Windows Azure VPN и ограничение IP

Question

Мы интегрируемся со сторонней службой, где мы можем выполнять запросы, которые сейчас защищены с использованием шифрования HTTPS и имени пользователя / пароля.Мы отправляем наши запросы из службы, работающей в облаке Windows Azure.

Сторонний поставщик хочет перейти на более высокий уровень безопасности, и они попросили нас либо

1. настроить VPN - что проблематично, потому что для этого нам нужноиспользуйте Azure Connect, и им придется установить клиентскую службу конечных точек со своей стороны.

2. Укажите IP-адрес, с которого будут поступать запросы, чтобы они могли отфильтровать кого-либо еще на брандмауэре.уровень - это проблематично, потому что AFAIK вы не можете исправить IP-адреса вычислительных узлов Windows Azure.

3. Предложить другую безопасную альтернативу - единственное, о чем я мог подумать, это настроить VPNс ними на не-Azure сервере, а затем туннелировать запросы с помощью Azure Connect - что, очевидно, является дополнительной работой для нас, а также устраняет проблему размещения службы в облаке, если это зависит от не облачной службы.

Есть идеи?

• Могут ли они установить конечную точку Azure Connect на другом сервере в своей сети DMZ?т.е. не фактический сервер, на котором размещается их служба?
• Можем ли мы каким-то образом предоставить им статические IP-адреса для входящих запросов?
• Любое другое решение, которое масштабируется?

Спасибо

Answer 1

Если я правильно понимаю сценарий, ваша служба Azure является клиентом сторонней службы.Этот сценарий может быть решен с помощью служебной шины Windows Azure AppFabric.Вам потребуется установить прокси-приложение в стороннем центре обработки данных, которое будет отвечать за установление соединения с сервисной шиной.Соединение происходит из стороннего центра обработки данных, поэтому в брандмауэре нет новых дыр.Соединение может обрабатывать соединения WCF со всеми своими преимуществами безопасности, и пользователи могут проходить проверку подлинности с помощью ACS.

Вот отправная точка: http://msdn.microsoft.com/en-us/library/ee732537.aspx

В Windows есть практические занятияУчебный комплект по платформе Azure, объясняющий большинство деталей, которые вам понадобятся.

Answer 2

ИМХО, HTTPS уже очень хорош ; и я не совсем понимаю, как VPN сделает систему более безопасной. В частности, VPN не является «серебряной пулей», если ваша виртуальная машина скомпрометирована, то VPN-соединение также скомпрометировано (то же самое для HTTPS). С другой стороны, ограничение IP действительно уменьшит поверхность атаки.

Тогда использование сервера вне облака - действительно плохая идея . Он не только побеждает большинство преимуществ облака (был там, сделал это и много страдал), но также делает все это безопасным на 1007 * меньше с большей сложностью и большей поверхностью атаки.

Windows Azure не предоставляет ничего похожего на статический IP на данный момент. По нашему опыту, IP-адреса для данного сервиса время от времени меняются, даже если сервис только обновляется (и никогда не удаляется). Статические IP-адреса долгое время были важной функцией запроса, вероятно, Microsoft когда-нибудь предоставит их, но это может занять много месяцев.