对于数据传输，REST API和SFTP哪个更安全？

Question

对于某些活动，两个不同的应用程序需要相互进行数据传输。进行此数据传输的选项是准备数据文件并在特定时间点通过SFTP推送，或通过REST API实时推送/拉动更改。

如果一个系统中的数据被完全加密而另一个系统中的数据是原始的，那么哪种方法会更安全？

Answer 1

一如往常，选择集成模式时，答案是：“取决于”。

1. 多少数据，多久一次？
2. 数据的安全分类是什么（以及数据泄露的潜在影响）？
3. 将要在两端实施集成点的IT工程/运营/ DevOps团队有多成熟？
4. 可以使用哪些设施来确保静态数据以及在传输过程中被加密？
5. 关于数据延迟的业务要求是什么？
6. 两个系统之间的物理距离是多少？
7. 两个系统之间的可持续网络连接速度是多少？
8. 需要在什么时间激活/安排集成？
9. 数据是批量/引用类型-还是事件/交易性质类型？
10. 每个消息/交易的大小是多少？
11. 在给定的处理周期（每小时？每天？）中需要传输的数据总大小（MB？GB？PB？...？）是多少？

应检查的其他注意事项：

1. 网络超时/重试方案
2. 批次重新运行
3. CPU，内存，网络带宽利用率
4. 高峰时间处理与非高峰时间处理
5. 基础架构/环境限制/约束-以及成本因素（例如，交易，数据，文件大小的云托管限制，云托管的API网关定价策略等）
6. 网络延迟是根据必须通过API与SFTP完成所有数据传输的消息数发送的
7. SFTP批处理调度引入的数据延迟

Answer 2

很难将SSH（SFTP）与SSL（使用HTTPS的RESTful API）进行比较，因为两者都有不同的功能。

SFTP使用SSH进行隧道传输，因此具有更广泛的攻击范围，这意味着存在多个区域可以妥协。这并不意味着它的安全性较低。