Se for um servidor publicamente acessível, você deve colocá-lo na DMZ - é sobre isso que trata o zoneamento. Configurar um servidor com duas interfaces - uma na DMZ, uma na rede confiável - apenas contorna a própria ideia de uma DMZ separada, tornando-a totalmente supérflua.
Com o servidor na DMZ, em geral você deve
- decida se os dados inseridos nele geralmente são seguros para serem copiados e usados na rede "Confiável"
- se assim for, permitir um mecanismo de transferência de dados entre o servidor e a rede confiável
Você pode implementar facilmente 2. usando apenas o mesmo protocolo de seus clientes - conecte-se via SFTP e retire os dados. Dessa forma, você pouparia as dores de cabeça de uma avaliação de risco para um conjunto de protocolos adicionais.
Editar: vou tentar usar o estilo wiki e incorporar suas objeções a essa resposta e comentá-las:
The data now lives in the DMZ, I would have to seek an answer for this internally to see if it's permissible. The current solution doesn't physically store the data in the DMZ, it just has a DMZ interface.
É claro que cabe a qualquer um projetar sua política de segurança para equilibrar o risco de roubo de dados para dados "residentes" na DMZ contra um serviço acessível ao público virtualmente hospedado em sua rede confiável. Na maioria dos casos, você iria com o anterior, minimizando o risco de roubo de dados, mantendo os dados no DMZ por um tempo limitado.
Outra opção seria implementar uma solução de proxy para SFTP na sua DMZ e encaminhar as conexões para a sua "confiança "servidor - mas isso teria uma superfície de ataque ainda diferente, então, novamente, acaba equilibrando os riscos.
how is that more secure than simply hosting the SFTP in the trusted and allowing for direct connections?
Normalmente, um proxy é configurado para ter uma troca de protocolo "bem-comportada". Isso atenua uma classe inteira de vetores de ataque com base na exploração de pontos fracos na implementação do protocolo no lado do servidor (por exemplo, estouro de buffer). Algumas configurações de proxy podem permitir que você especifique restrições sobre o que um usuário pode ou não fazer - um recurso usado para reduzir a superfície de ataque, permitindo apenas operações necessárias.
Mas um proxy é apenas um pedaço de código propenso a erros, assim como qualquer outro código - ele terá seus próprios vetores de ataque. A modelagem de ameaças e a avaliação de risco para uma configuração de "porta de água" com dois servidores e pesquisas é mais fácil de avaliar.
I need the process to be automated, so I would have to use a file watching service of sorts to watch for incoming files in the DMZ, then forwarding to yet another SFTP server in the Trusted.
Sim, isso seria razoável.
Now I really have to administer 2 SFTP servers on each side of the fence.
Correto, mas cada um deles pode ser um limite de segurança em si mesmo - isso é provavelmente o que será necessário se você estiver muito preocupado com a segurança dos dados armazenados lá de qualquer maneira.