У меня дома есть Linux-машина, на которой наши сотрудники и сторонние компании могут забирать данные. На данный момент мы разрешаем только ssh, scp и sftp. К сожалению, мы имеем дело с большими объемами дропов и данных, и люди никогда не удаляют файлы, когда они закончили, что приводит к проблемам с хранением. Существует большой риск оставить конфиденциальные данные на машине, к которой может получить доступ извне, и мы уже внедряем политики хранения данных. Я знаю, что такая ситуация не такая уж редкая, поэтому было ли разработано какое-либо программное обеспечение для управления такой ситуацией?
Я думаю, что ваша основная проблема - это вопрос политики, а не обязательно технический. По правде говоря, это проблема, с которой мне пришлось столкнуться, и вот как мы ее решили.
Все файлы хранятся в заблокированной области хранения на сервере, и пользователю всегда предоставляется именно к каким файлам им нужен доступ. Мы ведем журналы sftp и время от времени проверяем их. Дисковое пространство не является для нас большой проблемой, однако этот вопрос может быть решен администратором, сделав отметку об удалении файла по истечении крайнего срока, или написав простой сценарий и запланировав его на это время.
Хотя поначалу люди были немного нерешительными, мы убедились, что придерживаемся этой политики, и обеспечиваем ее соблюдение. Вы даже можете написать простой сценарий bash, который уведомляет вас об использовании диска на ваших машинах и автоматически удаляет файлы, к которым не обращались в течение X дней.
Столкнувшись с той же ситуацией, я написал сценарий, который удаляет все файлы, к которым не было доступа в течение 3 месяцев, и запускал его как задание cron.
Конфиденциальность документа должна быть охвачена правами доступа. например В нашей системе все личные папки требуют аутентификации. Единственный практический риск, кроме человеческого фактора, - это очевидный риск компрометации системы, который необходимо решать отдельно.
DKNUCKLES Имеет отличное решение в зависимости от вашего размера; хотя обязательно учитывайте масштабируемость - процесс с высокими накладными расходами, который работает для 10 пользователей, может стать проблемой, если он вырастет до 200 пользователей.
Он также очень резко указывает на то, что это в значительной степени вопрос политики. Как внутренняя ИТ-организация решает открыть свои ресурсы для внешнего мира - чрезвычайно важный вопрос, который заслуживает хорошо продуманного ответа в сегодняшней среде киберугроз.
При этом есть несколько технологий, о которых стоит упомянуть, хотя, опять же, в зависимости от вашего размера они могут быть неприменимы:
1.) Обмен файлами через Интернет / общий сервис Dropbox. Это может быть внешний (как сам DropBox) или для простоты использования и повышения безопасности, возможно, его можно будет контролировать и размещать внутри, с моделью доступа, управляемой политиками.
2.) Модель федеративной безопасности между вашей компанией и внешними организациями. Если вы большая организация, которая желает обеспечить устойчивое взаимодействие между вашей интрасетью и интранетом хорошо известного и надежного объекта (например, поставщика, дочерней компании и т. Д.), Существуют федеративные системы, позволяющие устанавливать доверительные отношения между интрасетями (см. вне https://www.pingidentity.com/)
3.) Следуя рекомендациям DKNUCKLES, если вы решите использовать тщательно управляемый общий ресурс, я мог бы порекомендовать использовать DMZ-область сети для вашего специального общего файлового ресурса, если вы еще не рассмотрели это. И обязательно ревизовать до чертиков :)