问题描述
使用AWS Inspector来识别AWS资产的风险。今天,他收到了一个”高”严重性的发现。发现显示FTP端口对互联网开放。然而,在查看与实例关联的安全组后,他发现FTP端口只对一组受信任的IP地址开放。
用户想知道,这是否真的构成了高严重性的风险?使用特定的IP白名单开放端口对互联网是否有问题?
解决方案
请注意以下操作注意版本差异及修改前做好备份。
方案1
如果使用的是FTP(而不是FTPS),那么是的,这是一个高严重性的风险。这意味着您正在通过开放的互联网发送未加密的流量。即使您将特定的IP地址列入白名单,这些特定实例之间的流量仍然是未加密的。
此外,FTP是一个非常古老(创建于1971年)且不安全的协议。它不是用来作为安全的文件传输方法的。我建议您研究一些与FTP相关的安全问题,并切换到FTPES或更好地使用AWS的本地方法在实例之间传输文件。如果您的组织受到任何法规的约束(FEDRAMP、HIPPA等),通过开放的互联网使用FTP将无法满足合规要求。
方案2
如果您不使用FTP端口,只是没有对您的IP进行全面检查,那么您可以忽略这个发现。
如果您不实际使用FTP端口,只是没有对您的IP进行全面检查,那么您可以忽略这个发现。AWS Inspector无法知道您实际上没有使用FTP端口。
正文完