Нужна ли мне безопасность между моим приложением ASP.net и службой WCF?

Question

[Я знаю, что это довольно субъективно и зависит от различных соображений, поэтому я просто заканчиваю для идей, чтобы увидеть, что люди думают по этому вопросу, и какие соображения они принимают ...]

У нас есть публичное приложение asp.net (требуется аутентификация по имени / паролю), которое, в свою очередь, использует набор служб WCF на задней панели.

Я пытаюсь решить, какую привязку использовать для этих сервисов, а конкретнее - какие элементы безопасности, если таковые имеются, нам следует использовать.

все приложения (веб-интерфейс и все службы) находятся на одной ферме серверов за брандмауэром, который блокирует весь доступ к службам, кроме веб-приложения. При таких обстоятельствах - вы бы сказали, что приемлемо не иметь никаких элементов безопасности (и поэтому, предположительно, иметь повышенную производительность?)

Для полноты картины я бы сказал, что мы ожидаем, что в какой-то момент мы представим некоторые сервисы извне, но это будет сделано через другую конечную точку, с другим адресом, с использованием элементов высокой безопасности, включая федеративную идентификацию для аутентификации

Answer 1

Безопасность как стена. Чем больше стен, тем лучше.

Именно поэтому у нас есть безопасные пароли для баз данных, которые являются внутренними, но доступны из веб-приложения, и поэтому мы шифруем конфиденциальные данные в этих базах данных.

Если безопасность не будет большой болью, добавьте ее.

Answer 2

Вы должны сделать свои сервисы слишком защищенными именем пользователя и паролем, как при использовании дайджест-аутентификации и т. Д. Имя пользователя и пароль, которые будут предоставлены, будут внутри вашего приложения. Таким образом вы увеличиваете уровень безопасности.