never-use-ftp-cloud-files

Waarom je FTP niet moet gebruiken om cloud bestanden te delen

Waarom je FTP niet moet gebruiken om cloud bestanden te delen

De cloud is een fact of life. Van eenvoudige samenwerkingstools in de cloud tot enorme cloudplatforms zoals Azure en AWS. De meeste bedrijven delen dagelijks honderden bestanden via de cloud. Voor bedrijven en IT-teams is dit een zegen geweest. De cloud biedt een niveau van flexibiliteit waar de meeste on-premise systemen alleen maar van kunnen dromen.

Maar de cloud vereist ook aanpassingen en andere systemen om goed en veilig te integreren met de cloud. Dit geldt met name voor systemen voor bestandsoverdracht. File transfer systemen worden opgeroepen om taken uit te voeren, waarvoor ze nooit zijn ontworpen.

FTP is hier een perfect voorbeeld van. We krijgen vaak de vraag of je FTP kan gebruiken om bestanden in de cloud over te zetten, en het antwoord is steevast nee, tenzij je echt niet geeft om de informatie die je deelt.

Wat is FTP?


File Transfer Protocol (FTP)
bestaat al langer dan de meeste van ons in IT werken. FTP gaat terug tot het begin van netwerken (1971) en dateert dus zelfs vóór de opkomst van moderne Internet Protocol (IP) netwerken op basis van TCP (Transmission Control Protocol) begin jaren 80. Zoals de naam al doet vermoeden, is FTP uitgevonden als een eenvoudige manier om bestanden van de ene computer naar de andere te verplaatsen

Om dit te doen, gebruikt FTP-software een client server model dat twee dingen vereist, een FTP-client en een FTP-server. Historisch gezien is FTP een populair middel geweest om grote bestanden tussen systemen of tussen desktops en systemen te verplaatsen. FTP is ook een veelgebruikte manier om een bestand te delen dat te groot is voor een e-mailbijlage. Het grote bestand wordt geüpload naar een neutrale locatie voor toegang door andere systemen, software of individuen. En hoewel FTP eenvoudig te gebruiken is, betekent dat niet dat het de beste keuze is voor het overbrengen van bestanden.

Voor degenen die bekend zijn met de beperkingen, is het duidelijk dat de makers van FTP nooit de huidige veiligheidssituatie voor ogen hadden. Hoewel FTP gaandeweg is verbeterd met SSH en SSL, zijn FTP-servers voor organisaties die routinematig vertrouwelijke documenten met bedrijfseigen of gereguleerde gegevens overdragen, een nalevingsaansprakelijkheid geworden.

Inherent onveilig, vooral in de cloud

In de loop van de tijd is de eenvoud die FTP zo populair maakte de grootste zwakte geworden. Namelijk omdat, zoals hierboven vermeld, de makers van FTP nooit moderne security eisen hebben overwogen en dus geen functies hebben gebouwd om eraan te voldoen.

FTP kan nog steeds worden geconfigureerd voor toegang zonder geldige authenticatie, bestanden worden opgeslagen en gedeeld zonder encryptie, d.w.z. onversleuteld, en overgedragen gegevens kunnen gemakkelijk worden onderschept door hackers en cybercriminelen terwijl ze het open internet doorkruisen - bijvoorbeeld van cloud naar on-premise, of vice versa. Dus wanneer u een bestand overzet van de ene beveiligde cloudserver naar de andere, met behulp van FTP, is alles wat wordt overgedragen onbeschermd tijdens het verzenden. Authenticatie is even onveilig, met gebruikersnamen en wachtwoorden die in platte tekst worden overgedragen!

Ondanks dit alles is het gebruik van FTP-servers om bestanden over te dragen populair gebleven. Organisaties die data delen, voelen zich echter steeds ongemakkelijker. Ze kennen inmiddels de beperkingen van het beveiligen en beheren van meerdere, ongelijksoortige FTP-servers. Compliance-auditkantoren zien deze omgevingen vaak als een rode vlag en de Amerikaanse FBI heeft zelfs een waarschuwingsbulletin voor de industrie uitgegeven waarin bedrijven worden gewaarschuwd voor het risico dat FTP-servers kunnen vormen.

Wanneer er onbeheerde of onveilige FTP-servers in een organisatie zijn die routinematig data verstuurd die onder AVG, PCI, FDA, SOX of andere voorschriften vallen, bestaat er ook een risico op aanzienlijke boetes. Zo'n 65% van alle datalekken is afkomstig van een gebruiker. De meeste van die gevallen zijn te wijten aan onbedoelde fouten of een slecht beoordelingsvermogen waarbij vertrouwelijke informatie verkeerd worden behandeld of op een ongeautoriseerde locatie worden opgeslagen, zoals de bestandsmap van een FTP-server of op gratis service voor file transfers.

In de meeste gevallen wordt de FTP-functie tegenwoordig daadwerkelijk bediend door SFTP-servers en SSH-clients. SFTP is vergelijkbaar met FTP met de uitzondering dat al het verkeer, inclusief wachtwoorden, opdrachten en data, worden gecodeerd om hacks tijdens de overdracht te voorkomen.

Het antwoord: Managed File Transfer

Hoewel FTP een basis server-client model is, kan managed file transfer-systeem worden gezien als een groot, gecentraliseerd systeem voor bestandsoverdrachten, compleet met alle zichtbaarheid, rapportage, logboekregistratie, beveiliging, tracking, integraties met uw beveiligingsarchitectuur, failover en gegarandeerde leveringsfuncties die al zijn ingebouwd in het ontwerp (in tegenstelling tot add-ons). Dit zijn enterprise-class oplossingen waarop kernprocessen, zoals de medische facturerings- en betalingssystemen van een ziekenhuis, kunnen worden gebouwd. Een enkele implementatie kan bijvoorbeeld meerdere overdrachtsservers, workflowautomatiseringssystemen en cloudgebaseerde overdrachtsservices omvatten, allemaal onder beheer vanaf een gecentraliseerde console.

Deze systemen zijn ook ontworpen om gegevensbeveiliging te garanderen voor organisaties die kernbedrijfsprocessen hebben die de uitwisseling van bestanden met beschermde data met externe partijen vereisen. In deze gevallen is er ook bezorgdheid over de naleving van wetgeving rondom  gegevensbescherming, zoals de AVG, PCI-DSS, ISO-27001, GDPR en andere waarin aanzienlijke boetes worden opgelegd bij overtreding, datalekken, gegevensfraude, verlies of inbreuk. Enkele van de meer waardevolle functies van MFT zijn in dit geval integratie met reeds bestaande beveiligingsinfrastructuur zoals antivirus-, DLP- en toegangscontrolesystemen. Een ander belangrijk kenmerk van veel MFT-systemen in gecentraliseerde logboekregistratie en compliance rapportage.


Comments
Comments are disabled in preview mode.