企业通常使用FTP与合作伙伴、客户或供应商之间发送和接收大量数据。如果你是一个IT专业人士,那么理所当然,你应该使用安全的FTP(sFTP)解决方案,无论是开源的还是商业的。你要允许sFTP通过防火墙,同时还要阻止其它FTP流量。这也就是说,你要确保安全系统的流量通道只能用于你想做的事情,还要尽量减少敏感数据的意外泄露。下面的几个步骤可以为你提供一些参考。
防火墙规则:严格限制文件传输范围
限制文件传输的信道的范围是防火墙使用的基本规则,但是一旦指定了一个或几个系统作为你的sFTP枢纽,那么要确保下面几个问题:
只有包含在规则允许的sFTP流量系统可以通过防火墙;
只有远端的被认可的系统可以作为sFTP数据包的源端或目的端;
SFTP是通过这些系统的防火墙的唯一的加密流量。尽管sFTP流量是加密的,但它是不透明的管理工具,所以你要确保它是唯一流向这些系统或从这些系统流出的不透明流量。
大多数组织都没有需要和外部实体或做批量文件的安全传输快速增长或系统的变化清单。所以如果你确实需要频繁或快速的变化,你可能需要利用一些安全协调工具,把必要的规则调整为源端或目的端。
使用主机工具
考虑到你的环境的其余部分,你需要仔细考虑基于主机的缓解方式。安全和系统管理供应商最近几年有所改变,在他们的基于主机的系统监控工具中引入了高速分析。特别是有一些已经发现既可以用于正常行为模式,比如操作系统服务调用(恶意软件、企业内部人员以及外部攻击人员必须使用的),也可以发现系统上对于性能影响最小的异常情况。运行基于主机的异常行为检测可以减少敏感数据移到未经许可的通道中。
不要关注内容,要关注网络行为
除了主机,网络行为分析还可以发现数据流的变化,甚至是一些工具无法看到的加密数据流的内容。由于它们可以看到流出系统的数据流的数量、目的端以及持续时间,这些工具可以帮助监控该过程中的数据泄露问题。有效利用这种系统很难,尤其是当标识流量“正常”的早期阶段;比如入侵检测系统、数据泄露防护系统、网络行为分析工具都很容易引发“误报”,这就提醒我们要判断哪些是异常行为。安全人员需要花费额外的时间来学习这些系统,或者使用某种专业服务来处理这种耗时的工作。安全团队还需要确定并遵循安全流程,不断完善基于警报评估的预警和响应规则,逐渐降低虚假点击的数量。
做你自己的中间人
预防泄露的最极端的方法是开通所有流经能够执行这些中间人功能的设备容量网络的相关部分的加密流量。这些设备内的加密流量面向内部,终止于系统,而通道面向外部,到数据流的另一端结束。通道会对其进行加密解密。然后它可以利用深度数据包检测工具对内容敏感性进行分析,并标记为可疑,然后完全阻隔或允许通过。如果允许通过,流量将被重新加密,然后发送到目的端。这是一个计算量非常大的任务,而且非常昂贵。但是,通过检查所有进出的加密流量,可以明显降低数据被隐藏在加密数据流中的风险。这可以引入他们自己的合理风险,所以加密数据流捕获的范围需要仔细定义,并与企业风险管理者讨论。如果这个范围需要扩展到覆盖用户端点设备和非sFTP加密流,那么用户需要知道,他们的加密流量可能要暴漏在IT人员面前。
总结
这些措施可以帮助你降低使用sFTP引入的风险。要知道,数据泄露设计的范围非常广,通过直接从桌面和笔记本电脑到网络上的多种服务使用加密通道是非常困难的。锁定sFTP周围的环境,甚至是整个数据中心,可以降低数据泄露的风险,但是不能完全消除。在面对Facebook或Tumblr方面的智能手机相机和敏感数据保密的时代,已经没有办法完全避免数据泄露问题了。但是,还是有一些方法可以缓解数据泄露问题。