企業(yè)通常使用FTP與合作伙伴、客戶或供應商之間發(fā)送和接收大量數據。如果你是一個IT專業(yè)人士，那么理所當然，你應該使用安全的FTP(sFTP)解決方案，無論是開源的還是商業(yè)的。你要允許sFTP通過防火墻，同時還要阻止其它FTP流量。這也就是說，你要確保安全系統(tǒng)的流量通道只能用于你想做的事情，還要盡量減少敏感數據的意外泄露。下面的幾個步驟可以為你提供一些參考。

[[112254]]

防火墻規(guī)則：嚴格限制文件傳輸范圍

限制文件傳輸的信道的范圍是防火墻使用的基本規(guī)則，但是一旦指定了一個或幾個系統(tǒng)作為你的sFTP樞紐，那么要確保下面幾個問題：

只有包含在規(guī)則允許的sFTP流量系統(tǒng)可以通過防火墻;

只有遠端的被認可的系統(tǒng)可以作為sFTP數據包的源端或目的端;

SFTP是通過這些系統(tǒng)的防火墻的唯一的加密流量。盡管sFTP流量是加密的，但它是不透明的管理工具，所以你要確保它是唯一流向這些系統(tǒng)或從這些系統(tǒng)流出的不透明流量。

大多數組織都沒有需要和外部實體或做批量文件的安全傳輸快速增長或系統(tǒng)的變化清單。所以如果你確實需要頻繁或快速的變化，你可能需要利用一些安全協(xié)調工具，把必要的規(guī)則調整為源端或目的端。

使用主機工具

考慮到你的環(huán)境的其余部分，你需要仔細考慮基于主機的緩解方式。安全和系統(tǒng)管理供應商最近幾年有所改變，在他們的基于主機的系統(tǒng)監(jiān)控工具中引入了高速分析。特別是有一些已經發(fā)現(xiàn)既可以用于正常行為模式，比如操作系統(tǒng)服務調用(惡意軟件、企業(yè)內部人員以及外部攻擊人員必須使用的)，也可以發(fā)現(xiàn)系統(tǒng)上對于性能影響最小的異常情況。運行基于主機的異常行為檢測可以減少敏感數據移到未經許可的通道中。

不要關注內容，要關注網絡行為

除了主機，網絡行為分析還可以發(fā)現(xiàn)數據流的變化，甚至是一些工具無法看到的加密數據流的內容。由于它們可以看到流出系統(tǒng)的數據流的數量、目的端以及持續(xù)時間，這些工具可以幫助監(jiān)控該過程中的數據泄露問題。有效利用這種系統(tǒng)很難，尤其是當標識流量“正常”的早期階段;比如入侵檢測系統(tǒng)、數據泄露防護系統(tǒng)、網絡行為分析工具都很容易引發(fā)“誤報”，這就提醒我們要判斷哪些是異常行為。安全人員需要花費額外的時間來學習這些系統(tǒng)，或者使用某種專業(yè)服務來處理這種耗時的工作。安全團隊還需要確定并遵循安全流程，不斷完善基于警報評估的預警和響應規(guī)則，逐漸降低虛假點擊的數量。

做你自己的中間人

預防泄露的最極端的方法是開通所有流經能夠執(zhí)行這些中間人功能的設備容量網絡的相關部分的加密流量。這些設備內的加密流量面向內部，終止于系統(tǒng)，而通道面向外部，到數據流的另一端結束。通道會對其進行加密解密。然后它可以利用深度數據包檢測工具對內容敏感性進行分析，并標記為可疑，然后完全阻隔或允許通過。如果允許通過，流量將被重新加密，然后發(fā)送到目的端。這是一個計算量非常大的任務，而且非常昂貴。但是，通過檢查所有進出的加密流量，可以明顯降低數據被隱藏在加密數據流中的風險。這可以引入他們自己的合理風險，所以加密數據流捕獲的范圍需要仔細定義，并與企業(yè)風險管理者討論。如果這個范圍需要擴展到覆蓋用戶端點設備和非sFTP加密流，那么用戶需要知道，他們的加密流量可能要暴漏在IT人員面前。

總結

這些措施可以幫助你降低使用sFTP引入的風險。要知道，數據泄露設計的范圍非常廣，通過直接從桌面和筆記本電腦到網絡上的多種服務使用加密通道是非常困難的。鎖定sFTP周圍的環(huán)境，甚至是整個數據中心，可以降低數據泄露的風險，但是不能完全消除。在面對Facebook或Tumblr方面的智能手機相機和敏感數據保密的時代，已經沒有辦法完全避免數據泄露問題了。但是，還是有一些方法可以緩解數據泄露問題。