بالنسبة لسير العمل الاستضافة الحديثة، يجب أن يكون SFTP هو الإعداد الافتراضي. غالبًا ما يتم تعطيل FTP التقليدي أو حظره لأنه ينقل بيانات الاعتماد بطريقة غير آمنة ما لم يتم تغليفه بضوابط إضافية.
إنشاء مستخدم مخصص للوصول إلى الملفات
امنح كل مطور أو عملية نشر حسابها الخاص. فمشاركة بيانات الاعتماد تجعل التدقيق مستحيلاً وتبطئ الاستجابة للحوادث.
- حساب واحد لكل شخص أو أداة أتمتة.
- كلمة مرور قوية أو مصادقة بمفتاح SSH.
- الإلغاء الفوري عند عدم الحاجة للوصول بعد الآن.
تقييد نطاق الدليل
استخدم قيود دليل المنزل بحيث يرى المستخدمون مسارات المشروع المطلوبة فقط. هذا يتبع مبادئ الحق الأدنى ويقلل من التعديلات العرضية.
تصلب سير عمل النقل
قم بتعطيل بروتوكولات النص العادي حيثما أمكن. استخدم SFTP، وتحقق من بصمات المضيف في أدوات العميل، واحتفظ بسجلات النقل مفعلة.
- يفضل استخدام المنفذ 22 لبروتوكول SFTP مع المصادقة بواسطة المفتاح.
- تجنب عمليات الملفات على مستوى الجذر للتحميلات الروتينية.
- استخدم مسارات النشر ذات الإصدارات لتبسيط عملية التراجع.
قائمة التحقق التشغيلية
بعد إنشاء الحساب، قم بإجراء اختبار تحميل محكوم وتأكد من ملكية الملف والأذونات وقابلية قراءة خادم الويب.
الوصول الآمن إلى الملفات هو قرار يتعلق بالعملية: هويات منفصلة، نطاق محدود، نقل مشفر، وإعادة تراجع متوقعة.
حوكمة الوصول
يجب ربط إنشاء حساب SFTP بعملية الانضمام والمغادرة. يشمل الإعداد الآمن تحديد المالك بشكل واضح، وسياسة انتهاء صلاحية للوصول المؤقت، ومراجعة دورية للحسابات.
- استخدم بيانات اعتماد قصيرة المدة للمقاولين والمهام الخاصة بالحملات.
- راجع الحسابات غير النشطة شهريًا وأزل الوصول غير المستخدم.
- احتفظ باعتمادات أتمتة النشر منفصلة عن تسجيلات دخول البشر.
فحوصات النزاهة بعد النشر
بعد نقل الملفات، تحقق من مجموعات التحقق للملفات الهامة عند الإمكان وتأكد من سلوك التطبيق في بيئة الاختبار أو خلال فترات حركة المرور المنخفضة. هذا يقلل من خطر التلف الخفي وحوادث الكتابة العرضية.
تحديث 2026: أنشئ حساب SFTP منفصلًا لكل مطور أو تكامل، وقيّد كل حساب بمجلد هدف واحد، وعطّل الحسابات غير النشطة دوريًا. هذا التقسيم يحسن التتبع ويقلل مساحة الهجوم.
