In questo contributo cercheremo di rispondere alla domanda del titolo.  La prima considerazione da fare e che “Uno è sicuro, l’altro no”. Ma c’è di più in questa affermazione.

Il protocollo SFTP non si è evoluto da FTP ma da SSH, un protocollo di rete sicuro progettato per eliminare le carenze di Telnet, destinato all’uso su reti private. Pertanto, la doppia “S” sta per “Secure Shell”. SFTP, d’altra parte, è stato costruito da zero pensando alla sicurezza, motivo per cui è diventato l’opzione più popolare nella maggior parte delle situazioni di trasferimento di file.

In confronto, il successore di FTP, FTPS, era semplicemente un’estensione / ripensamento per incorporare le funzionalità di sicurezza desiderate.  Sia FTP che SFTP consentono agli utenti di trasferire file, cioè servono la stessa funzione di base ma sono mondi a parte.

Oggi I tuoi server FTP sono i principali obiettivi di ransomware e sabotaggio da parte delle organizzazioni criminali.

Negli affari, tutti i dati sono considerati essenziali. Alcuni dati sono più critici e richiedono il trasferimento per la revisione, la collaborazione e la condivisione con il pubblico, i fornitori, i colleghi o i partner desiderati. In genere, viene utilizzato un repository di dati (che coinvolge file e cartelle in modo tradizionale) e, per coloro che sono abbastanza esperti da evitare cloud di terze parti , i file server privati ​​offrono la massima possibilità di controllo interno. Il metodo di trasferimento dei file utilizzato deve proteggere i dati durante tutti gli aspetti del suo viaggio, dalla creazione alla cancellazione finale. Con i trasferimenti di file che coinvolgono l’accesso al server remoto, vengono introdotti ulteriori rischi per la sicurezza. Questi includono la perdita di dati a causa di violazioni, errori di utilizzo o attori malintenzionati.

Le aziende dovrebbero evitare l’utilizzo FTP standard ( SCP presenta anche problemi di sicurezza ) per il trasferimento di dati sensibili o riservati.

Utilizza SFTP se una soluzione di trasferimento file gestito (MFT) non è nel budget. I motivi della scelta del protocollo SFTP includono ma non sono limitati a:

  • Conformità e crittografia

Poiché la crittografia codifica i dati, rende i dati leggibili solo per il mittente e il destinatario. FTP non offre crittografia e i dati intercettati sono facilmente leggibili da terze parti. SFTP utilizza Secure Shell (SSH), verificando le chiavi host del destinatario prima che inizi il trasferimento dei dati. Indipendentemente dal settore o dall’ubicazione, è probabile che la tua azienda sia conforme a uno o più dei seguenti standard (E alle leggi locali sulla privacy dei dati): HIPAA, ITAR, PCI-DSS, SOX e GLBA. Tutto ciò rende i dati crittografati obbligatori per la conformità.

  • Comunicazione

Con FTP, vengono utilizzate più porte (richiede un canale dati secondario) per trasferire i file, ma SFTP utilizza una porta per inviare e ricevere dati – la porta 22. Ciò semplifica la configurazione del firewall e aumenta la sicurezza generale. Inoltre, FTP non offre un metodo standard per modificare gli attributi di file e directory.

  • Hacking

FTP è facilmente hackerabile: anche i dilettanti possono intercettare i trasferimenti FTP con un set di strumenti di base (fornito con Kali Linux , ad esempio) o utilizzando la funzione di accesso anonimo.

  • Errore umano

È facile commettere un errore. L’invio del file sbagliato o l’invio del file corretto al destinatario sbagliato potrebbe causare seri problemi alla tua azienda. Sebbene l’errore umano non venga eliminato con SFTP, viene ridotto man mano che le chiavi dell’host del destinatario vengono verificate prima dell’inizio del trasferimento dei file.

  • Inconvenienti

La diagnostica è un problema per SFTP poiché tutti i log (e i messaggi) sono in formato binario. Le chiavi SSH sono difficili da gestire e convalidare e alcune funzionalità (quando abilitate o disabilitate) portano a problemi di compatibilità con il software lato client di diversi fornitori. Inoltre, se sei nello sviluppo di software, l’implementazione dei trasferimenti di file potrebbe richiedere strumenti aggiuntivi . Ad esempio, il framework .NET non dispone del supporto SSH o SFTP nativo.

In conclusione, sebbene questo non sia un elenco esaustivo di pro e contro per ciascun protocollo, è chiaro che FTP non è consigliato se si valorizzano i dati a meno che non si introduca la crittografia su TLS / SSL. Anche in questo caso, SFTP è più sicuro.

In definitiva, DEVI SCEGLIERE una soluzione di trasferimento file adatta al tuo scopo, utilizzo della piattaforma e obiettivi aziendali. Che il tuo trasferimento di file includa server, desktop o dispositivi mobili, ci sono soluzioni per tutte le opzioni. Al momento della scrittura, SFTP è generalmente considerato il più sicuro, davanti a FTPS e SCP. Sebbene non esista una sicurezza al 100% nella sicurezza informatica, se la conformità, la flessibilità, l’automazione e un audit trail sono il tuo obiettivo, allora una soluzione gestita che abbia un client SFTP come opzione per i trasferimenti di file è la migliore.

Una valida soluzione è l’adozione di WS-FTP SERVER per la gestione del trasferimento sicuro dei files tramite FTP, FTPS e SFTP o evolvere verso MOVEit Transfer è la soluzione di Managed File Transfer (MFT) più flessibile sul mercato.

Contattaci per saperne di più: commerciale@n4b.it

FONTE: IPSWITCH BLOG – DI Michael O’Dwyer – giornalista di affari e tecnologia, consulente indipendente e scrittore specializzato in scrittura per il pubblico di imprese, piccole imprese e IT.

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS