Temelinde dosya transferi olan bu protokoller bir çok defa kafa karışıklığına neden olmakta. SFTP ve FTPS sundukları kimlik doğrulama seçenekleriyle FTP’den çok daha güvenilirdirler.
FTP komut kanalı ve veri kanalı olmak üzere iki ayrı kanal tarafından veri transferi yapar. Bu iki kanalda da veriler şifrelenmez ve araya girebilecek saldırganlar tarafından kolaylıkla okunabilir. Bu noktada saldırganların kullandıkları en bililen yöntemler ortadaki adam saldırısı ve ARP zehirlenmesi saldırılarıdır. PCI DSS, HIPAA gibi bir çok standart tarafından FTP kullanımı kabul edilmez. Bu üç protokolden en son tercih edilmesi gerekeni FTP’dir.
SFTP ve FTPS sundukları kimlik doğrulama seçenekleriyle daha güvenli bir şekilde dosya transferi yaparlar. Bu iki protokol arasındaki temek fark portları kullanım şekillerindedir. SFTP tüm transfer işlemlerini tek port üzerinden yaparken FTPS birden çok port kullanır. FTPS’in birden çok portu kulllanması güvenlik duvarında daha çok porta izin verilmesi anlamına geliyor. Bundan dolayı SFTP’nin güvenliği FTPS’e göre daha iyidir.
FTPS’de kullanıcı adı ve parolaya ek olarak sertifikanın kullanılması gerekir. Sertifikanın bililen sertifika yetkilileri(CA) tarafından onaylanması gerekiyor. CA’lara alternatif olarak dosya transferi yapacak olan sunucular tarafından da bu sertifikalar tanımlanabilir. FTPS önlem olarak FTP’ye ayrı bir katman ekliyor diyebiliriz. Hem kullanıcı adı ve parola hem de sertifika yöntemleri aynı anda kullanılabilir.
SFTP ise SSH protokülü kullanır. Tek port üzerinden dosya transferi yapar ve hem kimlik doğrulama bilgilerini hem de veriyi şifreler. SFTP doğrulama için iki farklı yöntem kullanır.
FTP’de olduğu gibi kullanıcı adı ve parola ile doğrulama yapılabilir. FTP’ye ek olarak girilen kullanıcı adı ve parola bilgilerini şifrelemekte ve bu şekilde güvenli hale gelmektedir.
Diğer yöntem olarak SSH Anahtarları kullanılır. Bu yöntemde genel(public) ve özel(private) olmak üzere iki farklı anahtar oluştursunuz ve genel anahtarınızı dosya transferi yapmak istediğiniz tarafa gönderirsiniz. Sizin genel anahtarınızı hesabınızla ilişkilendirmelerinden sonra başarılı bir şekilde doğrulama işlemi yapılır. Hem kullanıcı adı ve parola hem de anahtarlar aynı anda kullanılabilir.
Güvenlik duvarında tek porta ihtiyacı olmasından dolayı SFTP tercih edilebilir.
Kurumunuz için doğru olan MFT yazılımını seçmek uzun ve karmaşık bir süreç haline gelebilir. İhtiyaçlarınızı doğru analiz ederek ve MFT yazılımından beklentilerinizi doğru soruları sorarak kurumunuz için en verimli olacak MFT yazılımını çok daha kısa sürede seçebilirsiniz.
- Günlük dosya transferi sayınız nedir?
- Dosyaların boyutları ortalama ne kadardır?
- Dosyaların hassaslık/gizlilik derecesi nedir?
- Manuel yapılan transferler için harcadığınız süre nedir?
- Yasal düzenlemelere uyum zorunluluğu var mı?
- Bütçeniz ne kadar?
Bu soruları cevapladıktan sonra MFT yazılımlarını araştırmaya başlarsanız size en uygun olan yazılımı tespit edebilirsiniz.
Nasıl bir ortama kurulum yapacağınız ve MFT yazılımının kullanılacağı platformlar ayrı bir öneme sahiptir. Kurumun ihtiyaçları doğrultusunda sadece lokal kurulum/kullanım olabileceği gibi sadece bulut ortamında da kullanabileceğiniz MFT yazılımları ya da hibrit modele sahip MFT yazılımları da mevcuttur.
Sektörünüze özgü yasal düzenlemelere uyumluluğu artı bir etkendir. Bankacılık, havacılık, sağlık gibi sektörlerin birbirlerinden ayrı yasal zorunlulukları olabiliyor. Seçeceğiniz MFT yazılımının kurumunuzun bağlı olduğu yasal zorunlulukları taşıması ve iş yaptığı kişilerin/kurumların/müşterilerin bağlı olduğu yasal zorunluluklara da uyum sağlaması çok önemlidir. Özellikle çok çeşitli kuruluşlarla dosya transferi yapıyorsanız tek bir sektöre özel değil, bir çok sektörü kapsayacak bir MFT çözümü tercih edilebilir.
MFT yazılımlarının odağı güvenlik olmakla birlikte özellikle veri ihlaline karşı ne gibi önlemleri olduğu ayrı öneme sahiptir. Veri ihlalinin en aza indirilmesi için MFT yazılımının aşağıdaki sorulara cevap verebiliyor olması gerekiyor;
- Desteklediği şifreleme standartları nelerdir?
- Kullanıcı izinleri ne kadar detaylı?
- Gelişmiş loglama sistemi var mı?
- Logları ayrıca SIEM’e gönderebiliyor mu?
- FIPS 140-2 desteği var mı?
Özellikleri bakımından kullanımın kolay olması, verinin hareket halideyken ve durağan haldeyken şifrelenmesi, gelişmiş otomasyon seçeneklerinin olması, yasal zorunlulukları karşılaması, çoklu platform desteği gibi özellikleri olması dikkat edilmesi gereken diğer hususlardır.
E-posta desteği olması, özellikle boyut sınırı olmadan dosyaları güvenli bir şekilde e-posta üzerinden gönderebilmesi gerekir.
Yüksek erişebilirlik ihtiyacınızın olması durumunda cluster desteği sunabilmesi, kendine ait ek güvenlik yazılımlarının olması ya da kurumunuzdaki mevcut güvenlik çözümlerine kolay bir şekilde entegre olabilmesi gerekir.
Satın alma veya kiralama konusunda modül desteğinin olması kullanmayacağız özellikler için gereksiz ödeme yapılmasının önüne geçecek, ileri ki zamanlarda ihtiyaçlarınız doğrultusunda genişleme için esneklik katacaktır.
Yönetilen dosya transferi(MFT-managed file transfer) yazılımları kurum içi ya da kurum dışı yaptığınız tüm dosya transferlerini yönetmek, kontrol etmek, loglamak, güvenliğini sağlamak ve mümkünse otomasyona dayalı bir şekilde gerçekleştirmek için kullanılan yazılımlardır.
Yönetilen dosya transferi yazılımlarının bir çok avantajı vardır;
- Zaman ve para tasarrufu
- Dosyaların güvenliği
- Merkezi yönetim
- Yasal zorunluluklara uyum
- Platform bağımsız olmaları
Günümüzdeki pandemi şartlarından dolayı şirketlerin artık uzaktan çalışmayı zorunlu hale getirmeleri bir çok hassas belgenin gerek e-posta gerekse ftp-sftp gibi çözümlerle internet ortamına açılmış olmasına neden oldu. Bu hassas belgelerin güvenliği, kontrolü, izlenmesi ve merkezi bir yerden yönetilebilmesi artık bir zorunluluk haline gelmiştir. Özellikle günde binlerce dosya transferinin yapıldığı kurumlar için bu transferlerin;
- anlık takip edilebilmesi ve loglanması,
- bilgi güvenliği yasalarına ve düzenlemelerine tam uyum sağlaması,
- transfer sürecinin kesintisiz ve hatasız olması,
- bulut ve web/mobil uygulamalarıyla entegre olabilmesi
gereklilik haline gelmiştir.
MFT yazılımları sayesinde belgeler sadece transfer anında değil durağan haldeyken de şifreli halde bulunabilir. Özellikle bankacılık/finans, sağlık ve kamu kurumlarındaki belgelerin hassas olması ve çok sıkı bilgi güvenliği zorunlulukları olmalarından dolayı belgelerin mutlaka şifrelenmiş durumda olması önem arz etmektedir.
Kullanımı ve yönetimi kolay olan MFT yazılımlarını web tarayıcısı üzerinden sürükle-bırak şeklinde kullanmak mümkündür. Arayüzlerinin sade olmasından dolayı son kullanıcı tarafından oldukça rahat bir şekilde kullanılabilirler. Masaüstü ve mobil uygulamaları da vardır.
Düzenli güncelleştirme almaları sayesinde güncel ataklara karşı hızlı bir şekilde önlem alırlar.
Modül mantığı ile satılmakta olan MFT yazılımları sayesinde sadece ihtiyacınız olan özellikleri satın alıp, gereksiz ödeme yapmaktan kurtulmuş olursunuz.