Централизация наших FTP-процессов через SFTP-сервер в нашей DMZ

У нас есть несколько различных процессов FTP, работающих на различных внутренних серверах, которые связываются с внешними поставщиками для отправки или получения файлов конфиденциальных данных. Таким образом, у нас нет единого централизованного места для отслеживания этих процессов и регистрации передаваемых файлов. В то же время мы беспокоимся о том, что сотрудники отправят несанкционированные файлы сторонним организациям, а мы об этом не узнаем. А тем поставщикам, которые присылают нам файлы, мы бы предпочли, чтобы в будущем они не допускались в нашу сеть, даже если они используются исключительно через FTP. Чтобы решить эти проблемы, мы рассматриваем решение, преследующее две основные цели:

1. Централизуйте все передачи FTP, чтобы все они обрабатывались из одного места, которое легко отслеживать.
2. Заблокируйте все порты в нашем брандмауэре, которые разрешают обмен данными по FTP и SFTP.

Вот что мы планируем: мы поместим SFTP-сервер в нашу демилитаризованную зону для взаимодействия с нашими поставщиками, чтобы в будущем им не пришлось проходить через наш брандмауэр. Затем у нас будет веб-служба, настроенная как на DMZ, так и на внутреннем сервере, который будет отправлять файлы друг другу через наш брандмауэр по TCP / IP с использованием SSL.

Мне бы хотелось, чтобы другие думали об этой идее, а именно:

1. Насколько эта идея осуществима и надежна? Или в этом есть изъян, который может дать нам ложное чувство безопасности?
2. Существуют ли какие-либо программные пакеты, которые вы бы порекомендовали для этого, чтобы избавить нас от необходимости самостоятельно кодировать решение?

Это значительно усложняет концепцию простой передачи файлов, поэтому я хочу убедиться, что наш дизайн надежен, прежде чем мы начнем идти по этому пути.