我们与第三方服务集成,我们可以在其中运行现在使用 HTTPS 加密和用户名/密码保护的查询。我们从运行在 Windows Azure 云上的服务发送查询。
第三方提供商想要迁移到更好的安全性,他们要求我们要么
设置 VPN - 这是有问题的,因为我们需要使用 Azure Connect,而且他们必须自行安装客户端端点服务。
提供一些查询将来自的 IP 地址,以便他们可以在防火墙级别过滤掉其他任何人 - 这是有问题的,因为 AFAIK 您无法修复 Windows Azure 计算节点的 IP 地址。
建议另一种安全的替代方案——我唯一能想到的就是在非 Azure 服务器上与它们一起设置 VPN,然后使用 Azure Connect 通过隧道传输请求——这显然对我们来说是额外的工作,也破坏了托管的意义云上的服务(如果它依赖于非云服务)。
有任何想法吗?
谢谢
如果我正确理解该场景,则您的 Azure 服务是 3rd 方服务的客户端。这种情况可以通过使用 Windows Azure AppFabric 服务总线来解决。您需要在第 3 方的数据中心安装代理应用程序,该应用程序负责建立与服务总线的连接。连接来自第 3 方的数据中心内部,因此防火墙中没有新的传入漏洞。该连接可以处理具有所有安全强度的 WCF 连接,并且可以使用 ACS 对用户进行身份验证。
这是一个起点:http: //msdn.microsoft.com/en-us/library/ee732537.aspx
Windows Azure 平台培训工具包中有一个动手实验室,它解释了您需要的大部分细节。
恕我直言,HTTPS 已经很好了;而且我不完全了解 VPN 如何使系统更加安全。特别是,VPN 不是灵丹妙药,如果您的虚拟机受到威胁,那么 VPN 连接也会受到威胁(HTTPS 也是如此)。另一方面,IP 限制确实会减少攻击面。
那么,使用云外的服务器确实是个坏主意。它不仅破坏了云的大部分好处(去过那里、做过这些并遭受了很多痛苦),而且它还使整个事情变得不那么安全,变得更加复杂和更多的攻击面。
此时,Windows Azure 不提供任何看起来像静态 IP 的东西。根据我们的经验,给定服务的 IP 地址会偶尔更改,即使该服务仅升级(且从未删除)。长期以来,静态 IP 地址一直是一项重要的功能请求,Microsoft 可能会在某个时候提供它,但可能仍需要几个月的时间。