我们正在研究解决以下问题的方法:
我们有需要访问敏感信息的外部(互联网)用户。 我们可以通过SFTP提供给他们,这将提供一个安全的传输方法。
但是,我们不想维护服务器上的数据,因为它将驻留在DMZ中。
是否有一个SFTP服务器“访问复制”,如果DMZ中的盒子被攻破,那么该盒子上没有实际的数据?
我正在构想一个SFTP代理或SFTP传递。 目前是否有这样的产品?
具有DMZ网关的Globalscape EFT服务器完全符合您的要求
听起来像使用HTTPS而不是SFTP将是要走的路。 在DMZ服务器上运行HTTP代理并将数据保存在内部Web服务器上。 如果用户妥协DMZ服务器并获得一个shell,他们将无法访问数据。 他们会发现有关代理,但如果你使用基本身份validation,他们将无法访问数据。
如果要将受限制的数据传输到Internet,解决scheme不一定要通过Internet访问受限制的网段。 事实上,我会强烈劝阻你描述它。 你所要求的是以负责任的方式实施起来相当复杂。
为了说明,你有两个网段。 一个DMZ和一个专用networking。 居住在DMZ中的私人和Web服务器上的数据库。 出于安全目的,您完全限制使用防火墙访问专用networking。 如果DMZ受到威胁,authentication数据存储在服务器上,黑客将能够访问受限制的数据。
这就是encryption要求和密钥pipe理技术应运而生的地方,在PCI DSS中就是这样的例子。 如果您没有高级encryption体系结构,即使未妥善存储在DMZ中,仍会冒着损害数据的风险。
您可以实现一个ETL并批量处理数据。 通常,这个解决scheme规定需要使用高度encryption来encryption数据,然后通过您的首选协议进行传输。 一旦数据被encryption,用来传输数据的方法可以更加灵活。
您的具体情况将决定为build立有生产价值的解决scheme付出多less努力。 如果您处理一次性请求,您可能最好通过一个工具(如GnuPG)手动满足它。 否则,您可能需要构build,查找或购买应用程序。 一种越来越普遍的方法是使用Web应用程序来满足安全需求,同时仍然允许那些技术知识较less的人员访问数据。
顺便说一下,如果你不需要除端口转发之外的任何function,那么创build一个SFTP代理就足够简单了。 你可以使用netfilter http://kreiger.linuxgods.com/kiki/?Port+forwarding+with+netfilter,fwtk http://sourceforge.net/projects/openfwtk/ ,甚至SSH端口转发。
Jscape有一个SFTP反向代理,应该做你想做的。 请参阅http://www.jscape.com/reverseproxy/index.html 。