Apri SFTP sul server principale - in modo sicuro?

1

Abbiamo bisogno di aprire un SFTP per consentire ad alcuni dei nostri clienti di caricare file sul nostro server. Come lo vedo ora, ci sono due opzioni:

  1. Apri SFTP sul nostro server principale con restrizioni (directory, utente, dimensione, ecc.)
  2. Crea un micro server che risponderà solo a SFTP e carica i file su un S3 da cui il nostro server principale può leggere.

L'opzione 1 è più veloce e più facile da mantenere. La domanda è: come posso assicurarmi che sia sicuro?

Le misure di sicurezza che voglio prendere sono le seguenti:

  1. Esegui l'SFTP con un utente con restrizioni.
  2. Limita SFTP a una singola cartella.
  3. La cartella da 2 sarà su un volume secondario e non sul nostro volume principale, solo per assicurarsi che non si riempia.

Ho trovato queste istruzioni: link che sembrano coprire praticamente ciò che ho in programma. L'unica differenza è la dir che sto bloccando l'utente all'interno sarebbe su un volume diverso.

Ora ecco la domanda : pensi che il piano sopra sia abbastanza sicuro? Ci sono dei rischi per la sicurezza che mi mancano qui o forse pensi che l'apertura di un SFTP sul server principale sia completamente folle e dovrebbe essere evitata a tutti i costi?

    
posta Ronen Ness 09.02.2017 - 10:52
fonte

1 risposta

1

Penso che ogni servizio dovrebbe essere separato. IDK se hai la possibilità di creare macchine virtuali diverse o configurare server diversi per ciascun servizio che è più sicuro. Semplice come se venissi violato, solo quella macchina viene violato. Mescolare servizi nella stessa macchina di solito non è una buona idea. Ovviamente dipende dall'ambiente, dall'obiettivo e dalla struttura.

In ogni caso, se è qualcosa che sai non è la migliore ma sta per essere fatta, prova a proteggerla:

  • Cambia la porta standard. < - questa pratica non è una buona protezione ... sai se scansionare il servizio verrà comunque mostrato, ma forse puoi evitare la scansione di alcuni bot.
  • Limita (whitelisting) gli ips. Prova a consentire solo determinati indirizzi IP. < - questo non può essere fatto sempre, dipende se i tuoi clienti saranno sempre gli stessi o se hai clienti itineranti.
  • Se il tuo hardware o firewall lo supporta, utilizza bussare alla porta . < - questo è bello per questo tipo di situazioni.

Riepilogo di ciò che bussano alla porta :

È un metodo di comunicazione tra due computer / dispositivi. A prima vista, quando il client chiede al server un servizio, la porta viene visualizzata come chiusa, ma se chiedi determinate porte (una combinazione di esse in un ordine specifico), la porta viene aperta. Questo processo di bussare è ciò che dà al porto il suo nome.

Buona fortuna!

    
risposta data 09.02.2017 - 12:05
fonte

Leggi altre domande sui tag