我们正在研究以下问题的解决方案:
我们有外部(互联网)用户需要访问敏感信息。我们可以通过 SFTP 为他们提供这些信息,这是一种安全的传输方法。
但是,我们不想在服务器上保留数据,因为它会驻留在 DMZ 中。
是否存在具有“访问时复制”功能的 SFTP 服务器,以便如果 DMZ 中的盒子受到威胁,则该盒子上不会存在任何实际数据?
我正在设想一个 SFTP 代理或 SFTP 直通。目前有这样的产品吗?
答案1
带有 DMZ 网关的 Globalscape EFT 服务器完全满足您的要求
答案2
听起来使用 HTTPS 而不是 SFTP 是可行的方法。在 DMZ 服务器上运行 HTTP 代理并将数据保存在内部 Web 服务器上。如果用户入侵 DMZ 服务器并获得 shell,他们将无法访问数据。他们会发现代理,但如果您使用基本身份验证,他们将无法访问数据。
答案3
如果您想将受限制的数据传输到互联网,解决方案不一定是让他们通过互联网访问受限制的网络段。事实上,正如您所描述的那样,我强烈反对这样做。您要求的实际上是相当复杂的,很难以负责任的方式实施。
举例来说,您有两个网络段。一个 DMZ 和一个专用网络。数据库位于专用网络,而 Web 服务器位于 DMZ。出于安全考虑,您使用防火墙完全限制专用网络的访问。如果 DMZ 受到威胁,并且身份验证数据存储在服务器上,那么破解者将能够访问受限制的数据。
这就是加密要求和密钥管理技术发挥作用的地方,例如支付卡行业数据安全标准如果您没有先进的加密架构,即使数据没有存储在 DMZ 中,一旦数据遭到泄露,仍然有风险。
你可以实现提取和加载并批量输出数据。通常,这种解决方案要求使用强加密技术对数据进行加密,然后通过您首选的协议进行传输。一旦数据被加密,用于传输数据的方法就可以更加灵活。
您的具体情况将决定要付出多少努力才能建立一个值得生产的解决方案。如果您要处理一次性请求,最好通过以下工具手动满足该请求:基努否则,您可能需要构建、查找或购买应用程序。一种越来越常见的方法是使用 Web 应用程序来满足安全要求,同时仍允许技术知识较少的人访问数据。
答案4
Jscape 有一个 SFTP 反向代理,可以满足您的需求。请参阅http://www.jscape.com/reverseproxy/index.html。