GoAnywhere Gateway

GoAnywhere Gateway è un avanzato reverse e forward proxy che permette alle organizzazioni un ulteriore livello di sicurezza per i trasferimenti di file interni e con i partner commerciali. Con la soluzione, i servizi di condivisione dei file possono essere mantenuti in modo sicuro all’interno della propria rete privata, senza esporre dati sensibili nella DMZ (Demilitarized Zone); si possono anche effettuare connessioni a sistemi esterni per conto degli utenti nella rete privata.

Perché GoAnywhere Gateway?

GoAnywhere Gateway offre numerosi vantaggi:

  • I file server (ad esempio FTPS, SFTP, HTTPS e AS2) possono essere tenuti in sicurezza nella vostra rete interna. Ciò consente di mantenere chiuse le porte in ingresso sulla rete, il che è essenziale per conformarsi agli standard di sicurezza dei dati come PCI DSS, HIPAA, HITECH, SOX, ISO 27000 e GLBA.
  • I file possono essere condivisi in modo sicuro con partner commerciali, utenti, clienti e fornitori evitando di archiviare documenti o file critici, anche temporaneamente, nella propria DMZ.
  • Utilizzato come proxy forward, può effettuare connessioni a sistemi esterni per conto di utenti e applicazioni nella rete privata. Ciò consente di gestire più facilmente i file transfer dal firewall. In più le identità e le posizioni dei sistemi interni sono nascoste per aumentare la sicurezza.
  • GoAnywhere Gateway è una soluzione agnostica, esclusivamente software. Installatelo su Windows, Linux, AIX, UNIX o altri sistemi operativi per migliorare la sicurezza dei file in qualunque ambiente funzioni meglio per voi.

GoAnywhere Gateway Diagram

GoAnywhere Gateway Diagram

Le principali caratteristiche di GoAnywhere Gateway
  • Non è necessario aprire porte in entrata nella rete privata
  • Le credenziali dell’utente, le autorizzazioni, i certificati e le chiavi sono mantenute al sicuro nella rete privata
  • Nasconde le posizioni e le identità dei sistemi interni
  • Le configurazioni dei servizi vengono mantenute/archiviate nella rete privata
  • Supporta i protocolli di trasferimento file FTP, FTPS, SFTP, SCP, HTTP, HTTPS e AS2
  • Permette il bilanciamento del carico integrato per distribuire i carichi di lavoro su più sistemi

In sostanza, quando GoAnywhere Gateway viene aggiunto a GoAnywhere MFT, funge da interfaccia trasparente tra sistemi interni e sistemi esterni senza esporre file sensibili o la vostra rete privata.

Server Proxy e Reverse Proxy – Come funzionano

GoAnywhere Gateway può fungere sia da server proxy sia da reverse proxy. Di solito GoAnywhere Gateway viene installato nella DMZ (zona demilitarizzata) mentre GoAnywhere MFT viene inserito nella rete privata/interna.

All’avvio GoAnywhere MFT crea un collegamento esterno verso GoAnywhere Gateway, che viene usato come “canale di controllo” per inviare comandi e messaggi tra i due prodotti. Questo canale di controllo fornirà all’inizio i dettagli del proxy (IP e mappatura delle porte) a GoAnywhere Gateway che questo punto aprirà i “punti di ascolto” sugli IP e sulle porte definiti per il traffico in entrata.

Come funziona un Reverse Proxy

Un reverse proxy è un punto di connessione intermedio che serve da gateway tra gli utenti e il vostro server primario. Questo tipo di server proxy recupera i file o altre risorse per conto di un cliente. Nel caso di GoAnywhere Gateway utilizzato come reverse proxy, quando un cliente esterno (per esempio un partner commerciale) si connette a un punto d’ascolto su GoAnywhere Gateway nella DMZ, GoAnywhere Gateway invierà una richiesta a GoAnywhere MFT usando il canale di controllo nella rete interna/privata. GoAnywhere MFT creerà poi un nuovo canale per i dati in uscita verso GoAnywhere Gateway. Questo canale di dati si aggancerà al sistema preferito (FTP, FTPS, SFTP, HTTP/s) e tutto il traffico di quella sessione sarà indirizzato su questo nuovo canale, incluse le richieste di autenticazione dei clienti, i dati e i comandi. Quando termina la sessione, il canale dati corrispondente viene rimosso.

How It Works Diagram

Come funziona un Forward Proxy

Come per i reverse proxy, anche un forward proThe Forward Proxy in GoAnywhere Gateway allows you to route client requests from GoAnywhere MFT (in the private/internal network) to external FTP, FTPS, SFTP and SCP servers without revealing the identity or locations of your internal systems.  The Forward Proxy is additionally used by GoAnywhere MFT to route active and passive FTP and FTPS data connections through GoAnywhere Gateway.

GoAnywhere Gateway utilizzato come forward proxy vi permette di indirizzare le richieste dei client da GoAnywhere MFT (che si trova nella rete privata/interna) verso server FTP, FTPS, SFTP e SCP esterni senza rivelare l’identità o la localizzazione dei vostri sistemi interni. Il forward proxy può anche essere utilizzato da GoAnywhere MFT per indirizzare connessioni dati attive o passive FTP e FTPS attraverso GoAnywhere Gateway.

Quando un processo in GoAnywhere MFT ha bisogno di creare una connessione verso l’esterno tramite il proxy, viene inviata una richiesta a GoAnywhere Gateway con l’indirizzo della destinazione desiderata. GoAnywhere Gateway stabilirà quindi una connessione con quella destinazione e farà da ponte verso il sistema richiedente.

Load Balancing

GoAnywhere Gateway può anche svolgere la funzione di bilanciamento del carico per distribuire i carichi di lavoro su più installazioni di GoAnywhere MFT all’interno di un cluster o anche di altri sistemi all’interno della vostra rete- Se un sistema all’interno di un cluster dovesse fallire, allora GoAnywhere Gateway manderà tutte le nuove connessioni dei partner commerciali ai nodi operativi del cluster. Questa impostazione attivo-attivo permette di avere un’altissima disponibilità per eventuali situazioni critiche.

GoAnywhere Gateway Diagram

Come bilanciatore del carico, GoAnywhere Gateway distribuisce uniformemente le connessioni nei cluster del sistema. Questo algoritmo di bilanciamento si chiama “round-robin” ed è un diffuso standard di bilanciamento.

I protocolli FTP, FTPS e SFTP utilizzeranno l’algoritmo “round-robin” per bilanciare le connessioni all’interno del cluster su tutti i sistemi. Per ogni nuova connessione da parte di un partner commerciale GoAnywhere Gateway distribuirà quella sessione sul primo server FTP/FTPS/SFTP (in ordine sequenziale) all’interno del cluster.

Anche HTTP/S è un protocollo stateless (senza stato) che usa l’algoritmo “round-robin”, ma può mantenere ogni connessione (per un dato periodo di tempo) verso lo stesso server HTTP/S per conservare l’integrità della sessione. Questo è importante perché la sessione http/S dell’utente è di solito fruibile da un singolo server HTTP/S alla volta.

GoAnywhere Gateway e lo standard PCI DSS

GoAnywhere Gateway è un importante componente per la sicurezza nel caso di protezione dei dati di titolari di carte di debito/credito, per aiutare le aziende ad aderire agli standard di sicurezza stabiliti dal PCI DSS (Payment Card Industry Data Security Standard). GoAnywhere Gateway è utile proprio per conformarsi alle richieste espresse nella sezione 1.3 del PCI DSS (si veda il testo seguente), consentendo alle aziende del settore di mantenere i file critici e le credenziali al di fuori della DMZ e non richiedendo l’apertura di porte in entrata nella rete interna.

1.3 Vietare l’accesso pubblico diretto tra Internet e i componenti di sistema nell’ambiente dei dati dei titolari di carta.
1.3.1 Implementazione di una zona DMZ per limitare il traffico in entrata ai soli componenti di sistema che forniscono servizi, protocolli e porte autorizzati accessibili pubblicamente.
1.3.2 Limitazione del traffico Internet in entrata agli indirizzi IP all’interno della zona DMZ.
1.3.3 Non consentire alcun percorso diretto per il traffico in entrata o in uscita tra Internet e l’ambiente dei dati dei titolari di carta.
1.3.4 Implementazione delle misure anti-spoofing per rilevare gli indirizzi IP di origine contraffatti e per impedire loro di accedere alla rete.
1.3.5 Non consentire il traffico in uscita non autorizzato dall’ambiente dei dati dei titolari di carta ad Internet.
1.3.6 Implementare un controllo efficiente, anche noto come “dynamic packet filtering” (ossia che consente solo alle connessioni già “stabilite” di accedere alla rete).
1.3.7 Posizionamento dei componenti di sistema che memorizzano i dati dei titolari di carta (come un database) in una zona di rete interna, separata dalla zona DMZ e da altre reti non attendibili
1.3.8

Non divulgare indirizzi IP privati e informazioni di routing a parti non autorizzate. Nota: i metodi per oscurare l’indirizzamento IP possono includere, senza limitazioni:

  • NAT (Network Address Translation)
  • posizionamento di server contenenti dati dei titolari di carta dietro server/firewall proxy;
  • rimozione o filtraggio di annunci di instradamento per reti private che utilizzano indirizzamento registrato;
  • uso interno di spazio indirizzi RFC1918 invece degli indirizzi registrati.

PCI DSSHelpSystems, vendor produttore di GoAnywhere MFT e GoAnywhere Gateway, collabora attivamente con il Payment Card Industry Security Standards Council (PCI SSC). In quanto membro, HelpSystems riceve aggiornamenti e formazione, provvede alla revisione degli standard in essere e propone modifiche dei nuovi standard o programmi. HelpSystems si impegna nella protezione delle carte di credito e delle altre informazioni identificabili, sia in transito che a riposo, tramite crittografia, gestione delle chiavi e invio sicuro di file.