保护FTP和SFTP服务器的10个基本技巧
大多数组织使用FTP或SFTP服务器与贸易伙伴交换文件和其他关键业务文档。不幸的是,这些服务器已成为黑客的主要攻击目标,使您的FTP或SFTP服务器面临着代价高昂的数据泄露风险。
信息安全三大原则 由于我们正在谈论确保服务器安全,因此我们应该定义这意味着什么。
可以从CIA的角度讨论信息安全。不,不是CIA,在这种情况下,CIA的缩写代表机密性,完整性和可用性。维护机密性意味着绝不会将信息透露给未经授权的个人,实体或过程。完整性是指确保您的数据保持准确和不变。最后,可用性意味着该系统可用于授权实体而不会受到干扰。
主要合规标准和规定 遵守行业安全标准是给各种规模的组织施加压力的问题。您面临的合规性挑战将取决于您的行业和所在地。在美国,最常见的法规包括:
《健康保险可移植性和责任法案》(HIPAA):要求保护任何包含PHI(受保护的健康信息)的通信,这些通信通过开放网络以电子方式传输,以防止被目标接收者以外的任何人截获。
格拉姆-里奇-布莱利法案(GLBA):要求金融机构实施保护措施,以保护客户信息的安全性,完整性和机密性,无论其如何存储或传输。
州隐私法:大多数州都有通知法,而其他州则更具体地规定了如何保护个人数据。
联邦信息安全管理法案(FISMA):定义了一个全面的框架,以保护政府信息,运营和资产免受自然或人为威胁。
支付卡行业数据安全标准(PCI DSS):为负责处理借记卡或信用卡信息以保护客户帐户数据隐私的公司而开发。
像清单中的其他法规一样,不遵守PCI DSS可能会导致罚款或终止您的业务能力。银行和信用卡机构征收的后果可能高达500,000美元。尽管PCI DSS是为处理持卡人数据的公司而设计的,但其详细的安全性要求对于希望保护敏感数据的任何人都是很好的参考。在整个网络研讨会中,Bob和团队参考了每个安全提示与PCI DSS的关系。
最新版本的PCI DSS进行了一些显着更改。您可以在此免费指南中详细了解它们以及它们如何影响您的业务。
如果您在欧盟境内或为欧盟居民处理数据,则20年来数据隐私法规中最重要的变化是通用数据保护法规(GDPR),该法规于2016年通过,将于5月开始实施修订日期:2018年2月25日。其目的是取代现行的数据保护指令,并整合欧洲范围内的数据隐私法。违反GDPR的罚款最高可达2000万欧元,占公司上一个财政年度收入的4%。
保护FTP和SFTP服务器的主要技巧 FTP实施不当的做法普遍存在,使许多企业面临遭受数据泄露或严重违规罚款的风险。是否要确保您的服务器既安全又合规?以下是我们的十大技巧:
1.禁用标准FTP 如果服务器上正在运行标准FTP,则应尽快将其禁用。FTP已经有30多年的历史了,它并不能承受我们今天面临的现代安全威胁。FTP缺乏隐私和完整性,使黑客在传输过程中很容易获得访问权限并捕获或修改您的数据。我们建议您切换到其他几种安全FTP替代方法之一。
2.使用强加密和散列 SFTP和FTPS协议都使用加密密码来保护传输中的数据。密码是一种复杂的算法,它接收原始数据,并与密钥一起产生要传输的加密数据。您应该做的第一件事是禁用任何较旧的,过时的密码,例如Blowfish和DES,而仅使用更强的密码,例如AES或TDES。
哈希或MAC算法用于验证传输的完整性。同样,您应该禁用较旧的哈希/ MAC算法(例如MD5或SHA-1),并坚持使用SHA-2系列中的强大算法。
3.放置在网关后面 DMZ(非军事区)是组织存储FTP服务器的网络的公共部分。DMZ的问题在于它面对着公共互联网,使其成为最容易受到攻击的部分。如果FTP服务器位于DMZ中,则贸易伙伴的数据文件和用户凭据通常也存储在该区域中,即使文件被加密,这也是很大的风险。
其他组织已经采取了将文件和用户凭据移入专用网络的步骤,这更安全。但是,此方法的问题在于,这需要您将端口打开到专用网络中,这会为攻击创建路径,并且可能无法满足合规性要求。
相关阅读: DMZ安全网关:数据安全的秘密武器 一种越来越流行的方法是使用DMZ安全网关或增强的反向代理。网关是您在DMZ中的服务器上安装的软件。然后在启动时从专用网络打开一个专用控制通道进入DMZ。您的贸易伙伴将连接到网关,网关将通过控制通道将会话发送到专用网络上的FTP服务器。文件和用户凭据保留在专用网络中,不需要入站端口。
4.实施IP黑名单和白名单 IP黑名单会暂时或永久拒绝访问系统的IP地址范围。例如,您可能想阻止某些国家访问。您还可以让FTP服务器针对某些类型的攻击(例如DoS攻击)执行自动黑名单。
另一种方法是仅将指定的IP地址列入白名单以访问系统,例如您的贸易伙伴。困难在于,这仅在贸易伙伴使用固定IP的情况下才能很好地起作用。
5.加强您的FTPS服务器 如果您使用的是FTPS服务器,则应采取一些措施来确保其安全,包括:
除非对身份验证和数据通道强制加密,否则不要使用显式FTPS 不要使用任何版本的SSL或TLS 1.0 使用椭圆曲线Diffie-Hellman密钥交换算法 6.利用良好的帐户管理 为贸易伙伴创建操作系统级别的用户帐户是有风险的,因为它创建了获取对服务器上其他资源的访问的途径。此外,用户凭据应与FTP应用程序分开保存。不允许匿名用户或共享帐户。设置一些规则,例如帐户用户名的长度至少应为7个字符,并且在6次登录失败或90天不活动后应自动禁用帐户。
7.使用强密码 密码的长度至少应为7个字符,同时包含数字和字母数字字符,并至少包含一个特殊字符。确保管理员密码每90天更改一次。请勿重复使用最后4个密码,并使用SHA-2等强大的哈希加密算法存储用户密码。
8.实施文件和文件夹安全性 贸易伙伴应仅具有他们绝对需要的文件夹访问权限。例如,仅仅因为合作伙伴需要从文件夹中下载内容的权限,并不表示他们需要对该文件夹的全部权限。需要将文件上传到文件夹并不需要它们具有对该文件夹的读取权限。加密静止的文件(尤其是存储在DMZ中的文件),并仅在需要时将文件保留在FTP服务器上。
9.锁定管理 服务器的管理应受到严格控制。将管理员职责限制为有限数量的用户,并要求他们使用多因素身份验证。不要将密码存储在服务器上,而应将它们存储在AD域或LDAP服务器中。请勿使用常见的管理员用户ID(例如“ root”或“ admin”),这是黑客会尝试的第一件事。
10.遵循这些最佳做法 在网络研讨会中,Bob Luebbe和他的团队提出了一些建议,包括:
保持FTPS或SFTP服务器软件为最新 如果要处理美国政府数据,请仅使用经过FIPS 140-2验证的加密密码 请勿使用首次登录时显示的默认SFTP软件版本-这将为黑客提供如何利用服务器的线索 将所有后端数据库保留在其他服务器上 要求重新认证不活动的会话 实施良好的密钥管理
镭速Raysync传输解决方案,致力于满足企业内部或与外部合作伙伴数据传输需求,提供高效可控的大文件加速传输,超远距离、跨国网络数据传输,文件资产安全外发,文件管理与组织权限管理,支持本地部署和云服务,为企业提供安全、稳定、高效、便捷的大文件交互技术支持与服务。
上一篇:传输大文件的19种方法
下一篇:SFTP传输比FTP慢