Мы хотим отказаться от нашего существующего решения и перейти на более простой (гораздо более дешевый) сервер SFTP, чтобы обеспечить обмен файлами с клиентами. Наша сеть состоит из сетей Trusted и DMZ. В текущем продукте это покрывается размещением сервера с обеих сторон и самим мостом. Мы собираемся перейти на WinSSHD, но не уверены в размещении сервера, DMZ или Trusted. Мы работаем в финансовой сфере и ищем рекомендации по передовому опыту или, возможно, хорошие альтернативы для удовлетворения наших требований.
Конечно, кажется, что мы должны поместить его в DMZ, но затем нам нужно выяснить, как переместить файлы оттуда в Trusted.
Если это общедоступный сервер, вы должны поместить его в демилитаризованную зону - это и есть зонирование. Установка сервера с двумя интерфейсами - один в DMZ, другой в доверенной сети - просто обходит саму идею отдельной DMZ, делая ее совершенно излишней.
Если сервер находится в демилитаризованной зоне, как правило, вам следует
Вы можете легко реализовать 2. просто используя тот же протокол, что и ваши клиенты - подключитесь через SFTP и получите данные. Таким образом, вы избавите себя от головной боли, связанной с оценкой рисков для дополнительного набора протоколов.
Редактировать: Я постараюсь придерживаться вики-подобного стиля, включить ваши возражения в этот ответ и прокомментировать их:
Данные теперь находятся в демилитаризованной зоне, мне пришлось бы искать ответ на этот вопрос внутри компании, чтобы узнать, допустимо ли это. Текущее решение физически не хранит данные в DMZ, оно просто имеет интерфейс DMZ.
Конечно, это зависит от того, кто разрабатывает вашу политику безопасности, чтобы сбалансировать риск кражи данных для данных, «живущих» в демилитаризованной зоне, и наличия общедоступной службы, виртуально размещенной в вашей доверенной сети. В большинстве случаев вы бы выбрали более ранний вариант, сведя к минимуму риск кражи данных, сохранив данные в DMZ только в течение ограниченного времени.
Другой вариант - реализовать прокси-решение для SFTP в вашей демилитаризованной зоне и перенаправления соединений на ваш «доверенный» сервер - но это будет иметь другую поверхность атаки, так что это снова приведет к балансированию рисков.
как это более безопасно, чем просто разместить SFTP в доверенном и разрешить прямые подключения?
Прокси-сервер обычно настраивается так, чтобы иметь "нормальный" протокол обмена. Это смягчает целый класс векторов атак, основанных на использовании слабых мест в реализации протокола на стороне сервера (например, переполнение буфера). Некоторые настройки прокси-сервера могут позволить вам указать ограничения на то, что пользователь может или не может делать - возможность, используемая для уменьшения поверхности атаки, разрешая только необходимые операции.
Но прокси - это всего лишь фрагмент кода, подверженный ошибкам, как и любой другой фрагмент кода - у него будут собственные векторы атаки. Моделирование угроз и оценка рисков для «водяных ворот» с двумя серверами и опросом легче оценить.
Мне нужно, чтобы этот процесс был автоматизирован, поэтому мне пришлось бы использовать своего рода службу просмотра файлов, чтобы отслеживать входящие файлы в DMZ, а затем перенаправлять их на еще один сервер SFTP в Trusted.
Да, это было бы разумным поступком.
Теперь мне действительно нужно администрировать 2 SFTP-сервера с каждой стороны забора.
Правильно, но каждый из них может быть границей безопасности сам по себе - это, вероятно, будет требованием, если вы все равно очень обеспокоены безопасностью хранимых там данных.
Пара мыслей, чтобы согласиться с тем, что говорит syneticon-dj:
РЕДАКТИРОВАТЬ: добавлен пункт Нейта относительно кривой обучения Linux / Windows.
Если вам комфортно с Linux и / или вы готовы потратить некоторое время на его изучение для этого приложения, я бы не рекомендовал использовать Windows для чего-то, что полностью подходит для операционных систем * NIX, таких как Linux или FreeBSD. Я вообще не стучу по WinSSHD (я недавно об этом узнал и считаю, что это отличный продукт для туннелирования RDP через SSH помимо прочего), а просто * NIX и OpenSSH работают так хорошозачем заморачиваться с виндой и стоимостью лицензирования? * NIX, возможно, более безопасен из коробки, особенно с чем-то вроде минимальной установки Debian, которая представляет собой хороший баланс простоты использования (удобное управление пакетами) и небольших размеров.
Держите свой сервер в DMZ. Вам не нужны два SFTP-сервера, вам нужны SFTP-сервер и SFTP клиент в доверенной сети, которая может загружать ваши файлы с SFTP-сервера DMZ в соответствии с требованиями бизнеса.
Это может быть просто задание rsync cron, которое периодически выполняет синхронизацию, скажем, каждые 15 минут с --delete-after аргумент, чтобы на сервере DMZ не осталось данных после их загрузки на доверенный хост. С учетом ваших предпочтений, он может быть настолько надежным, насколько вам нужно, и является довольно распространенным шаблоном (работает для 99% реализаций POP3). Вы можете добавить некоторые проверки работоспособности и некоторую бизнес-логику (проверять данные перед их удалением), и это может быть оптимизировано с помощью шаблона, управляемого событиями (только выборка, когда есть новые данные), но rsync очень эффективен сам по себе, поэтому вы, вероятно, сможете обойтись без такого простого метода грубой силы, как этот, особенно если это был ручной процесс с самого начала.
Приятно то, что помимо некоторых исходящих (исходящих) правил, позволяющих вашему доверенному клиентскому узлу SFTP подключаться к вашей сети DMZ, ваш SFTP-сервер DMZ, если он скомпрометирован, не имеет прямого доступа ни к чему в вашей доверенной сети.