Windows Azure VPN и ограничение IP

Мы интегрируемся со сторонним сервисом, где мы можем выполнять запросы, которые в настоящее время защищены с помощью шифрования HTTPS и имени пользователя/пароля. Мы отправляем наши запросы из службы, работающей в облаке Windows Azure.

Сторонний поставщик хочет перейти к более надежной безопасности, и они попросили нас либо

  1. Настройте VPN, что проблематично, потому что нам нужно будет использовать Azure Connect, а им придется установить службу конечной точки клиента со своей стороны.

  2. Укажите некоторый IP-адрес, откуда будут поступать запросы, чтобы они могли отфильтровывать кого-либо еще на уровне брандмауэра, что проблематично, потому что, насколько я знаю, вы не можете исправить IP-адреса вычислительных узлов Windows Azure.

  3. Предложите другую безопасную альтернативу - единственное, что я мог придумать, это настроить VPN с ними на сервере, отличном от Azure, а затем туннелировать запросы с помощью Azure Connect - что, очевидно, является дополнительной работой для нас, а также лишает смысла хостинг служба в облаке, если она зависит от необлачной службы.

Есть идеи?

  • Могут ли они установить конечную точку Azure Connect на другом сервере в своей демилитаризованной зоне? то есть не фактический сервер, на котором размещена их служба?
  • Можем ли мы как-то предоставить им статические IP-адреса для входящих запросов?
  • Любое другое масштабируемое решение?

Спасибо


azure security vpn tunneling azure-connect
person georgiosd    schedule 19.08.2011    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Если я правильно понимаю сценарий, ваша служба Azure является клиентом сторонней службы. Этот сценарий можно решить с помощью служебной шины Windows Azure AppFabric. Вам потребуется установить прокси-приложение в стороннем центре обработки данных, которое будет отвечать за установление подключения к служебной шине. Соединение происходит из центра обработки данных третьей стороны, поэтому в брандмауэре нет новых входящих дыр. Соединение может обрабатывать соединения WCF со всеми его сильными сторонами безопасности, и пользователи могут проходить аутентификацию с помощью ACS.

Вот отправная точка: http://msdn.microsoft.com/en-us/library/ee732537.aspx

В комплекте для обучения платформе Windows Azure есть практическое занятие, в котором объясняется большинство деталей, которые вам понадобятся.

person sebastus    schedule 23.08.2011
comment
Спасибо, Грег. Означает ли это, что они могут размещать служебную шину Azure AppFabric в любом месте своей сети, а не обязательно на сервере, на котором запущена служба? - person georgiosd; 24.08.2011
comment
Служебная шина размещается в Windows Azure. Прокси-приложение — это то, что вам нужно создать и разместить где-нибудь в стороннем центре обработки данных. Это прокси-приложение будет отвечать за публикацию информации о существовании сторонней службы в служебной шине, проверку подлинности запросов и направление запросов к ней и от нее из вызовов, поступающих через служебную шину. - person sebastus; 25.08.2011
comment
Еще раз спасибо, Грег. Если у вас есть конкретные ресурсы о том, как настроить служебную шину таким образом, чтобы она размещалась на сервере A в стороннем центре обработки данных, но перенаправляла запросы на сервер B в стороннем центре обработки данных, поделитесь ими — я был бы признателен. - person georgiosd; 25.08.2011

arrow_upward
0
arrow_downward

ИМХО, HTTPS уже очень хорош; и я не совсем понимаю, как VPN сделает систему более безопасной. В частности, VPN не является серебряной пулей, если ваша виртуальная машина скомпрометирована, то VPN-подключение также будет скомпрометировано (то же самое для HTTPS). С другой стороны, ограничение IP-адресов действительно уменьшит поверхность атаки.

Тогда использование сервера вне облака — действительно плохая идея. Это не только сводит на нет большинство преимуществ облака (было там, сделано это и много пострадало), но также делает все это менее безопасным с большей сложностью и большей поверхностью атаки.

На данный момент Windows Azure не предоставляет ничего похожего на статический IP-адрес. По нашему опыту, IP-адреса для данной службы время от времени меняются, даже если служба только обновляется (и никогда не удаляется). Статические IP-адреса долгое время были важным запросом на функцию, Microsoft, вероятно, предоставит их в какой-то момент, но это может занять много месяцев.

person Joannes Vermorel    schedule 19.08.2011
comment
Хотя я согласен с тем, что вы написали, оставаться с HTTPS — это не вариант, который они нам дают, поэтому нам придется найти альтернативу. - person georgiosd; 19.08.2011
comment
Тогда это VPN. Это не раз делало нашу жизнь на Lokad.com невыносимой :-) Будем надеяться, что в вашем случае все будет проще. - person Joannes Vermorel; 21.08.2011
comment
Спасибо за продолжение, но как вы представляете себе работу VPN в этом случае? :S Возможно ли, чтобы клиент Azure работал на другом компьютере на их стороне, чем фактический сервер, который обрабатывает запросы? Или ты про туннель? - person georgiosd; 22.08.2011
comment
Я бы сказал, что HTTP-запросы с использованием 2-way-SSL так же безопасны, как VPN. Azure уже (2019 г.) поддерживает статические IP-адреса. - person Guido; 10.02.2019