[英]Windows Azure VPN and IP restriction
我们与第三方服务集成,可以在其中运行使用HTTPS加密和用户名/密码保护的查询。 我们从Windows Azure云上运行的服务发送查询。
第三方提供商希望向更高的安全性迁移,他们已经要求我们要么
设置VPN-这是有问题的,因为我们需要使用Azure Connect,而他们必须自己安装客户端终结点服务。
提供查询将来自的一些IP地址,以便它们可以在防火墙级别过滤掉其他任何人-这是有问题的,因为AFAIK您无法修复Windows Azure Compute节点的IP地址。
提出另一种安全的替代方法-我唯一想到的就是在非Azure服务器上与它们建立VPN,然后使用Azure Connect传输请求-这显然对我们来说是额外的工作,并且也削弱了托管的目的如果该服务依赖于非云服务,则在云上。
有任何想法吗?
谢谢
如果我正确理解了该情况,则您的Azure服务是第三方服务的客户端。 通过使用Windows Azure AppFabric服务总线可以解决此情况。 您需要在第三方数据中心中安装一个代理应用程序,该应用程序负责建立与服务总线的连接。 连接来自第3方的数据中心内部,因此防火墙中没有新的传入漏洞。 该连接可以处理具有所有安全性的WCF连接,并且可以通过ACS认证用户。
这是一个起点: http : //msdn.microsoft.com/zh-cn/library/ee732537.aspx
Windows Azure平台培训工具包中有一个动手实验,它解释了您需要的大多数详细信息。
恕我直言, HTTPS已经非常好 ; 而且我还没有完全了解VPN如何使系统更加安全。 特别是,VPN并不是灵丹妙药,如果您的VM受到了威胁,那么VPN连接也受到了威胁(与HTTPS相同)。 另一方面,IP限制确实会减少攻击面。
然后, 在云之外使用服务器确实不是一个好主意 。 它不仅破坏了云技术的大部分优势(到那里,这样做并遭受了很多损失),而且还使整个事情变得不那么安全,因为它具有更高的复杂性和更多的攻击面。
Windows Azure目前不提供任何看起来像静态IP的东西。 根据我们的经验,即使仅升级(但从未删除)服务,给定服务的IP地址也会偶尔更改。 长期以来,静态IP地址一直是一项重要的功能请求,Microsoft可能会在某个时候提供它,但仍可能需要几个月的时间。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.