iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

0

截至目前為止,沒有單一而全面的解決方案,可為一個組織解決所有數據保護合規性和保安要求。現今很多公司都使用不同的系統保護防火牆內的資料,因當敏感資料保存在所屬組織內時,IT 部門便能容易地控制和管理。
然當敏感資料要穿過防火牆向外傳輸時,資料將會變得脆弱、容易操縱、被盜取或在黑市上出售,最終落入非預期的收件人手中,帶來資料盜竊和違規的風險。 現在,安全可靠的檔案傳輸管理(Managed File Transfer)系統,便成為需要與第三方共享敏感資料的組織,一項非常寶貴的投資,除滿足許多安全和合規性要求外,也可為 IT 人員提供檔案傳輸活動的控制度、可視性和靈活性。
為此,Progress Ipswitch 剖析資料保護法規所要求的七個關鍵安全控制措施, 以及 MOVEit 產品(MOVEit Transfer + MOVEit Automation)運作方式,以確 保最敏感數據的安全性、合規性、可視性和控制。

七大面向著手 評估檔案傳輸管理工具
企業若要確保外部資料交換能安全地完成,並符合資料保護的要求,便需要根據合規性、通訊安全、資訊安全政策、訪問控制、密碼學、實體和環境安全、業務連續安全等七個安全要求,評估檔案傳輸管理解決方案在自動化、控制和可視性、資訊安全、驗證、密碼學、安全架構、故障轉移等七大面向的表現。

**1. 自動化 **
自動化檔案傳輸操作有許多優點,既可減少因未能準時完成 SLA ,而導致收入損失,也可降低違反數據保護法規要求的風險。以檔案為本的任務和業務工作流程自動化,使 IT 人員能最大限度地減少維護多個腳本的需要、滿足服務級別協議(SLA)的要求、保持靈活性以適應不斷變化的業務情況、消除在任何指定時間以人手監視檔案位置的需要。
MOVEit Automation 可助資訊人員輕鬆地安排大部份檔案傳輸工作,而無需自訂腳本,還可根據需要隨時作出修改。軟體內建的作業調度程序,可在預設的時間間隔內,在檔案共享伺服器、FTP 伺服器或 MOVEit Transfer 內自動傳輸檔案,確保能按需要將檔案傳送給預定的收件人。

**2. 控制與可視性 **
至今沒有任何資安工具,可保證組織的敏感資料百分百受到保護,免受網絡攻擊。然對移動資料的控制和可視性,可大大減少駭客非法取得資料的機會。 當對資料流和正在發生的事情瞭如指掌,便能實施有效的安全程序,以保護 資料安全,同時遵守資料保護合規性法規。
MOVEit 可提供一組身分驗證控制措施,管理用戶授權訪問敏感數據的時間和長度。這些措施包括用戶和群組配置、用戶帳戶訪問、權限、配額以及自訂的檔案訪 問期限。IT 人員也可設定密碼,並可按需要將用戶列為黑名單或白名單。

**3. 資訊安全 **
檔案傳輸合規性要求,包括檔案完整性檢查、資料接收後刪除、不可否認和保證送達。前述資訊安全保障措施,能確保傳輸中的敏感數據不會被第三方更改,或不正確地傳遞給非預定的收件人。
MOVEit 的不可否認數據完整性功能,可確保發送者和 收件人都獲授權訪問數據,只有發送者和收件人可訪問正在傳輸的資料。MOVEit 用 SHA1 和 MD5 算法執行檔案完整性檢查,以確保最初發送的資料,是最終傳送到預定收件人的相同資料。假如第三方以某種方式設法攔截傳輸,也無法讀取或更改任何資料。

**4. 認證和授權 **
滿足數據安全性和合規性要求的第一道防線,可在資料未被訪問之前便設置,透過控制對系統和數據的訪問,可確保只有授權用戶才能直接接觸最敏感的資料。 由於系統能夠跟進員工情況的變化(即新員工或解僱員工),和提供適當的訪問, IT 人員便不需要監控這個流程。
MOVEit 使管理員能夠利用多個身分驗證來源,例如本地用戶數據庫、通過 LDAP 或 RADIUS 的外部目錄,和通過 SAML / SSO 的外部 IdP 對用戶進行身 分驗證。 當用戶被授予對 MOVEit 伺服器的訪問權限,內置授權控制措施便會提供保障,保護敏感資料不會被未授權的一方查看。

**5. 密碼學 **
合規性標準通常要求實施一定級別的資料安全協議,以防止敏感資料落入錯誤 的地方、被盜和在黑市出售。這些合規性法規的原意甚佳,但加密算法的更新速度通常很快,導致法規很難跟上步伐。由於加密算法有保存期限,系統應該不斷更新,以確保最新的加密保護可用於傳輸或靜止的資料。
MOVEit 使用 FIPS 140-2 驗證算法,例如 AES-256 加密法,以保護靜態資料。 即使有人入侵系統,儲存在 MOVEIT Transfer 伺服器的資料,也會被完整加密,導致入侵者無法讀取。最終,駭客將無法破解代碼,無法讀取敏感檔案。

**6. 安全架構 **
一個強大和安全的檔案傳輸管理解決方案,不僅可以保護靜止和傳輸中的資料安全,還提供具有額外安全層面的系統架構,以區分在內部數據庫中的 數據和標示為傳輸中的資料。
MOVEit Transfer 伺服器可作為與第三方共享數據的臨時儲存庫,由於位於組織的防火牆外,因此儲存在內的資料,可被外部人士訪問卻又不會洩露組織的其餘網絡。儲存在 MOVEit Transfer 上的所有資料,都使用 AES- 256 驗算法加密保護,確保 DMZ中沒有未加密的資料。 另外,企業也可搭配 Ipswitch Gateway 使用,為檔案傳輸解決方案架構增加另一層保護。

**7. 故障轉移 **
對於必須在防火牆內、外部,進行交換敏感資料的組織來說,業務連續性是非常重要。當需要保護傳輸中的數據,並確保不會在自然災害、停電,或組織內高傳輸量期間的某個地方「丟失」時,檔案傳輸活動的保密性、 完整性和可用性便成為首要任務。
MOVEit 的靈活和可擴展架構,能提高網路檔案傳輸表現已實現高可用性,透過利用 MOVEit Transfer 組件的分佈式網路場,消除單點故障。 MOVEit Transfer 的網絡場可處理所有客戶要求,並把檔案傳輸管理系統負載分發到多個節點,進而擴展可用性和提升表現。

https://ithelp.ithome.com.tw/upload/images/20190916/20119749nzkyMQB7SH.png

一旦企業的敏感資料處於防火牆外,便會暴露於潛在的盜竊和誤用危機當中,所以需要檔案傳輸管理工具協助。

https://ithelp.ithome.com.tw/upload/images/20190916/20119749MB2Dj8LrDF.png

Progress Ipswitch 建議從七個安全要求,仔細評估檔案傳輸管理解決方案可確保外部資料交換能安全地完成,並符合資料保護法規的要求。


上一篇
MOVEit 2019 深入控管資料夾權限
下一篇
台灣、香港 檔案傳輸合規 現況調查報告
系列文
Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀30

尚未有邦友留言

立即登入留言