我们正在寻找我们现有的解决scheme,并与一个更简单(便宜得多)的SFTP服务器,以便与客户进行文件交换。 我们的networking由可信和DMZnetworking组成。 目前的产品已经涵盖了双方托pipe服务器,并照顾桥接本身。 我们正在切换到WinSSHD,但不确定有关服务器的位置,DMZ与可信任。 我们正处于金融领域,正在寻求最佳实践的指导,或者是满足我们要求的更好select。
当然,我们应该把它放在非军事区,但是我们必须弄清楚如何把文件从那里移到可信区。
如果它是一个可公开访问的服务器,你应该把它放在DMZ中 – 这就是分区的全部内容。 build立一个具有两个接口的服务器 – 一个在DMZ中,一个在可信networking – 只是绕开了一个单独的DMZ的想法,这使得它完全是多余的。
在DMZ中的服务器,一般来说你应该
通过使用与客户端相同的协议,您可以轻松实现2.通过SFTP连接并closures数据。 这样,您就可以省去一个额外的协议套件风险评估的麻烦。
编辑:我会尽量去与维基风格,并将你的反对意见纳入这个答案和评论他们:
数据现在居住在非军事区,我不得不在内部寻求答案,看看是否允许。 目前的解决scheme并没有物理存储在DMZ中的数据,它只是一个DMZ接口。
当然,谁来devise您的安全策略,以平衡DMZ中“生活”的数据被盗用的风险,以及虚拟托pipe在您的可信networking中的公共访问服务的风险。 在大多数情况下,只要将数据保存在非军事区内,数据盗窃的风险最小化,您就可以更早进行。
另一种select是在DMZ中为SFTP实施代理解决scheme,并将连接转发给“可信任”的服务器 – 但是这样做的攻击面将不同,所以最终还是要平衡风险。
如何比简单地托pipe可信任的SFTP并允许直接连接更安全?
代理通常被设置为具有“良好行为”的协议交换。 这减轻了整个类的攻击媒介基于利用服务器端协议实施的弱点(例如缓冲区溢出)。 一些代理设置可能允许您指定用户可以或不可以执行的限制 – 一种仅用于允许必要的操作来减less攻击面的function。
但是代理只是一段代码,就像其他代码一样容易出错 – 它会有自己的攻击媒介。 使用两台服务器和轮询的“水闸”设置的威胁build模和风险评估更容易评估。
我需要这个过程是自动化的,所以我将不得不使用文件监视服务来监视DMZ中的传入文件,然后转发到另一个可信任的SFTP服务器。
是的,这将是一个合理的事情。
现在我真的必须在围栏的每一边pipe理两台SFTP服务器。
是正确的,但是它们中的每一个本身都可以成为安全边界 – 如果您非常关心存储在那里的数据的安全性,那么这可能是一个需求。
这里有几个想法是和syneticon-dj一起说的:
编辑:添加Nate的观点重新:Linux学习曲线/ Windows权衡。
如果你对Linux感到满意,并且/或者愿意投入一些时间来学习这个应用程序,那么我不鼓励使用Windows来完全适合Linux或FreeBSD等* NIX操作系统。 我根本不是敲响WinSSHD(我最近意识到这一点,并认为这是一个伟大的产品,通过SSH隧道RDP等),但只是* NIX和OpenSSH工作得很好 ,为什么要打扰Windows和成本许可证? * NIX可以说更加安全,尤其是像Debian最小安装,这是易用性(易于pipe理包)和小占用空间的一个很好的平衡。
将您的服务器放在DMZ中。 您不需要两台SFTP服务器,您需要一台SFTP服务器和一台位于可信networking上的SFTP 客户端 ,可以将文件从DMZ SFTP服务器上下载下来,而不受业务要求的限制。
这可能只是一个rsync cronjob,它会周期性地每隔15分钟使用--delete-after参数进行同步“pull”,以便在DMZ服务器下载到可信任主机--delete-after ,数据不会留在DMZ服务器中。 调整到你的口味,这可以像你所需要的那样健壮,而且是一个相当常见的模式(适用于99%的POP3实现)。 您可以添加一些理智检查和一些业务逻辑(在删除数据之前validation数据),并且可以使用事件驱动模式进行优化(只有在有新数据时才能获取),但是rsync本身非常高效,因此您可能用这种简单的暴力方法就可以逃脱,特别是如果这是一个手动的过程。
除了一些出口(外出)规则允许您的可信任的SFTP客户端主机连接到您的DMZnetworking,您的DMZ SFTP服务器(如果受到威胁)不能直接访问您信任的networking中的任何内容。