我们与第三方服务集成,我们可以运行使用HTTPS加密和用户名/密码保护的查询。我们从运行在Windows Azure云上的服务发送查询。
第三方提供商希望迁移到更好的安全性,他们要求我们
设置VPN - 这是有问题的,因为我们需要使用Azure Connect,他们必须自己安装客户端点服务。
提供查询来源的IP地址,以便他们可以过滤掉防火墙级别的其他任何人 - 这是有问题的,因为AFAIK无法修复Windows Azure Compute节点的IP地址。
建议另一个安全的替代方案 - 我唯一能想到的是在非Azure服务器上使用它们设置VPN,然后通过使用Azure Connect来隧道化请求 - 这对我们来说显然是额外的工作如果它依赖于非云服务,也会破坏在云上托管服务的重要性。
有什么想法吗?
由于
答案 0 :(得分:1)
如果我正确理解了该方案,则您的Azure服务是第三方服务的客户端。可以通过使用Windows Azure AppFabric Service Bus来解决此方案。您需要在第三方的数据中心中安装代理应用程序,该应用程序负责建立与服务总线的连接。连接来自第三方的数据中心内部,因此防火墙中没有新的传入漏洞。该连接可以处理具有所有安全强度的WCF连接,并且可以使用ACS对用户进行身份验证。
以下是一个起点:http://msdn.microsoft.com/en-us/library/ee732537.aspx
Windows Azure平台培训套件中有一个动手实验室,可以解释您需要的大部分细节。
答案 1 :(得分:0)
恕我直言, HTTPS已经非常好了;我并不完全清楚VPN如何使系统更安全。特别是,VPN不是银弹,如果您的虚拟机受到威胁,那么VPN连接也会受到损害(HTTPS也是如此)。另一方面,IP限制确实会减少攻击面。
然后,在云端使用服务器确实是个坏主意。它不仅击败了云的大部分好处(在那里,完成并遭受了很多),而且它还使整个事物更少安全,具有更多的复杂性和更多的攻击面。
此时,Windows Azure不提供任何看起来像静态IP的内容。根据我们的经验,即使服务仅升级(并且从未删除),给定服务的IP地址也会偶尔发生变化。静态IP地址长期以来一直是一个重要的功能请求,微软可能会在某个时候提供它,但它可能还需要几个月。