[英]Securing Database Access from Web Service via proxy?
我們正在脫離典型的本機應用程序開發,正在開發一些新的基於Web的應用程序服務。 我們正在使用.Net和WCF,並且很可能在IIS上托管。
我們的服務將需要使用數據庫來保留數據。 在所有情況下,我們都打算使數據庫服務器不同於主機。 我們發現的大多數資源似乎都指示將數據庫連接字符串存儲在web.config(或用於自托管的app.config文件)中。 我們擔心的是,由於該服務是面向Web的,因此運行它的盒子更可能被黑客入侵/破壞。 如果發生這種情況,攻擊者現在將擁有數據庫連接字符串,並將擁有對所有數據的完全訪問權限。
最初的想法是使WCF服務簡單地代理到駐留在另一台計算機上的服務器應用程序,該計算機保留連接信息並執行所有處理邏輯。 這樣,如果Web主機受到攻擊,則他們必須弄清楚如何與我們的服務器應用程序通信,或者也要損害該計算機,以獲取數據庫訪問權限。 盡管我們確實擔心代理的性能成本,並且可能會對服務器應用程序造成瓶頸。
該方法的問題在於,我們在WCF / IIS文獻中找不到建議這種方法的方法,但是我們可能只是不知道為了找到此類信息而被稱為什么。 問題:代理這樣的好習慣嗎?為什么/(為什么不這樣做)(或者在哪里可以找到關於此主題的更多信息)?或者有更好的做法嗎?
與這些事物一樣,這完全取決於您需要事物的安全性。 您可以加密web.config:
http://msdn.microsoft.com/zh-CN/library/dtkwfdky.aspx
但是您必須問,如果您的攻擊者能夠破壞您的網絡主機,他們將能夠找到您的其他服務器,然后也有可能對其進行破壞-不能100%確定這里的凈收益是多少(除了讓您的生活更加困難之外)。
為了保護將要由多個客戶端訪問的數據庫,將Web服務用作代理是否過大?
[英]for securing a database that is meant to be accessed by several clients, is using a web service as a proxy an overkill?
通過Web代理與WCF服務進行通信; 來自Windows服務
[英]Communicating with WCF service via Web Proxy; from within a Windows Service
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
