Безопасность WCF, когда доверенная группа клиентов / серверов общается через Интернет

Question

У меня есть несколько выделенных серверов, на которых запущены приложения ASP.NET через Интернет.Все серверы являются полностью доверенными (все принадлежат одной компании) и должны общаться друг с другом безопасным способом.Они не являются частью домена или рабочей группы и не должны быть.

Каждый сервер действует как клиент и сервер некоторых WCF служб.Этих услуг мало (1-2 на сервер) и мало (по каждому вызову передается небольшое количество данных).

Я могу использовать самоподписанные SSL сертификаты или X509.Я ищу способ убедиться, что никто из Интернета не может позвонить на сервер WCF.В будущем будет добавлен новый сервер.

Я читал о WCF, но теперь я запутался, стоит ли использовать самозаверяющие SSL-сертификаты или нет (не самозаверяющий вариант не подходитна данный момент), какую привязку использовать, какой режим безопасности использовать, какой метод аутентификации использовать ... Мне нужно несколько советов для начала (просьба предоставить ссылку на образец.

Answer 1

Я бы использовал аутентификацию на основе сертификатов, когда аутентифицируются и клиент, и сервер.

Чтобы повысить безопасность, не используйте самозаверяющие сертификаты.

Если в вашей компании уже есть сервер сертификатов: выдайте сертификаты каждому серверу и укажите в качестве конфигурации аутентификации, что и клиент, и службы должны представлять сертификат, выданный вашим сервером сертификатов.

Answer 2

Безопасность WCF - большая тема, но есть и другие, не относящиеся к WCF, способы защиты службы:

• Используйте IP SEC для защиты канала связи
• Использование белых списков IP-адресов для предоставления / запрета доступа к порту, на котором работают конечные точки WCF
• Использование VPN-решения (особенно удобно, если в вашей компании уже есть VPN-соединение между сайтами)