windows – SFTP服务器dmz vs trusted

前端之家收集整理的这篇文章主要介绍了windows – SFTP服务器dmz vs trusted前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们正在寻求放弃现有的解决方案,并使用更简单(更便宜)的SFTP服务器来允许与客户端进行文件交换.我们的网络由Trusted和DMZ网络组成.目前的产品通过双方托管服务器和照顾桥接本身来实现.我们希望切换到WinSSHD,但不确定服务器的位置,DMZ与Trusted.我们在金融领域寻找最佳实践的指导,或者可能是满足我们要求的良好替代方案.

当然感觉我们应该把它放在DMZ中,但是我们必须弄清楚如何将文件从那里移到Trusted.

如果它是一个可公开访问的服务器,您应该将它放在DMZ中 – 这就是分区的全部内容.设置具有两个接口的服务器 – 一个在DMZ中,一个在可信网络中 – 只是绕过了单独DMZ的想法,使其完全是多余的.

有了DMZ中的服务器,通常你应该这样做

>确定放置在其上的数据是否通常可以安全地在“可信”网络中复制和使用
>如果是这样,请允许服务器和可信网络之间的数据传输机制

只需使用与客户端相同的协议即可轻松实现2.通过SFTP连接并关闭数据.通过这种方式,您可以节省额外协议套件风险评估的麻烦.

编辑:我会尝试使用类似维基的风格,并将您的反对意见纳入此答案并对其进行评论

The data now lives in the DMZ,I
would have to seek an answer for this
internally to see if it’s permissible.
The current solution doesn’t
physically store the data in the DMZ,
it just has a DMZ interface.

当然,无论是谁设计您的安全策略,都要平衡DMZ中“生活”数据的数据窃取风险与虚拟托管在您的可信网络中的公共可访问服务.在大多数情况下,通过将数据保留在DMZ中仅限时间,可以最大限度地降低数据被盗的风险.

另一种选择是在您的DMZ中实施proxy solution for SFTP并将连接转发到您的“可信”服务器 – 但这会有一个不同的攻击面,因此它最终会平衡风险.

how is that more secure than simply hosting the SFTP in the trusted and allowing for direct connections?

通常将代理设置为具有“良好行为”的协议交换.这基于利用服务器端的协议实现中的弱点(例如,缓冲器溢出)来减轻整类攻击向量.某些代理设置可能允许您指定用户可以或不可以执行的操作的限制 – 用于通过仅允许必要操作来减少攻击面的功能.

但代理只是一段容易出错的代码,就像其他代码一样 – 它将拥有自己的攻击向量.使用两台服务器和轮询进行“水闸”设置的威胁建模和风险评估更容易评估.

I need the process to be automated,so I would have to use a file watching
service of sorts to watch for incoming
files in the DMZ,then forwarding to
yet another SFTP server in the
Trusted.

是的,这是一件合理的事情.

Now I really have to administer 2 SFTP servers on each side of the
fence.

正确,但它们中的每一个本身都可以成为安全边界 – 如果您非常关心存储在那里的数据的安全性,这可能是一个要求.

猜你在找的Windows相关文章