器及其关联的应用程序。

AWS 遵循行业最佳实践，例如自动化补丁管理和持续的第三方渗透测试，以增强 Transfer Family 的安全性。这些第三方验证以及 Transfer Family 在 SOC、PCI、HIPAA 和 FedRAMP 等各种监管规定上的合规性，将其集成到您组织更大范围的安全合规架构中。

例如，Regeneron 是一个利用 Transfer Family 获得益处的客户。由于其对监管合规性和安全性的需求，以及希望构建一个可扩展架构，他们将文件传输解决方案迁移至 Transfer Family。通过这一转变，他们实现了安全合规架构的目标，并将整体成本降低了90。此外，他们还自动化了文件接纳的恶意软件扫描过程。如需了解其成功案例，请参阅 Regeneron 如何利用 AWS Transfer Family 构建安全可扩展文件传输服务。还有许多其他客户的成功案例，比如 Liberty Mutual、Discover 和 OpenGamma。

提升 Transfer Family 安全性的五个步骤

尽管 Transfer Family 提升的许多安全性改进并不需要您采取行动，但出于兼容性原因，您仍需采取某些措施。以下是五个您应在 Transfer Family 上采取的步骤，以采用安全合规的架构。

为传输中的数据使用强加密 构建安全合规的 MFT 服务的第一步是为传输中的数据使用强加密。Transfer Family 现在提供强大的加密套件，包括抵御未来容错量子计算机解密的后量子加密。自2024年1月31日起，Transfer Family 将默认在新建服务器时提供该功能。现有客户可以通过选择最新的 Transfer Family 安全策略 来启用此功能。AWS 定期审查 Transfer Family 的默认安全政策，以确保客户的最高安全姿态。有关如何检查您正在使用的安全策略和如何更新它的信息，详见 AWS Transfer Family 的安全政策。

增强服务器的主机密钥 您需要确保威胁行为者无法通过复制您的服务器主机密钥来冒充您的服务器。服务器的主机密钥是构建安全合规架构的关键组成部分，有助于防止中间人攻击，威胁行为者冒充您的服务器并诱使用户提供敏感登录信息和数据。建议 Transfer Family SFTP 服务器至少使用 4096 位 RSA、ED25519 或 ECDSA 主机密钥。根据共享责任模型，Transfer Family 将自2024年1月31日起为新建服务器将默认主机密钥大小增加到 4096 位。为简化密钥轮换流程，Transfer Family 在单台服务器上支持多种主机密钥的使用。然而，您应尽快弃用较弱的密钥，因为服务器的安全性与其最弱的密钥等同。了解您已使用的密钥及如何进行轮换，请参考 密钥管理。

接下来的三个步骤适用于使用 Transfer Family 的自定义身份验证选项，有助于您使用现有身份提供者将工作流迁移到 Transfer Family。

要求同时使用密码和密钥 为了增强安全性，您可以要求同时使用密码和密钥，以帮助防止密码扫描器和可能窃取其密钥的威胁行为者。有关如何查看和配置此选项的详细信息，请参阅 创建 SFTP 启用的服务器。

为密码使用 Base64 编码 提高安全性的下一步是更新您的自定义身份验证模板，以使用 Base64 编码的密码。这允许使用更广泛的字符，促成更复杂密码的创建。这样，您可以更兼容全球受众，他们可能更倾向于使用不同字符集的密码。多样化的密码字符集也使得密码更难被威胁行为者猜测。Transfer Family 的 示例模板 使用了 Base64 编码的密码。有关如何检查和更新密码编码为 Base64 的模板的更多信息，请参阅 使用 API 网关方法进行身份验证。

将 API 网关方法的 authorizationType 属性设置为 AWSIAM 最后一个推荐步骤是确保将 API 网关方法的 authorizationType 属性设置为 AWSIAM，要求调用者提交用户凭证进行身份验证。使用 IAM 授权，您以来自秘密访问密钥的签名密钥对请求进行签名，而不是使用秘密访问密钥，以确保对身份提供者的授权请求使用 AWS 签名版本 4。这样可以为您的秘密访问密钥提供额外的保护层。有关如何设置 AWSIAM 授权的详细信息，请参阅 使用 IAM 权限控制对 API 的访问。

结论

Transfer Family 为您构建安全合规的 MFT 解决方案提供了诸多优势。通过遵循本文中的步骤，您可以充分利用 Transfer Family 来保护您的文件传输。随着对文件传输的安全合规架构的要求不断发展，威胁变得愈加复杂，Transfer Family 将继续提供优化的解决方案并提供可行的建议。如需了解更多信息，请参阅 AWS Transfer Family 的安全性。

如果您对本文有反馈，请在 评论 部分提交您的意见。如果您对本文有问题，请 联系 AWS 支持。

想要获取更多 AWS 安全资讯？请在 Twitter 上关注我们。

John Jamail

John 是 AWS Transfer Family 的工程总监。加盟 AWS 之前，他在数据安全领域工作了八年，专注于安全事件与事件监测SIEM、治理、风险与合规GRC以及数据丢失防护DLP。

标签： 安全博客