SFTP (SSH File Transfer Protocol) jedna je od najcessce koristenih metoda za razmjenu EDI datoteka izmedju trgovinskih partnera. Izgraden na SSH (Secure Shell) protokolu, SFTP pruza mogucnosti sifriranog prijenosa datoteka koje zadovoljavaju sigurnosne zahtjeve vecine EDI implementacija. Iako mu nedostaju neke napredne funkcije namjenskih protokola poput AS2, jednostavnost SFTP-a, univerzalna podrska i pouzdanost cine ga odlicnim izborom za mnoge EDI scenarije, posebno tamo gdje je serijsko-orijentirana razmjena datoteka norma.
SFTP ne treba mijesati s FTPS (FTP preko SSL/TLS), koji je drugaciji protokol i dodaje TLS enkripciju tradicionalnom FTP protokolu. Dok oba pruzaju sifrirani prijenos datoteka, SFTP se generalno preferira za EDI jer koristi jedan port (obicno port 22), pojednostavljuje konfiguraciju zastitnog zida i koristi zreli sigurnosni model SSH-a.
Kako SFTP radi za EDI
U tipicnom SFTP postavku za EDI, jedan trgovinski partner upravlja SFTP serverom dok se drugi povezuje kao klijent. Server dodjeljuje namjensku strukturu direktorija za svakog trgovinskog partnera, obicno sa zasebnim mapama za ulazne i izlazne dokumente. Klijent se povezuje po rasporedu (ili pokrenuto dogadjajima) da deponuje izlazne datoteke i preuzme ulazne datoteke. Sav prijenos podataka odvija se preko sifriranog SSH kanala, stiteci EDI sadrzaj od presretanja.
Metode autentifikacije
SFTP podrzava vise mehanizama autentifikacije. Autentifikacija zasnovana na lozinki je najjednostavnija ali najmanje sigurna opcija. Autentifikacija zasnovana na SSH kljucu, gdje klijent predstavlja kriptografski par kljuceva umjesto lozinke, snazno se preporucuje za automatizirane EDI procese. Autentifikacija zasnovana na kljucu eliminira rizik od kradje lozinki i omogucava potpuno automatiziranu, nenadziranu razmjenu datoteka.
Konvencije strukture direktorija
Dobro organizirana struktura SFTP direktorija neophodna je za upravljanje razmjenom EDI datoteka s vise partnera. Uobicajena konvencija dodjeljuje svakom trgovinskom partneru kucni direktorij koji sadrzi /inbound i /outbound poddirektorije (iz perspektive servera). Neke implementacije dodaju /archive direktorije za cuvanje obradenih datoteka i /error direktorije za datoteke koje ne prodju validaciju. Konvencije imenovanja datoteka obicno kodiraju tip dokumenta, posiljatelja, datum i redni broj.
Automatizacija EDI-ja zasnovanog na SFTP-u
Rucni SFTP prijenos datoteka porazava svrhu EDI automatizacije. Produkcijska EDI okruzenja koriste zakazane skripte ili platforme za upravljani prijenos datoteka (MFT) da automatiziraju cijeli ciklus: povezivanje na SFTP server partnera, upload izlaznih EDI datoteka, preuzimanje ulaznih datoteka, potvrda uspjesnog prijenosa i pokretanje obrade nizvodno. Ucestalost zakazivanja zavisi od poslovnih zahtjeva, u rasponu od provjere svakih sat vremena za rutinske transakcije do monitoringa u gotovo realnom vremenu za vremenski osjetljive dokumente.
Platforme za upravljani prijenos datoteka poput GoAnywhere MFT, IBM Sterling File Gateway i Axway SecureTransport dodaju korporativne mogucnosti ukljucujuci zakazivanje prijenosa, logiku ponovnog pokusaja, revizijsko logiranje, upozorenje na greske i integraciju s EDI translacijskim motorima. Ove platforme su posebno vrijedne pri upravljanju SFTP konekcijama s desetinama ili stotinama trgovinskih partnera.
Najbolje sigurnosne prakse
- Koristite SSH autentifikaciju kljucem umjesto lozinki za sve automatizirane EDI konekcije.
- Ogranicite pristup direktorijima koristeci chroot zatvor kako biste sprijecili partnere da vide datoteke jedni drugih ili pristupe sirem sistemu datoteka.
- Rotirajte SSH kljuceve po redovnom rasporedu i odmah opozovite kljuceve kada se trgovinski odnos zavrsi.
- Nadzirite logove konekcija radi neobicne aktivnosti poput neuspjelih pokusaja autentifikacije, konekcija s neocekivanih IP adresa ili abnormalnih volumena prijenosa datoteka.
- Implementirajte listu dozvoljenih IP adresa da biste ogranicili SFTP pristup na poznate IP adrese trgovinskih partnera gdje je to izvodljivo.
Ogranicenja SFTP-a za EDI
SFTP-u nedostaje ugradujena neporecivost. Za razliku od AS2, koji pruza potpisana obavjestenja o statusu poruke kao dokaz o isporuci, SFTP samo potvrdjuje da je datoteka uspjesno prenesena. Ne dokazuje da je primatelj obradio datoteku ili da je sadrzaj bio validan. Organizacije koje zahtijevaju neporecivost moraju implementirati dodatne mehanizme, poput poruka funkcionalnog potvrdjivanja (kao sto su X12 997 ili EDIFACT CONTRL) na aplikacijskom sloju.
SFTP je takodje inherentno protokol zasnovan na povlacenju; klijent mora pokrenuti konekcije da provjeri nove datoteke. Ovo uvodi kasnjenje u poredjenju s protokolima zasnovanim na guranju poput AS2 ili API webhook-ova. Za vecinu EDI slucajeva upotrebe, intervali provjere od 15 do 60 minuta pruzaju prihvatljivu pravovremenim.
Povezani resursi
Uporedite SFTP s AS2 za povezivost od tacke do tacke ili VAN mrezama za upravljane mrezne usluge. Za testiranje vaseg EDI postavljanja zasnovanog na SFTP-u, pogledajte nas vodic za testiranje i validaciju. Industrije koje uobicajeno koriste SFTP za EDI ukljucuju energetiku i bankarstvo i finansije.