Тут наверное можно установить правила авторизации и шифрования на MQ/ESB и в конкретные сервисы внедрить свои клиентские библиотеки для ИБ. Где есть AuthN/AuthZ, шифрование и еще что они хотят, типа валидации тела или подробный отчет в их системы.

Решения класса CEP

complex event processing

Коллеги, добрый день. На самом деле проблема, которую описал Александр немного шире.
Есть два сетевых сегмента, один с доступом в интернет (DMZ), другой, защищенный, без доступа в интернет (inside). Чтобы получать данные из внешнего мира в защищенный сегмент, они должны попасть сначала в DMZ. Между сегментами допустима только односторонняя связь: из более защищенного в менее защищенный. То есть inside может "сходить" в DMZ за данными, но DMZ ничего не может залить в inside.
Стоит задача передавать текстовые данные (по сути пробрасывать вызовы web сервисов) и файлы из внешнего мира в inside (соответственно через DMZ).  При получении файла (zip файл) происходит множество проверок (проверка электронной подписи, проверка xsd схемы внутренних документов, другие логические проверки). По результатам проверок может быть отослан reject на полученный файл

А ИБ выступают против того, чтобы в DMZ поднять SMB/NFS шару и подмонтировать ее в inside

Я уже писал про это. Был подобный кейс в одном банке. Для RabbitMQ вообще есть даже HTTP-Proxy для этого, но за исключением больших файлов, только текстовые форматы данных (JSON, XML и т.д.).

и правильно делают

Тут как раз интересно, что с файлами делать...

Ну надо понять размеры файлов и искать решение, которое позволяет передавать сообщения таких размеров. Многие MQ готовы передать поток байтов и значит можно передать бинарные форматы.

разместить объектное хранилище и шину в dmz, коннект к шине из inside за запросами, в запросе указать id файла, записанного в хранилище, считывать файл и отправлять в шину ответ об обработке. само собой с авторизацией. само собой файлы валидировать внутри dmz перед помещением в объектное хранилище. коннекты из inside к шине и объектному по ssl.

передачу файлов через шину - не называю промышленным решением

Еще важно понять как рабоает защита у ИБ для сети. Какие соединения запрезаются между зонами? Stalefull ли защита? Только инициация новых запрещена, а уже установленные многут в ответ что-то сдать?

А файлы какого размера могут быть, теоретически?

С этим нужно будет разбираться, мне это пока неизвестно.

Для файлов на моей практике ИБ обычно шли на уступки, просто давали свое решение, где много проверок и для нас оно "черный ящик". Часто не самое лучшее, например SFTP.

десятки мб

Прилично, в шину такое лучше не вливать.  Я бы поставил в DMZ обычный хттп сервер, типа nginx и забирал файлы с него )

пока остановились на SFTP в DMZ

Ну в дмз из вне можно заливать, через брокер передавать сообщение с ссылкой на шару, по получению забирать

Нотификации да, через шину