1

サードパーティのサービスと統合して、HTTPS暗号化とユーザー名/パスワードを使用して現在保護されているクエリを実行できます。WindowsAzureクラウドで実行されているサービスからクエリを送信します。

サードパーティプロバイダーは、より良いセキュリティに向けて移行することを望んでおり、どちらかを私たちに求めています

  1. VPNをセットアップします。これは、Azure Connectを使用する必要があり、クライアントエンドポイントサービスをインストールする必要があるため、問題があります。

  2. クエリの送信元となるIPアドレスを指定して、ファイアウォールレベルで他のユーザーを除外できるようにします。これは、WindowsAzureコンピューティングノードのIPアドレスを修正できないため問題があります。

  3. 別の安全な代替案を提案します-私が考えることができる唯一のことは、Azure以外のサーバーでVPNをセットアップし、Azure Connectを使用してリクエストをトンネリングすることです-これは明らかに私たちにとって余分な作業であり、ホスティングのポイントを打ち負かします非クラウドサービスに依存している場合は、クラウド上のサービス。

何か案は?

  • DMZネットワーク上の別のサーバーにAzureConnectエンドポイントをインストールできますか?つまり、サービスをホストする実際のサーバーではありませんか?
  • どういうわけか、着信クエリ用の静的IPを提供できますか?
  • スケーラブルな他のソリューションはありますか?

ありがとう

4

2 に答える 2

1

シナリオを正しく理解していれば、Azureサービスはサードパーティサービスのクライアントです。このシナリオは、Windows Azure AppFabricServiceBusを使用することで解決できます。サービスバスへの接続の確立を担当するサードパーティのデータセンターにプロキシアプリをインストールする必要があります。接続はサードパーティのデータセンター内から行われるため、ファイアウォールに新しい着信ホールはありません。この接続は、すべてのセキュリティ強度を備えたWCF接続を処理でき、ユーザーはACSで認証できます。

開始点は次のとおりです:http://msdn.microsoft.com/en-us/library/ee732537.aspx

Windows Azureプラットフォームトレーニングキットには、必要な詳細のほとんどを説明するハンズオンラボがあります。

于 2011-08-23T22:09:12.560 に答える
0

私見、HTTPSはすでに非常に優れています; また、VPNによってシステムがどのように安全になるかは正確にはわかりません。特に、VPNは特効薬ではありません。VMが危険にさらされると、VPN接続も危険にさらされます(HTTPSでも同じです)。一方、IP制限は、実際に攻撃対象領域を減らします。

次に、クラウドの外部でサーバーを使用することは、実際には悪い考えです。クラウドの利点のほとんどを打ち負かすだけでなく(そこにいて、それを実行し、多くの苦しみを味わった)、複雑さと攻撃対象領域が増えることで、全体の安全性が低下します。

現時点では、WindowsAzureは静的IPのように見えるものを提供していません。私たちの経験では、特定のサービスのIPアドレスは、サービスがアップグレードされただけで(削除されなかったとしても)時々変更されます。静的IPアドレスは長い間重要な機能要求であり、Microsoftはおそらくいつかそれを提供するでしょうが、それでも何ヶ月もかかるかもしれません。

于 2011-08-19T15:11:50.990 に答える