Segurança de SFTP Vs FTPS

Durante a última década, como a segurança na Internet tornou-se uma grande preocupação dos profissionais de TI, um dos administradores mais comuns perguntas e usuários fazer é: "O que é mais seguro, SFTP ou FTPS?"

Em suma, ambos os protocolos oferecem um alto nível de segurança e ambos são adequados para satisfazer as necessidades impostas pela maioria das organizações políticas internas e regulamentações estaduais e federais, incluindo o Health Insurance Portability e Accountability Act (HIPAA), a Lei Sarbanes-Oxley ( SOX), a Lei Gramm-Leach-Bliley Act (GLBA), etc

Para aqueles que procuram uma compreensão mais profunda das diferenças entre estes dois protocolos de transferência de arquivos, este artigo analisa o que entendemos por "segurança" e, em seguida, examina como funcionam esses protocolos e que mecanismos que utilizam para garantir a segurança de uma transmissão.

Ao avaliar a segurança de um determinado método de mover dados entre sistemas, a maioria dos usuários estão preocupados com o cumprimento de três condições:

1. Confidencialidade - Garantir que ninguém, mas o destinatário pode ver os dados que estão sendo enviados.
2. Integridade - garantia de que os dados não podem ser modificados por terceiros não autorizados antes de chegar ao destinatário.
3. Autenticidade - Garantir que o remetente eo destinatário são quem dizem que são.

Agora que sabemos que tipo de segurança que precisamos, podemos agora examinar como o FTPS e SFTP trabalho protocolos e como atingir essas metas de segurança.

FTPS é uma combinação de duas tecnologias: FTP e SSL. FTP é uma rede de protocolo de transferência de arquivo que foi descrita pela primeira vez na RFC 959 em 1980 e passou por inúmeras mudanças e adições desde aquela época. Por si só, o FTP não oferece segurança significativa. As conexões são protegidas por senha, mas todos os dados (incluindo senhas) é enviado em texto simples através da rede. Uma conexão de FTP pode ser assegurada através do protocolo SSL / TLS, como descrito no RFC 2228. Esta combinação do uso de FTP com SSL / TLS veio a ser conhecido como FTPS, e mais cliente e servidores de apoio que sem a necessidade de conhecimentos significativos, em nome do usuário.

SFTP é um protocolo totalmente diferente de FTP, embora seja usado da mesma maneira. SFTP foi descrita pela primeira vez no RFC 4253. Onde FTPS usa SSL para proteger a conexão, SFTP usa o protocolo SSH.

SSL e SSH, os protocolos de segurança usados ​​por FTPS e SFTP, respectivamente, ambos utilizam essencialmente as mesmas técnicas para garantir uma conexão. A principal diferença está em como lidar com a autenticação (# 3 na nossa lista de condições de segurança). SSL usa certificados X.509, onde SSH vez disso, usa as chaves SSH.

Este é o lugar onde muitos consideram SSL para ter uma ligeira vantagem sobre SSH. Um certificado X.509 (mais comumente conhecido como um certificado SSL) é um pacote que contém uma chave (como as teclas usadas pelo SSH), mas também inclui informações adicionais sobre o proprietário do certificado. Um certificado é normalmente emitido por uma Autoridade Certificadora (também conhecido como CA), que é uma fonte confiável que tem tomado medidas para verificar a autenticidade da empresa ou pessoa a quem emitiu o certificado.

SSH requer que quando você aceita uma chave de um parceiro comercial que você tem seu próprio método de verificar a autenticidade da chave, onde o SSL permite delegar esse trabalho para a Autoridade Certificadora que emitiu o certificado SSL.

Esta diferença de abordagem de autenticação não é necessariamente um slam dunk em favor de SSL. Por exemplo, quem pode dizer que as autoridades certificadoras são irrepreensíveis? Certamente é concebível que um usuário malicioso extremamente inteligente poderia encontrar uma maneira de obter uma CA para emitir um certificado para a pessoa errada. Da mesma forma, as técnicas informais muitas vezes utilizados para verificar a autenticidade de uma chave SSH (como verbalmente confirmando impressão digital de uma chave por telefone) são considerados por muitos como sendo muito confiável. Ainda assim, na prática, o SSL (e FTPS) é o mais utilizado.

Então, como parece que FTPS e SFTP oferecem níveis similares de segurança, estão há outras razões para escolher um sobre o outro? Supondo que você tem uma escolha, como muitos usuários precisam fazer a interface com sistemas onde esta decisão já foi feita, há alguns critérios vale a pena considerar ao escolher entre SFTP e FTPS.

FTPS é mais popular, por isso é mais provável que os outros com quem você deseja trocar dados será capaz de suportá-lo. Vantagem: FTPS.

SFTP é mais fácil de administrar a partir de um ponto de vista da rede (firewalls, etc.) SFTP utiliza apenas uma única porta TCP onde FTPS requer dois. Vantagem: SFTP.

FTPS é mais flexível e, sob certas circunstâncias, usa menos recursos de computação do que SFTP, que pode levar a um desempenho mais rápido. FTPS vantagem.

SFTP é um novo protocolo com padrões que são mais claramente definidos. Por exemplo, SFTP usa um formato padronizado de listagem de diretório, onde FTPS não. Mais recentes adições ao FTP oferecer uma maneira padronizada de recuperação de uma listagem de diretório, embora não seja suportado universalmente. Não é incomum para descobrir problemas de interoperabilidade ao conectar FTPs implementações de diferentes fornecedores, onde SFTP encontra essas questões menos frequentemente (embora eles acontecem de vez em quando). Vantagem: SFTP.

Como ambos os protocolos de transferência de arquivos tem suas vantagens, é provável que eles vão continuar a co-existir para o futuro previsível. Felizmente, os fornecedores têm reconhecido esta tendência e muitos produtos suportam ambos os protocolos igualmente bem, fazer a escolha entre SFTP e FTPS em grande parte acadêmica.

Para resumir, SFTP e FTPS oferecer níveis de segurança semelhantes e ambos são bem adaptados para atender às necessidades da maioria das organizações, incluindo os vinculados por normas estaduais e federais, como o Health Insurance Portability and Accountability Act (HIPAA), a Lei Sarbanes-Oxley (SOX), a Lei Gramm-Leach-Bliley Act (GLBA), etc...