לצורך זרימות עבודה מודרניות באחסון, SFTP צריך להיות כברירת מחדל. FTP ישן לעיתים קרובות מושבת או חסום כיוון שהוא מעביר פרטי התחברות באופן לא מאובטח אם לא נעטף בבקרות נוספות.
צור משתמש ייעודי לגישה לקבצים
תן לכל מפתח או תהליך פריסה חשבון משלו. אישורים משותפים מקשים על ביקורת ומאט את תגובת האירועים.
- חשבון אחד לאדם או לכלי אוטומציה.
- סיסמה חזקה או אימות עם מפתח SSH.
- ביטול מיידי כאשר הגישה כבר אינה נדרשת.
הגבלת היקף התיקייה
השתמש במגבלות של ספריית בית כדי שמשתמשים יראו רק את נתיבי הפרויקט הנדרשים. זה עוקב אחרי עקרונות של הרשאות מינימליות ומפחית שינויים בטעות.
החמרת תהליך ההעברה
השבת פרוטוקולי טקסט רגילים במידת האפשר. אכוף שימוש ב-SFTP, אמת טביעות אצבע של השרת בכלי הלקוח, ושמור על יומני העברות פעילים.
- העדף SFTP בפורט 22 עם אימות מבוסס מפתח.
- הימנע מפעולות קבצים ברמת השורש עבור העלאות שגרתיות.
- השתמש בנתיבי פריסה בעלי גרסאות כדי לפשט את ההחזרה לאחור.
רשימת בדיקה תפעולית
לאחר יצירת החשבון, הרץ בדיקת העלאה מבוקרת ואשר את בעלות הקבצים, ההרשאות ויכולת קריאת הקבצים על ידי שרת האינטרנט.
גישה מאובטחת לקבצים היא החלטת תהליך: זהויות נפרדות, תחום מוגבל, העברת נתונים מוצפנת והחזרה לצפוי במקרה הצורך.
ניהול גישה
יצירת חשבון SFTP צריכה להיות מקושרת לתהליך ההצטרפות והעזיבה. הגדרה מאובטחת כוללת בעלות מפורשת, מדיניות תפוגה לגישה זמנית וביקורת תקופתית של החשבון.
- השתמש באישורים קצרים זמניים עבור קבלנים ומשימות ספציפיות לקמפיין.
- סקור חשבונות לא פעילים מדי חודש והסר גישה שלא בשימוש.
- שמור את אישורי האוטומציה של הפריסה נפרדים מהתחברויות של בני אדם.
בדיקות שלמות לאחר פריסה
לאחר העברת הקבצים, יש לאמת את סכומי הבדיקה של קבצים קריטיים כאשר ניתן ולאשר את התנהגות היישום בסביבת בדיקה או בחלונות של תנועה נמוכה. זה מפחית את הסיכון לפגיעה מוסתרת ולתקלות כתיבה מקריות.
עדכון 2026: פתחו חשבון SFTP נפרד לכל מפתח או אינטגרציה, הגבילו אותו לתיקיית יעד אחת, ובטלו חשבונות לא פעילים באופן שוטף. הפרדה כזו משפרת מעקב ומקטינה את שטח התקיפה.
