Secure Azure to Data Center Chiamate di servizi via IP affidabile?

1

Sfondo

La società per cui lavoro ha un sistema con alcuni dati. Questo sistema è ospitato nel nostro centro dati privato. Questo sistema fornisce alcuni servizi Web di ReST. Stiamo cercando di creare un sito Web, ospitato in Windows Azure, che chiamerà i servizi ReST del sistema precedente. Gli utenti di questo sito Web saranno autenticati tramite ADFS (a lungo termine potremmo cercare di includere altre opzioni per l'autenticazione degli utenti esterni alla nostra azienda). È necessario proteggere la comunicazione tra il sito Web di Azure e il sistema ospitato localmente (centro dati). Inizialmente vorremmo mantenere questo semplice; per esempio. consentire a un IP fidato di Azure di parlare con il nostro servizio ReST. A lungo termine ci tenevamo a implementare qualcosa di più flessibile, come OAuth per consentire ad altre applicazioni esterne di essere collegate con il minimo sforzo.

Domanda

La protezione dei servizi è sensata da IP, o potrebbe essere un rischio per la sicurezza (soprattutto perché stiamo ospitando su Azure, dove potenzialmente altri potrebbero ospitare applicazioni)? Se qualcuno ha fatto qualcosa di simile prima / può indicarmi la direzione di articoli utili, sarebbe anche apprezzato.

    
posta JohnLBevan 16.04.2014 - 22:51
fonte

1 risposta

1

La protezione tramite IP è un ottimo primo passo. Limita strongmente la superficie di attacco. Ma, come fai notare, l'IP di origine nelle distribuzioni PAAS ha un valore di fiducia limitato.

Aggiunta di un server proxy (inverso) tra il mondo esterno e amp; anche il server interno (locale) renderà le cose più difficili per un utente malintenzionato. Nelle impostazioni aziendali, disporre di un proxy inverso separato dal server delle applicazioni consente inoltre di fornire agli sviluppatori e agli sviluppatori; il team di sicurezza IT ha una propria "scatola". Il server proxy può quindi essere indurito e amp; monitorato da vicino (rendendo felice la sicurezza IT) senza troppa influenza sull'applicazione (rendendo felici gli sviluppatori).

Infine, impostando un trasporto IP sicuro (ad esempio tunnel SSH, VPN o HTTPS con un set limitato di certificati) tra i server e gli ampli di Azure; la rete interna limiterà notevolmente la superficie di attacco. Questo può essere difficile con la piattaforma Azure, motivo per cui l'ho scorso.

    
risposta data 17.04.2014 - 16:29
fonte

Leggi altre domande sui tag