在公司之间pipe理安全的放置站点

在我的位置上,我们有一台Linux机器,我们的员工和外部公司可以下载并获取数据。 目前我们只允许ssh,scp和sftp。 不幸的是,我们处理大量的丢失和数据,并且在完成时,人们从不删除文件,导致存储问题。 在一台可以被外部访问的机器中存在很多的风险,我们已经在实施数据保留策略。 我知道这种情况并不罕见,那么是否有任何为pipe理这种情况而开发的软件呢?

我认为你的根本问题是一个政策问题,不一定是一个技术问题。 说实话,这是我不得不处理的一个问题,下面是我们如何解决这个问题。

  1. 员工需要创build一个可供外界访问的文件。 他们要求这样做,IT部门build立一个外部工作人员可以访问文件的文件夹,
  2. 为了发生这种情况,必须填写表格。 表单信息包括外部人员,他们为什么需要访问这些文件,以及他们需要多长时间。 这个时间表是严格执行的。 如果IT提供了通知,则可以给出扩展,如果是这种情况,那么表单将被更新为新的“截止”date。
  3. 如果截止date到达,并且文件的截止date还没有被延长,那么账户被切断,外部世界将失去对特定文件的访问权限。

所有这些文件都存储在服务器上的一个locking的存储区域中,并且用户只能得到他们需要访问的文件。 我们保留sftp日志并且偶尔审核它们。 磁盘空间并不是我们所关心的,然而这个问题可以通过pipe理员在截止date过后删除文件或者写一个简单的脚本并在那个时间安排来解决。

一开始人们有点犹豫,我们确信我们坚持这个政策并加以执行。 您甚至可以编写一个简单的bash脚本,通知您机器上的磁盘使用情况,并自动删除在X天内未被访问的文件。

DKNUCKLES根据您的尺寸有一个很好的解决scheme; 尽pipe一定要考虑可扩展性 – 如果用户数量增加到200个,那么对于10个用户来说,高额的开销过程可能会成为一个问题。

他也非常尖锐地指出,这在很大程度上也是一个政策问题。 内部IT部门如何决定向外部开放资源是一个非常重要的问题,值得在当今的networking威胁环境中深思熟虑。

这就是说,有一些技术可能值得一提,不过根据你的规模可能不适用:

1.)基于Web的文件共享/通用的投递箱服务。 这可能是外部的(比如DropBox本身),或者为了易用性和增加的安全性,也许可以通过策略驱动访问模型在内部控制和托pipe

2.)贵公司和外部实体之间的联合安全模型。 如果您是一个希望允许您的内部网与知名和可信实体(如供应商,子公司等)之间持续交互的大型组织,则存在允许跨Intranet信任的联合系统(检查出https://www.pingidentity.com/

3.)继DKNUCKLESbuild议之后,如果您决定使用一个密切pipe理的共享,如果您还没有考虑过,我可能会推荐使用networking的DMZ区域作为您的特殊文件共享。 而且一定要审核它的地狱:)

面对同样的情况,我写了一个脚本删除所有未被访问3个月的文件,作为cron作业运行。

文件的敏感性应该由访问权限覆盖。 例如在我们的系统上,所有的私人文件夹都需要authentication 唯一的实际风险,除了人为因素之外,显然是被损害的系统之一,必须单独处理。