云已经成为2019年的事实。从基本的云协作工具到Azure和AWS等大型云平台上的存储桶,大多数企业每天都执行数千次云文件传输,无论他们是否意识到。对于企业和IT团队而言,这是福音。云提供了大多数本地系统梦dream以求的灵活性和功能。

但是,云还需要进行适应和更改系统,以正确(安全)地与云集成。对于文件传输系统尤其如此,它被要求执行从未设计过的任务。

FTP是一个很好的例子。我们经常被问到使用FTP传输云文件是否可以,并且答案总是是“否”,除非您  不在乎您要传输的文件。

什么是FTP?


文件传输协议(FTP)
 FTP的存在时间比大多数计算机涉及的IT工作的时间长,实际上FTP可以追溯到最早的网络(1971年),甚至早于1980年代初期基于TCP(传输)的现代Internet协议(IP)网络的出现。控制协议)。顾名思义,FTP的发明是一种将文件从一台计算机移动到另一台计算机的简单方法

为此,FTP软件使用客户端服务器模型,该模型需要两个部分,一个FTP客户端和一个FTP服务器。从历史上看,FTP一直是在系统之间或在台式机和系统之间移动大文件的流行手段。通过将文件上传到中立位置以供其他系统,软件或个人访问,FTP也是共享对于电子邮件附件而言太大的文件的常用方法。尽管FTP使用简单,但这并不意味着它是传输文件的最佳选择。

 对于那些熟悉其局限性的人来说,很明显,FTP的创建者今天从未设想过’的安全威胁环境。虽然基本的FTP已通过SSH和SSL进行了增强,但对于定期传输包含专有或受监管数据的敏感文档的组织,FTP服务器已成为合规责任。

天生不安全,尤其是在云中

随着时间的流逝,使FTP如此流行的简单性已成为其最大的弱点。也就是说,如上所述,FTP的创建者从未考虑过现代安全性要求,因此没有构建满足这些要求的功能。

可以将FTP配置为无需进行有效身份验证即可进行访问,将文件“存储”并以明文形式存储(即未加密),并且在穿越开放式Internet时,黑客和网络罪犯可以轻松拦截传输的数据(例如从云到本地,或相反亦然。因此,当您使用FTP将文件从一台受保护的云服务器传输到另一台受保护的云服务器时,所传输的内容在传输过程中均不受保护。身份验证同样不安全,用户名和密码以纯文本格式传输!

尽管如此,使用FTP服务器传输文件仍然很流行。但是,需要共享受保护数据的组织对于使用多台不同的FTP服务器保护和管理环境的能力越来越感到不适。合规审计公司经常将这些环境视为危险信号,美国联邦调查局甚至发布了  行业警报公告 警告企业注意FTP服务器可能存在的风险。 

如果组织中存在不受管理或不安全的FTP服务器,该组织通常处理受HIPAA,PCI,FINRA,FDA,SOX或其他行业法规保护的数据,则也可能面临巨额罚款的风险。所有数据泄露中约有65%来自用户。大多数情况是由于疏忽大意或错误判断而导致敏感数据处理不当或存储在未经授权的位置–例如FTP服务器或用户级文件共享服务的文件目录。

今天,在大多数情况下,FTP’的功能实际上是由 SFTP服务器 and SSH客户端。 SFTP与FTP类似,不同之处在于,所有流量(包括密码,命令和数据)都经过加密,以防止在传输过程中被窃听。

答案:托管文件传输

FTP是基本的服务器-客户端模型, 托管文件传输 系统可以被认为是大型的,集中的文件传输系统,具有所有可见性,报告,日志记录,安全性,跟踪,与您的安全性体系结构的集成,故障转移和已经由设计内置的有保证的交付功能(相对于附加组件) )。这些是企业级解决方案,其核心流程如 医疗账单和支付系统 可以建造医院。例如,单个实现可以包括多个传输服务器,工作流自动化系统和基于云的传输服务,所有这些都由集中式控制台进行管理。

这些系统还旨在为具有核心业务流程,需要与外部各方交换包含敏感数据的文件的组织确保数据安全。在这些情况下,还需要关注 遵守数据保护法规 例如上述PCI-DSS,HIPAA,ISO-27001,GDPR等,在数据泄露,丢失或破坏的情况下,将处以巨额罚款。在这种情况下,MFT的一些更有价值的功能是与防病毒,DLP和访问控制系统之类的现有安全基础结构集成。许多MFT系统的另一个关键功能是集中式日志记录和合规性报告。

资源: //blog.ipswitch.com/why-you-shouldnt-use-ftp-to-transfer-cloud-files