8

我有一个 Web 角色的前端 MVC 应用程序,受 WIF 和 ACS 保护,我希望它是我的 Azure 应用程序唯一暴露的表面。它连接到许多后端服务、一些工作角色和一些(为了方便在 VS 中添加服务引用,或者因为它们使用 WCF 数据服务)Web 角色。后端服务角色只有内部端点。

我从 MS 文献中的理解是,内部端点仅对具有相同部署的其他角色可用。鉴于此,在 MVC Web 角色和后端服务之间应用任何类型的传输或消息安全或身份验证似乎是多余的,这可能是内部端点上不可用 https 的原因。

我的问题是:这有多安全?除了我们部署的角色之一,还有什么方法可以从其他任何地方发现端点?是否有任何理由在任何角色间绑定上产生额外的安全性开销?

4

1 回答 1

7

服务代表隔离边界,除非您将端点声明为“输入”端点,否则无法在此隔离边界之外访问它。这个边界的实现是一个私有网络分支,对其他分支没有可寻址性。

请记住,内部端点不是负载平衡的。所以有一个权衡。不久前我在端点上写了一些东西,这可能有助于巩固一些东西。

于 2012-07-20T17:43:52.307 回答