我们与第三方服务集成,可以在其中运行目前使用 HTTPS 加密和用户名/密码保护的查询。我们从 Windows Azure 云上运行的服务发送查询。
第三方提供商希望迁移到更好的安全性,他们要求我们这样做
设置 VPN - 这是有问题的,因为我们需要使用 Azure Connect,而他们必须自行安装客户端端点服务。
提供一些查询来源的 IP 地址,以便它们可以在防火墙级别过滤掉任何其他人 - 这是有问题的,因为据我所知,您无法修复 Windows Azure 计算节点的 IP 地址。
建议另一种安全的替代方案 - 我唯一能想到的就是在非 Azure 服务器上设置 VPN,然后通过使用 Azure Connect 传输请求 - 这对我们来说显然是额外的工作如果服务依赖于非云服务,那么在云上托管服务也就失去了意义。
有什么想法吗?
- 他们可以在 DMZ 网络上的另一台服务器上安装 Azure Connect 端点吗?即不是托管其服务的实际服务器?
- 我们能否以某种方式为他们提供用于传入查询的静态 IP?
- 还有其他可扩展的解决方案吗?
谢谢
最佳答案
如果我正确理解了该场景,您的 Azure 服务是第三方服务的客户端。这种情况可以通过使用 Windows Azure AppFabric 服务总线来解决。您需要在第三方数据中心安装代理应用程序,负责建立与服务总线的连接。连接来自第三方数据中心内部,因此防火墙中没有新的传入漏洞。该连接可以利用其所有安全优势处理 WCF 连接,并且可以使用 ACS 对用户进行身份验证。
这是一个起点:http://msdn.microsoft.com/en-us/library/ee732537.aspx
Windows Azure 平台培训套件中有一个实践实验室,其中解释了您需要的大部分详细信息。
关于security - Windows Azure VPN 和 IP 限制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7123473/